Spring security 浅谈用户验证机制

Posted zzzhouheng

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring security 浅谈用户验证机制相关的知识,希望对你有一定的参考价值。

step1:首先ApplicationUserDetailsService需要实现UserDetailsService接口(在

org.springframework.security.core.userdetails里面),实现获取用户Details信息的回调函数,必须要实现

loadUserByUsername方法,注意这里的User实现了UserDetails,CredentialsContainer,User类里面的参数分别有:

password,username,authorities,accountNonExpired,accountNonLocked,credentialsNonExpired,enable,

代码如下:

 

 

我们可以自定义添加新的User信息,这里我们自定义一个SimpleUser类继承User。

代码如下:

 

注意这里的SimpleUser必须继承User,而且必须继承上面这5个属性和hashCode,equals方法,构造方法中必须给上述这5个

属性赋值,ApplicationUserDetailsService调用构造方法,生成一个SimpleUser对象。如果user不存在,抛出一个

UsernameNotFoundException异常。

代码如下:

 

step2:loadUserByUsername方法返回后,会跳到DaoAuthenticationProvider(在

org.springframework.security.authentication.dao)类中的retrieveUser方法中

 

 

step3:retrieveUser方法返回后,会跳到AbstractUserDetailsAuthenticationProvider(在

org.springframework.security.authentication.dao)authenticate方法中,这个方法会先从缓存中查找user。

 

如果没有的话会从上一步DaoAuthenticationProvider的loadUserByUsername方法中把user查出来,这里会抛出

UserNameNotFoundException这个异常,应该是用户不存在这个错误,即Bad credentials。

step4:authenticate方法preAuthenticationChecks.check(user),这里进行基本有效性验证(是否有效,是否

被锁,是否过期)代码如下:

 

step5:authenticate方法中additionalAuthenticationChecks(user,

(UsernamePasswordAuthenticationToken) authentication)这里进行方法验证。代码如下:

 

 

以上是关于Spring security 浅谈用户验证机制的主要内容,如果未能解决你的问题,请参考以下文章

Spring-Security:优化获取当前经过身份验证的用户...

Spring Security基础原理

Spring Security 整合 JSON Web Token(JWT)

将验证码与 Spring Security 集成

无法使用Spring Security弹出用户凭据请求?

没有身份验证的 Grails Spring Security 插件访问控制/授权?