ObjectPostProcessor使用与多种用户定义方式(9)()

  本篇文章为你整理了ObjectPostProcessor使用与多种用户定义方式(9)()的详细内容,包含有 ObjectPostProcessor使用与多种用户定义方式(9),希望能帮助你了解 ObjectPostProcessor使用与多种用户定义方式(9)。

  1.ObjectPostProcessor 使用

    前面介绍了 ObjectPostProcessor的基本概念。相信读者已经明白,所有的过滤器都由对应的配置类来负责创建,配置类在将过滤器创建成功之后,会调用父类的postProcess方法,该 方法最终会调用到CompositeObjectPostProcessor对象的postProcess方法,在该方法中,会遍 历 CompositeObjectPostProcessor 对象所维护的 List 集合中存储的所有 ObjectPostProcessor 对 象,并调用其postProcess方法对对象进行后置处理。默认情况下,CompositeObjectPostProcessor 对象中所维护的List集合中只有一个对象那就是AutowireBeanFactoryObjectPostProcessor调用 AutowireBeanFactoryObjectPostProcessor 的 postProcess 方法可以将对象注册到 Spring 容器 中去。

    升发者可以自定义ObjectPostProcessor对象,并添加到CompositeObjectPostProcessor所维护的List集合中,此时,当一个过滤器在创建成功之后,就会被两个对象后置处理器处理, 第一个是默认的对象后置处理器,负责将对象注册到Spring容器中;第二个是我们自定义的对象后置处理器,可以完成一些个性化配置.

    自定义ObjectPostProcessor对象比较典型的用法是动态权限配置(权限管理将在后续章节 具体介绍),为了便于大家理解,笔者这里先通过一个大家熟悉的案例来展示 ObjectPostProcessor的用法,后面在配置动态权限时,ObjectPostProcessor的使用思路是一样的。

  

@Override

 

  protected void configure(HttpSecurity http) throws Exception {

   http.authorizeRequests()

   .anyRequest().authenticated()

   .and()

   .formLogin()

   .withObjectPostProcessor(new ObjectPostProcessor UsernamePasswordAuthenticationFilter (){

   @Override

   public O extends UsernamePasswordAuthenticationFilter O postProcess(O object) {

   object.setUsernameParameter("name");

   object.setPasswordParameter("passwd");

   object.setAuthenticationSuccessHandler(((request, response, authentication) - {

   response.getWriter().write("login Success");

   }));

   return object;

   .and()

   .csrf().disable();

  }

 

    在这个案例中,调用formLogin方法之后,升启了 FormLoginConfigurer的配置,FormLoginConfigurer 的作用是为了配置 UsernamePasswordAuthenticationFilter 过滤器,在 formLogin 方法执行完毕后,我们调用 withObjectPostProcessor 方法对 UsernamePasswordAuthenticationFilter 过滤器进行二次处理,修改登录参数的key,将登录用户名参数的key改为name,将登录密码参数的key改为passwd,同时配置一个登录成功的处理器。

    2.多种用户定义方式

  在前面的章节中,我们定义用户主要是两种方式:

    (1)第一种方式是使用的重写configure(AuthenticationManagerBuilder)方法的方式。

    (2)第二种方式是定义多个数据源时,我们直接向Spring容器中注入了 UserDetailsService 对象。

  那么这两种用户定义方式有什么区别?

    根据前面的源码分析可知,在Spring Security中存在两种类型的AuthenticationManager, 一种是全局的AuthenticationManager,另一种则是局部的AuthenticationManager局部的 AuthenticationManager,由 HttpSecurity 进行配置,而全局的 AuthenticationManager 可以不用配置,系统会默认提供一个全局的AuthenticationManager对象,也可以通过重写 configure(AuthenticationMaiiagerBuilder)方法进行全局配置。

    当进行用户身份验证时,首先会通过局部的AuthenticationManager对象进行验证,如果验证失败,则会调用其parent也就是全局的AuthenticationManager再次进行验证。

    所以开发者在定义用户时,也分为两种情况,一种是针对局部AuthenticationManager定义的用户,另一种则是针对全局AuthenticationManager定义的用户。

    为了演示方便,接下来的案例我们将采用InMemoryUserDetailsManager来构建用户对象, 读者也可以自行使用基于MyBatis或者Spring Data JPA定义的UserDetailsService实例。

  先来看针对局部AuthenticationManager定义的用户:

  

@Override

 

  protected void configure(HttpSecurity http) throws Exception {

   InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();

   users.createUser(User.withUsername("buretuzi").password("{noop}123").roles("admin").build());

   http.authorizeRequests()

   .anyRequest().authenticated()

   .and()

   .formLogin()

   .permitAll()

   .and()

   .userDetailsService(users)

   .csrf().disable();

  }

 

    在上面这段代码中,我们基于内存来管理用户,并向users中添加了一个用户,将配置好的users对象添加到HttpSecurity中,也就是配置到局部的AuthenticationManager中。

    配置完成后,启动项目。项目启动成功后,我们就可以使用buretuzi/123来登录系统了。 但是注意,当我们启动项目时,在IDEA控制台输出的日志中可以看到如下内容:

    Using generated security password: cfc7f8b5-8346-492e-b25c-90c2c4501350

    这个是系统自动生成的用户,那么我们是否可以使用系统自动生成的用户进行登录呢?答案是可以的,为什么呢?

