1. 前言

歡迎閱讀Spring Security 實戰(zhàn)干貨系列文章，在集成Spring Security安全框架的時候我們最先處理的可能就是根據(jù)我們項目的實際需要來定制注冊登錄了，尤其是Http登錄認證。根據(jù)以前的相關(guān)文章介紹，Http登錄認證由過濾器UsernamePasswordAuthenticationFilter 進行處理。我們只有把這個過濾器搞清楚才能做一些定制化。今天我們就簡單分析它的源碼和工作流程。

2. UsernamePasswordAuthenticationFilter 源碼分析

UsernamePasswordAuthenticationFilter 繼承于AbstractAuthenticationProcessingFilter（另文分析）。它的作用是攔截登錄請求并獲取賬號和密碼，然后把賬號密碼封裝到認證憑據(jù)UsernamePasswordAuthenticationToken中，然后把憑據(jù)交給特定配置的AuthenticationManager去作認證。源碼分析如下：

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { // 默認取賬戶名、密碼的keypublic static final String SPRING_SECURITY_FORM_USERNAME_KEY = 'username';public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = 'password'; // 可以通過對應(yīng)的set方法修改private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY; // 默認只支持 POST 請求private boolean postOnly = true; // 初始化一個用戶密碼 認證過濾器 默認的登錄uri 是 /login 請求方式是POST public UsernamePasswordAuthenticationFilter() { super(new AntPathRequestMatcher('/login', 'POST')); } // 實現(xiàn)其父類 AbstractAuthenticationProcessingFilter 提供的鉤子方法 用去嘗試認證 public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { // 判斷請求方式是否是POST if (postOnly && !request.getMethod().equals('POST')) { throw new AuthenticationServiceException( 'Authentication method not supported: ' + request.getMethod()); } // 先去 HttpServletRequest 對象中獲取賬號名、密碼 String username = obtainUsername(request); String password = obtainPassword(request); if (username == null) { username = ''; } if (password == null) { password = ''; } username = username.trim(); // 然后把賬號名、密碼封裝到 一個認證Token對象中，這是就是一個通行證，但是這時的狀態(tài)時不可信的，一旦通過認證就變?yōu)榭尚诺? UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken( username, password); // 會將 HttpServletRequest 中的一些細節(jié) request.getRemoteAddr() request.getSession 存入的到Token中 setDetails(request, authRequest); // 然后 使用 父類中的 AuthenticationManager 對Token 進行認證 return this.getAuthenticationManager().authenticate(authRequest); } // 獲取密碼 很重要 如果你想改變獲取密碼的方式要么在此處重寫，要么通過自定義一個前置的過濾器保證能此處能get到 @Nullable protected String obtainPassword(HttpServletRequest request) { return request.getParameter(passwordParameter); } // 獲取賬戶很重要 如果你想改變獲取密碼的方式要么在此處重寫，要么通過自定義一個前置的過濾器保證能此處能get到 @Nullable protected String obtainUsername(HttpServletRequest request) { return request.getParameter(usernameParameter); } // 參見上面對應(yīng)的說明為憑據(jù)設(shè)置一些請求細節(jié) protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) { authRequest.setDetails(authenticationDetailsSource.buildDetails(request)); } // 設(shè)置賬戶參數(shù)的key public void setUsernameParameter(String usernameParameter) { Assert.hasText(usernameParameter, 'Username parameter must not be empty or null'); this.usernameParameter = usernameParameter; } // 設(shè)置密碼參數(shù)的key public void setPasswordParameter(String passwordParameter) { Assert.hasText(passwordParameter, 'Password parameter must not be empty or null'); this.passwordParameter = passwordParameter; } // 認證的請求方式是只支持POST請求 public void setPostOnly(boolean postOnly) { this.postOnly = postOnly; } public final String getUsernameParameter() { return usernameParameter; } public final String getPasswordParameter() { return passwordParameter; }}

為了加強對流程的理解，我特意畫了一張圖來對這個流程進行清晰的說明：

3. 我們可以定制什么

根據(jù)上面的流程，我們理解了UsernamePasswordAuthenticationFilter工作流程后可以做這些事情：

定制我們的登錄請求URI和請求方式。

登錄請求參數(shù)的格式定制化，比如可以使用JSON格式提交甚至幾種并存。

如何將用戶名和密碼封裝入憑據(jù)UsernamePasswordAuthenticationToken，定制業(yè)務(wù)場景需要的特殊憑據(jù)。

4. 我們會有什么疑問

AuthenticationManager從哪兒來，它又是什么，它是如何對憑據(jù)進行認證的，認證成功的后續(xù)細節(jié)是什么，認證失敗的后續(xù)細節(jié)是什么。不要走開，持續(xù)關(guān)注：碼農(nóng)小胖哥 為你揭曉這個答案。

到此這篇關(guān)于圖解Spring Security 中用戶是如何實現(xiàn)登錄的的文章就介紹到這了,更多相關(guān)Spring Security 用戶 實現(xiàn)登錄內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！