Spring MVC Security自定义认证机制

Spring MVC在进行认证时，是由 AuthenticationManager 来管理的，但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。

AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provider 元素来定义一个 AuthenticationProvider 时，如果没有指定对应关联的 AuthenticationProvider 对象，Spring Security 默认会使用 DaoAuthenticationProvider。

DaoAuthenticationProvider 在进行认证的时候需要一个 UserDetailsService 来获取用户的信息 UserDetails，其中包括用户名、密码和所拥有的权限等。

主要的认证流程是：

Spring MVC会触发AuthenticationProvider的authenticate(Authentication authentication)方法，其中Authentication包含了前段页面输入的账号和密码。
authenticate(Authentication authentication)根据authentication.getName()获取用户名，然后根据UserDetailsService的loadUserByUsername(String username)方法，获取用户的UserDetails，其中返回的UserDetails包含了服务器已经保存好的用户名、密码和对应的权限。
将用户输入的用户名和密码(包含在authentication里)和服务器已经保存好的UserDetails进行对比，如果匹配成功，返回一个UsernamePasswordAuthenticationToken()，否则爆出异常或者返回null。

举例子说明Spring MVC Security自定义认证机制的实现方法。
步骤1.自定义一个CustomerAuthenticationProvider继承AuthenticationProvider，代码如下：

public class CustomerAuthenticationProvider implements AuthenticationProvider {

    private static final Logger logger = LoggerFactory.getLogger(CustomerAuthenticationProvider.class);

    CustomerUserService userDetailsService;

    // 该方法为了直接或者xml配置的key-value
    public void setUserDetailsService(CustomerUserService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        logger.info("用户输入的用户名是：" + authentication.getName());
        logger.info("用户输入的密码是：" + authentication.getCredentials());

        // 根据用户输入的用户名获取该用户名已经在服务器上存在的用户详情，如果没有则返回null
        UserDetails userDetails =  this.userDetailsService.loadUserByUsername(authentication.getName());
        try{
            logger.info("服务器上已经保存的用户名是：" + userDetails.getUsername());
            logger.info("服务器上保存的该用户名对应的密码是： " + userDetails.getPassword());
            logger.info("服务器上保存的该用户对应的权限是：" + userDetails.getAuthorities());

            //判断用户输入的密码和服务器上已经保存的密码是否一致
            if(authentication.getCredentials().equals(userDetails.getPassword())){
                logger.info("author success");
                //如果验证通过，将返回一个UsernamePasswordAuthenticaionToken对象
                return new UsernamePasswordAuthenticationToken(userDetails,
                        authentication.getCredentials(), userDetails.getAuthorities());
            }
        }catch (Exception e){
            logger.error("author failed, the error message is: " + e);
            throw e;
        }
        //如果验证不通过将抛出异常或者返回null
        return null;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return true;
    }
}

步骤2.自定义一个CustomerUserService继承UserDetailsService，代码如下：

public class CustomerUserService implements UserDetailsService {

    private static final Logger logger = LoggerFactory.getLogger(CustomerUserService.class);

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User detail = null;
        //判断username是否为null
        if(username != null){
            ArrayList<SimpleGrantedAuthority> authorities = new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            authorities.add(new SimpleGrantedAuthority("ROLE_MODELER"));
            authorities.add(new SimpleGrantedAuthority("ROLE_ANALYST"));

            //可以加入其他判断逻辑，以及根据username获取密码的方法。
            //由于是Demo，就直接将密码写死为"TEST"，权限直接设置成"ROLE_ADMIN"、"ROLE_MODELER"和"ROLE_ANALYST"
            detail = new User(username, "TEST", authorities);
        }
        
        return detail;
    }
}

步骤3.修改xml，代码如下：

<bean id="userDetailsService" class="CustomerUserService"/>

<bean id ="TCustomerAuthenticationProvider" class="CustomerAuthenticationProvider">
    <property name="userDetailsService" ref="userDetailsService"></property>
</bean>

<scr:authentication-manager alias="testingAuthenticationManager">
    <scr:authentication-provider ref="TCustomerAuthenticationProvider" />
</scr:authentication-manager>

最后编辑于：2017.12.05 06:41:33

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 159,569评论 4赞 363
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 67,499评论 1赞 294
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 109,271评论 0赞 244
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 44,087评论 0赞 209
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 52,474评论 3赞 287
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,670评论 1赞 222
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 31,911评论 2赞 313
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,636评论 0赞 202
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,397评论 1赞 246
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,607评论 2赞 246
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 32,093评论 1赞 261
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,418评论 2赞 254
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 33,074评论 3赞 237
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,092评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,865评论 0赞 196
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,726评论 2赞 276
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,627评论 2赞 270

Spring MVC Security自定义认证机制

推荐阅读更多精彩内容