    系统自动提供的用户对象实际上就是往Spring容器中注册了一个 InMemoryUserDetailsManager 对象. 而在前面的代码中,我们没有重写 configure(AuthenticationManagerBuilder)方法,这意味着全局的 AuthenticationManager 是通过 AuthenticationConfignration#getAuthenticationManager 方法自动生成的,在生成的过程中,会 从Spring容器中查找对应的UserDetailsService实例进行配置(具体配置在InitializeUserDetailsManagerConfigurer类中)。所以系统自动提供的用户实际上相当于是全局AuthenticationManager对应的用户。

    以上面的代码为例,当我们开始执行登录后,Spring Security首先会调用局部Authentication Manager去进行登录校验,如果登录的用户名/密码是buretuzi/123,那就直接登录成功,否则登录失败,当登录失败后,会继续调用局部AuthenticationManager的parent继续进行校验,此时如果登录的用户名/密码是user/cfc7f8b5-8346-492e-b25c-90c2c4501350,则登录成功,否则登录失败。

    这是针对局部AuthenticationManager定义的用户,我们也可以将定义的用户配置给全局 的AuthenticationManager,由于默认的全局AuthenticationManager在配置时会从Spring容器中 査找UserDetailsService实例,所以我们如果针对全局AuthenticationManager配置用户,只需要往Spring容器中注入一个UserDetailsService实例即可,代码如下:

  

@Bean

 

  UserDetailsService us(){

   InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();

   users.createUser(User.withUsername("李文若").password("{noop}123").roles("admin").build());

   return users;

  @Override

  protected void configure(HttpSecurity http) throws Exception {

   InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();

   users.createUser(User.withUsername("buretuzi").password("{noop}123").roles("admin").build());

   http.authorizeRequests()

   .anyRequest().authenticated()

   .and()

   .formLogin()

   .permitAll()

   .and()

   .userDetailsService(users)

   .csrf().disable();

  }

 

    配置完成后,当我们启动项目时,全局的AuthenticationManager在配置时会去Spring容器中查找UserDetailsService实例,找到的就是我们自定义的UserDetailsService实例。当我们进行登录时,系统拿着我们输入的用户名/密码,首先和buretuzi/123进行匹配,如果匹配不上的话,再去和 李文若/123进行匹配。

    当然,升发者也可以不使用Spring Security提供的默认的全局AuthenticationManager对象, 而是通过重写 Configure(AuthenticationManagerBuilder)方法来自定义全局 Authentication Manager 对象:

  

@Override

 

  protected void configure(AuthenticationManagerBuilder auth) throws Exception {

   auth.inMemoryAuthentication().withUser("剑气近").password("{noop}123").roles("admin");

  @Override

  protected void configure(HttpSecurity http) throws Exception {

   InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();

   users.createUser(User.withUsername("buretuzi").password("{noop}123").roles("admin").build());

   http.authorizeRequests()

   .anyRequest().authenticated()

   .and()

   .formLogin()

   .permitAll()

   .and()

   .userDetailsService(users)

   .csrf().disable();

  }

 

    根据对 WebSecurityConfigurerAdapter的源码分析可知,一旦我们重写了 configure(AuthenticationManagerBuilder)方法,则全局的 AuthenticationManager 对象将不再通过 AuthenticationConfiguration#getAuthenticationManager 方法来构建,而是通过 WebSecurityConfigiuerAdapter中的localConfigureAuthenticationBuilder变量来构建,该变量也是我们重写的 configure(AuthenticationManagerBuilder)方法的参数。

    配置完成后,当我们启动项目时,全局的AuthenticationManager在构建时会直接使用 configure(AutheuticationManagerBuilder)方法的auth变量去构建,使用的用户也是我们配置给 auth变量的用户,当我们进行登录时,系统会将所输入的用户名/密码,首先和buretuzi/123进 行匹配,如果匹配不上的话,再去和 剑气近/123进行匹配。

    需要注意的是,一旦重写了 configure(AuthenticationManagerBuilder)方法,那么全局 AuthenticationManager对象中使用的用户,将以 configure(AuthenticationManagerBuilder)方法中定义的用户为准。此时,如果我们还向Spring容器中注入了另外一个UserDetailsService实例,那么该实例中定义的用户将不会生效(因为 AuthenticationConfiguration#getAuthenticationManager方法没有被调用)。

    这就是Spring Security中几种不同的用户定义方式,相信通过这几个案例,读者对于全局 AuthenticationManager和局部AuthenticationManager对象会有更加深刻的理解。

  以上就是ObjectPostProcessor使用与多种用户定义方式(9)()的详细内容,想要了解更多 ObjectPostProcessor使用与多种用户定义方式(9)的内容,请持续关注盛行IT软件开发工作室。

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: