[[395788]]

 環(huán)境：Spring Boot 2.2.11.RELEASE + JPA2

Security流程處理

Security的核心是Filter，下圖是Security的執(zhí)行流程

詳細步驟：

1.1

UsernamePasswordAuthenticationFilter的父類是AbstractAuthenticationProcessingFilter首先執(zhí)行父類中的doFilter方法。

1.2 執(zhí)行

UsernamePasswordAuthenticationFilter中的attemptAuthentication方法

這里實例化

UsernamePasswordAuthenticationToken對象存入用戶名及密碼進行接下來的驗證

1.3 進入驗證

this.getAuthenticationManager().authenticate(authRequest) 這里使用的是系統(tǒng)提供的ProviderManager對象進行驗證

關(guān)鍵是下面的這個for循環(huán)

 

這里先判斷AuthenticationProvider是否被支持

Class<? extends Authentication> toTest = authentication.getClass(); 

這里的toTest就是

UsernamePasswordAuthenticationFilter類中調(diào)用的如下對象

1.4 既然要驗證用戶名密碼，那我們肯定地提供一個AuthenticationProvider對象同時必須還得要支持

UsernamePasswordAuthenticationToken對象類型的。所以我們提供如下一個DaoAuthenticationProvider子類，查看該類

關(guān)鍵在這個父類中，該父類中如下方法：

public boolean supports(Class<?> authentication) { 
        return (UsernamePasswordAuthenticationToken.class 
                .isAssignableFrom(authentication)); 
    } 

 也就說明我們只需要提供DaoAuthenticationProvider一個子類就能對用戶進行驗證了。

1.5 自定義DaoAuthenticationProvider子類

@Bean 
    public DaoAuthenticationProvider daoAuthenticationProvider() { 
        DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ; 
        daoAuthen.setPasswordEncoder(passwordEncoder()); 
        daoAuthen.setUserDetailsService(userDetailsService()); 
        daoAuthen.setHideUserNotFoundExceptions(false) ; 
        return daoAuthen ; 
    } 

 1.6 執(zhí)行前面for中的如下代碼

result = provider.authenticate(authentication); 

這里進入了DaoAuthenticationProvider的父類

AbstractUserDetailsAuthenticationProvider中的authenticate方法

該方法的核心方法

retrieveUser方法在子類DaoAuthenticationProvider中實現(xiàn)

如果這里返回了UserDetails(查詢到用戶)將進入下一步

1.7 進入密碼的驗證

這里調(diào)用子類DaoAuthenticationProvider的方法

剩下的就是成功后的事件處理，如果有異常進行統(tǒng)一的異常處理

Security登錄授權(quán)認證

• 實體類

@Entity 
@Table(name = "T_USERS") 
public class Users implements UserDetails, Serializable { 
  private static final long serialVersionUID = 1L; 
    @Id 
  @GeneratedValue(generator = "system-uuid") 
  @GenericGenerator(name = "system-uuid", strategy = "uuid") 
  private String id ; 
  private String username ; 
  private String password ; 
} 

•  DAO

public interface UsersRepository extends JpaRepository<Users, String>, JpaSpecificationExecutor<Users> { 
    Users findByUsernameAndPassword(String username, String password) ; 
    Users findByUsername(String username) ; 
} 

•  Security 配置

@Configuration 
public class SecurityConfig extends WebSecurityConfigurerAdapter { 
     
    @Resource 
    private UsersRepository ur ; 
    @Resource 
    private LogoutSuccessHandler logoutSuccessHandler ; 
     
    @Bean 
    public UserDetailsService userDetailsService() { 
        return username -> { 
            Users user = ur.findByUsername(username) ; 
            if (user == null) { 
                throw new UsernameNotFoundException("用戶名不存在") ; 
            } 
            return user ; 
        }; 
    } 
     
    @Bean 
    public PasswordEncoder passwordEncoder() { 
        return new PasswordEncoder() { 
            @Override 
            public boolean matches(CharSequence rawPassword, String encodedPassword) { 
                return rawPassword.equals(encodedPassword) ; 
            } 
            @Override 
            public String encode(CharSequence rawPassword) { 
                return rawPassword.toString() ; 
            } 
        }; 
    } 
     
    @Bean 
    public DaoAuthenticationProvider daoAuthenticationProvider() { 
        DaoAuthenticationProvider daoAuthen = new DaoAuthenticationProvider() ; 
        daoAuthen.setPasswordEncoder(passwordEncoder()); 
        daoAuthen.setUserDetailsService(userDetailsService()); 
        daoAuthen.setHideUserNotFoundExceptions(false) ; 
        return daoAuthen ; 
    } 
     
    @Bean 
    public SessionRegistry sessionRegistry() { 
        return new SessionRegistryImpl() ; 
    } 
     
    // 這個不配置sessionRegistry中的session不失效 
    @Bean 
    public HttpSessionEventPublisher httpSessionEventPublisher() { 
        return new HttpSessionEventPublisher(); 
    } 
     
    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
        http 
            .csrf().disable() 
            .authorizeRequests() 
            .antMatchers("/pos/**") 
            .authenticated() 
        .and() 
            .formLogin() 
            .loginPage("/sign/login") 
        .and() 
            .logout() 
            .logoutSuccessHandler(logoutSuccessHandler) 
            .logoutUrl("/sign/logout"); 
    // 這里配置最大同用戶登錄個數(shù) 
        http.sessionManagement().maximumSessions(1).expiredUrl("/sign/login?expired").sessionRegistry(sessionRegistry()) ; 
    } 
     
} 

•  Controller相關(guān)接口

@Controller 
public class LoginController { 
     
    @RequestMapping("/sign/login") 
    public String login() { 
        return "login" ; 
    } 
     
} 
@RestController 
@RequestMapping("/sign") 
public class LogoutController { 
     
    @GetMapping("/logout") 
    public Object logout(HttpServletRequest request) { 
        HttpSession session = request.getSession(false); 
        if (session != null) { 
            session.invalidate(); 
        } 
        SecurityContext context = SecurityContextHolder.getContext(); 
        context.setAuthentication(null); 
        SecurityContextHolder.clearContext(); 
        return "success" ; 
    } 
     
} 
@RestController 
@RequestMapping("/pos") 
public class PosController { 
     
    @GetMapping("") 
    public Object get() { 
        return "pos success" ; 
    } 
     
} 
// 通過下面接口獲取在線人數(shù) 
@RestController 
@RequestMapping("/sessions") 
public class SessionController { 
     
    @Resource 
    private SessionRegistry sessionRegistry ; 
     
    @GetMapping("") 
    public Object list() { 
        return sessionRegistry.getAllPrincipals() ; 
    } 
     
} 

 測試：

在chrome瀏覽器用zs用戶登錄

用360瀏覽器也用zs登錄

360登錄后刷新chrome瀏覽器

登錄已經(jīng)失效了，配置的最大登錄個數(shù)也生效了。

完畢!!!