核心处理流程
1:当一个用户登录时,会先执行身份认证。
2:如果身份认证未通过,则会要求用户重新认证。
3:如果身份认证通过,则会调用角色管理器判断它是否可以访问。
这里如果我们需要使用数据库中数据进行身份认证,则需要自定义用户登录功能。Spring Security为我们提供的UsrtDetailsService接口。
package org.springframework.security.core.userdetails;
public interface UserDetailsService {
UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}UserDetails.java
package org.springframework.security.core.userdetails;
import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities(); // 权限集合
String getPassword(); // 密码
String getUsername(); // 用户名
boolean isAccountNonExpired(); // 账号是否没有过期
boolean isAccountNonLocked(); // 账户是否没有被锁定
boolean isCredentialsNonExpired(); // 证书是否没有过期
boolean isEnabled(); // 账户是否有效
}UserDetails中的任何一个方法返回false,用户的凭证都会视为无效。
Authentication
package org.springframework.security.core;
import java.io.Serializable;
import java.security.Principal;
import java.util.Collection;
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities(); // 权限集合
Object getCredentials(); // 获取凭证
Object getDetails(); // 获取认证一些额外信息
Object getPrincipal(); // 过去认证的实体
boolean isAuthenticated(); // 是否通过认证
void setAuthenticated(boolean var1) throws IllegalArgumentException;
}实际上Spring Security进行安全访问控制用户信息的对象是Authentication。
Authentication有已认证和未认证两种状态,在作为参数传入认证管理器的时候,它是一个未认证的对象,它从客户端获取用户名/密码,并由系统自动构成一个Authentication对象;而UserDetails代表的是一个用户安全信息的源,这个源可以是从数据库获取,Spring Security要做的就是将这个为认证的Authentication对象和UserDetails进行匹配,成功后将UserDetails中的用户权限信息拷贝到Authentication只,组成一个完整的Authentication对象,与其它组件进行共享。
