Spring-security-oauth2 與 Spring-security

spring security 認證流程：

1. 當?shù)卿洉r遮糖，請求會被UsernamePasswordAuthenticationFilter 攔截麻汰，獲取用戶名和密碼速客，封裝成UsernamePasswordAuthenticationToken，并交給AuthenticationManager（認證核心接口）去認證五鲫；

2. ProviderManager 是AuthenticationManager接口的實現(xiàn)類溺职，也就是驗證UsernamePasswordAuthenticationToken時交給它來處理。

3. ProviderManager 的authenticate(authentication) 方法位喂，是驗證UsernamePasswordAuthenticationToken的核心方法浪耘；從源碼可以得知：ProviderManager? 有一個屬性為：List providers; 從名稱就可以看出，是一個認證器的集合塑崖；所以authenticate(authentication)方法的主要邏輯就是遍歷providers七冲， support（UsernamePasswordAuthenticationToken）的AuthenticationProvider 會去做相應(yīng)的認證；

AuthenticationProvider 認證用戶三步走原則：

（1）獲取用戶信息

（2）檢查用戶“是否被禁用”规婆，“是否被鎖定”澜躺，“是否過期”

（3）校驗用戶名和密碼

4. 通過驗證返回Authentication

5. 通過驗證返回Authentication

6. 通過驗證返回Authentication到 AbstractAuthenticationProcessingFilter

7. successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) 發(fā)布登錄成功；

主要邏輯為：

（1）Authentication保存到SecurityContext中聋呢；源碼：SecurityContextHolder.getContext().setAuthentication(authResult);

（2）如果配合記住密碼苗踪，則會記住密碼；??? 源碼:this.rememberMeServices.loginSuccess(request, response, authResult);

?(3)? 請求之前未登錄狀態(tài)下請求的網(wǎng)址削锰；??? 源碼：this.successHandler.onAuthenticationSuccess(request, response, authResult)

說明：SecurityContextHolder.getContext().setAuthentication(authResult）通铲，底層源碼是使用new ThreadLocal() 存儲的，如果不了解?ThreadLocal器贩，請自行查閱颅夺；

spring security 權(quán)限校驗流程：

1. 第一次請求http://localhost:8088/persons方法時朋截，UsernamePasswordAuthenticationFilter? 不會攔截，因為UsernamePasswordAuthenticationFilter? 只會攔截/login 且為POST,? 但是會被AnonymousAuthenticationFilter攔截吧黄，主要做的就是SecurityContextHolder.getContext().setAuthentication(AnonymousAuthenticationToken）部服，具體請看源碼；然后會進入到FilterSecurityInterceptor過濾器拗慨；FilterSecurityInterceptor 過濾器才是真正控制訪問權(quán)限的Filter廓八；

2. super.beforeInvocation(fi) 主要邏輯：

1）Authentication authenticated =this.authenticateIfRequired();?? 獲取token，從SecurityContextHolder.getContext()? 獲得

2）this.accessDecisionManager.decide(authenticated, object,attributes); ******這個才是重中之重*****作用就是判斷是否有訪問權(quán)限赵抢；

?3. this.accessDecisionManager.decide(authenticated, object,attributes);會拋出AccessDeniedException |AuthenticationException異常剧蹂，并被ExceptionTranslationFilter攔截,

如果為AccessDeniedException ，跳轉(zhuǎn)到未授權(quán)頁面

如果為AuthenticationException烦却，跳轉(zhuǎn)登錄頁面

4. 由于未登錄跳轉(zhuǎn)到登錄頁

5. 填寫用戶名和密碼再次請求宠叼，會走上面的認證流程；? 認證流程走完其爵，最終還是會走到FilterSecurityInterceptor? 攔截器冒冬；然后還是會從? 2）流程開始走，不同的是這回已經(jīng)登錄摩渺，所以Authentication authenticated =this.authenticateIfRequired();獲取到的是包含用戶數(shù)據(jù)简烤，以及權(quán)限的信息；然后還是會走this.accessDecisionManager.decide(authenticated, object,attributes); 不拋出異常則到第6步驟证逻，否則還是會從3 步驟開始

?6. 訪問到/persons 接口乐埠，進入到Controller 中；

以上流程圖源自：

http://www.spring4all.com/article/439

http://www.spring4all.com/article/458

關(guān)鍵的類和接口介紹：

AbstractAuthenticationProcessingFilter 類：在不同maven包下的展現(xiàn)形式：

spring-boot-starter-security包下:

spring-boot-starter-security

spring-security-oauth2包下：

spring-security-oauth2

可以看出多了一個OAuth2ClientAuthenticationProcessingFilter和ClientCredentialsTokenEndpointFilter囚企；

當使用Oauth2認證時，主要走的兩個Filter瑞眼；

AuthenticationManager 接口：認證時主要是PrividerManager 實現(xiàn)類去做認證龙宏；

PrividerManager 實現(xiàn)類中主要的方法和屬性介紹：

認證器集合：providers

authenticate 方法：

1. 遍歷認證器.

2.判斷認證器是否支持token的認證

3.如果支持，進行具體的認證邏輯

AuthenticationProvider 接口：

AbstractUserDetailsAuthenticationProvider 抽象類：

authenticate 方法：

子類實現(xiàn)retrieveUser 方法伤疙，通過不同的方式獲取UserDetails银酗；

DaoAuthenticationProvider 實現(xiàn)類（去實現(xiàn)retrieveUser ）：

retrieveUser方法：

DaoAuthenticationProvider? 方法

通過UserDetailsService 對象獲取UserDetails對象；

UserDetailsService? 屬性：

DaoAuthenticationProvider? 屬性

UserDetailsService 接口：

spring-boot-starter-security包下:

spring-boot-starter-security

spring-security-oauth2包下：

spring-security-oauth2

可以看出在spring-security-oauth2包下多一個ClientDetailsUserDetailsService類徒像，這個也就是spring security實現(xiàn)Oauth2的主要認證類黍特；

最后編輯于：2021.05.24 09:25:13

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個濱河市锯蛀，隨后出現(xiàn)的幾起案子灭衷，更是在濱河造成了極大的恐慌，老刑警劉巖旁涤，帶你破解...
沈念sama閱讀 210,914評論 6贊 490
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件翔曲，死亡現(xiàn)場離奇詭異迫像，居然都是意外死亡，警方通過查閱死者的電腦和手機瞳遍，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 89,935評論 2贊 383
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門闻妓，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人掠械，你說我怎么就攤上這事由缆。” “怎么了猾蒂？”我有些...
開封第一講書人閱讀 156,531評論 0贊 345
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵均唉，是天一觀的道長。經(jīng)常有香客問我婚夫，道長浸卦，這世上最難降的妖魔是什么？我笑而不...
開封第一講書人閱讀 56,309評論 1贊 282
?港島之戀（遺憾婚禮）
正文為了忘掉前任案糙，我火速辦了婚禮限嫌，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘时捌。我一直安慰自己怒医，他們只是感情好，可當我...
茶點故事閱讀 65,381評論 5贊 384
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布奢讨。她就那樣靜靜地躺著稚叹，像睡著了一般。火紅的嫁衣襯著肌膚如雪拿诸。梳的紋絲不亂的頭發(fā)上扒袖，一...
開封第一講書人閱讀 49,730評論 1贊 289
城市分裂傳說
那天，我揣著相機與錄音亩码，去河邊找鬼季率。笑死，一個胖子當著我的面吹牛描沟，可吹牛的內(nèi)容都是我干的飒泻。我是一名探鬼主播，決...
沈念sama閱讀 38,882評論 3贊 404
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼吏廉，長吁一口氣：“原來是場噩夢啊……” “哼泞遗！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起席覆，我...
開封第一講書人閱讀 37,643評論 0贊 266
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤史辙，失蹤者是張志新（化名）和其女友劉穎，沒想到半個月后，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體髓霞，經(jīng)...
沈念sama閱讀 44,095評論 1贊 303
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡卦睹，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 36,448評論 2贊 325
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時候發(fā)現(xiàn)自己被綠了方库。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片结序。...
茶點故事閱讀 38,566評論 1贊 339
活死人
序言：一個原本活蹦亂跳的男人離奇死亡，死狀恐怖纵潦，靈堂內(nèi)的尸體忽然破棺而出徐鹤，到底是詐尸還是另有隱情，我是刑警寧澤邀层，帶...
沈念sama閱讀 34,253評論 4贊 328
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布返敬，位于F島的核電站，受9級特大地震影響寥院，放射性物質(zhì)發(fā)生泄漏劲赠。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點故事閱讀 39,829評論 3贊 312
男人毒藥：我在死后第九天來索命
文/蒙蒙一秸谢、第九天我趴在偏房一處隱蔽的房頂上張望凛澎。院中可真熱鬧，春花似錦估蹄、人聲如沸塑煎。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,715評論 0贊 21
一樁弒父案臭蚁，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽最铁。三九已至，卻和暖如春垮兑，著一層夾襖步出監(jiān)牢的瞬間冷尉，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 31,945評論 1贊 264
情欲美人皮
我被黑心中介騙來泰國打工系枪，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留网严，地道東北人。一個月前我還...
沈念sama閱讀 46,248評論 2贊 360
代替公主和親
正文我出身青樓嗤无，卻偏偏與公主長得像，于是被迫代替她去往敵國和親怜庸。傳聞我的和親對象是個殘疾皇子当犯，可洞房花燭夜當晚...
茶點故事閱讀 43,440評論 2贊 348

Spring-security-oauth2 與 Spring-security

推薦閱讀更多精彩內(nèi)容