✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉
🍎个人主页:Leo的博客
💞当前专栏: Java从入门到精通
✨特色专栏: MySQL学习
🥭本文内容:SpringSecurity6 | 默认用户生成(下)
📚个人知识库 :知识库,欢迎大家访问
学习参考 :
- 讲师:孙帅老师
- 课程:孙哥说SpringSecurity6
1.前言
大家好,我是Leo哥🫣🫣🫣,。接到上一节,我们学习了SpringSecurity默认登录用户是如何来的,也通过源码的方式去验证了我们的猜想。那么本篇文章继续讲解有关最后UserDetailedService这个接口的相关内容。
好了,话不多说让我们开始吧😎😎😎。
2.问题
我们在上一篇文章的时候,最后讲到了UserDetailedService,程序最后也是走到了UserDetailedService的loadUserByUsername()方法,然后基于内存对我们表单输入的用户名和密码进行判断,那这个UserDetailedService
他是如何被SpringBoot加载出来的呢,我们且听后续分享。
3.揭晓
3.1 UserDetailService接口
在 UserDetailService 接口中,loadUserByUserName() 方法用于根据用户名进行认证,默认基于内存实现,不需要有后端数据库的支持。如果想修改成数据库实现,我们只需要自定义 UserDetailService 接口的实现类,并返回 UserDetails 实例即可:
我们来看一下UserDetailService接口的继承结构图
CachingUserDetailsService (位于org.springframework.security.authentication包下)缓存用户详细信息服务,是UserDetailsService 接口的实现之一,获取用户详细信息的源头可以是从缓存中获取,
详细代码如下:
publicclassCachingUserDetailsServiceimplementsUserDetailsService{// 用户缓存privateUserCache userCache =newNullUserCache();// 获取用户详情服务接口// 以免从缓存中没有获取到用户信息// 可以通过提供的其他方式获取用户信息privatefinalUserDetailsService delegate;// 构造器 初始化获取用户信息的其他服务publicCachingUserDetailsService(UserDetailsService delegate){this.delegate = delegate;}// 获取用户缓存publicUserCachegetUserCache(){returnthis.userCache;}// 设置用户缓存publicvoidsetUserCache(UserCache userCache){this.userCache = userCache;}// 通过用户名称获取用户详情信息publicUserDetailsloadUserByUsername(String username){// 从缓存中获取UserDetails user =this.userCache.getUserFromCache(username);// 如果从缓存中获取的用户信息为nullif(user ==null){// 使用其他方式获取用户信息
user =this.delegate.loadUserByUsername(username);}// 判断用户信息是否为空Assert.notNull(user,()->{return"UserDetailsService "+this.delegate +" returned null for username "+ username +". This is an interface contract violation";});// 不为空则向缓存中添加用户信息// 下次可以从缓存中获取this.userCache.putUserInCache(user);// 返回用户信息return user;}}
UserDetailsManager(位于org.springframework.security.provisioning包下)用户详情信息管理,这个接口不仅继承了UserDetailsService接口拥有通过用户名获取用户详情信息的方法,还定义了许多操作用户的相关方法,如下:
publicinterfaceUserDetailsManagerextendsUserDetailsService{// 创建用户voidcreateUser(UserDetails user);// 修改用户voidupdateUser(UserDetails user);// 删除用户voiddeleteUser(String username);// 修改密码voidchangePassword(String oldPassword,String newPassword);// 用户是否存在booleanuserExists(String username);}
InMemoryUserDetailsManager (位于org.springframework.security.provisioning包下)内存用户详细信息管理器,这个类实现UserDetailsManager 接口不仅可以获取用户信息还有自己的一套用户信息管理发方式,将用户信息存在在Map中进行管理CIUD操作,虽然很是方便但是对用户数据没有做持久化操作,系统关机时用户信息都会消失;InMemoryUserDetailsManager 还实现了==UserDetailsPasswordService == (位于org.springframework.security.core.userdetails包下)接口用户详细信息密码服务,主要进行优化密码更新并返回用户信息方法:
publicinterfaceUserDetailsPasswordService{// 修改密码 返回用户详情UserDetailsupdatePassword(UserDetails user,String newPassword);}publicclassInMemoryUserDetailsManagerimplementsUserDetailsManager,UserDetailsPasswordService{protectedfinalLog logger =LogFactory.getLog(this.getClass());// 用于管理用户信息的Map(可以理解为一个没有持久化功能的内存数据库)// 感觉MutableUserDetails可变用户接口的实现主要为SpringSecurity内部// 自己的用户管理方式提供存储用户信息的类privatefinalMap<String,MutableUserDetails> users =newHashMap();// 认证管理器privateAuthenticationManager authenticationManager;publicInMemoryUserDetailsManager(){}// 构造器 初始化用户信息 并添加到map中publicInMemoryUserDetailsManager(Collection<UserDetails> users){Iterator var2 = users.iterator();while(var2.hasNext()){UserDetails user =(UserDetails)var2.next();this.createUser(user);}}// 构造器 初始化用户信息 并添加到map中publicInMemoryUserDetailsManager(UserDetails... users){UserDetails[] var2 = users;int var3 = users.length;for(int var4 =0; var4 < var3;++var4){UserDetails user = var2[var4];this.createUser(user);}}// 构造器 初始化用户信息 并添加到map中publicInMemoryUserDetailsManager(Properties users){Enumeration<?> names = users.propertyNames();UserAttributeEditor editor =newUserAttributeEditor();while(names.hasMoreElements()){String name =(String)names.nextElement();
editor.setAsText(users.getProperty(name));UserAttribute attr =(UserAttribute)editor.getValue();Assert.notNull(attr,()->{return"The entry with username '"+ name +"' could not be converted to an UserDetails";});this.createUser(this.createUserDetails(name, attr));}}privateUsercreateUserDetails(String name,UserAttribute attr){returnnewUser(name, attr.getPassword(), attr.isEnabled(),true,true,true, attr.getAuthorities());}// 创建用户并添加到map中publicvoidcreateUser(UserDetails user){Assert.isTrue(!this.userExists(user.getUsername()),"user should not exist");this.users.put(user.getUsername().toLowerCase(),newMutableUser(user));}// 从map移除用户publicvoiddeleteUser(String username){this.users.remove(username.toLowerCase());}// 更新map中的用户信息publicvoidupdateUser(UserDetails user){Assert.isTrue(this.userExists(user.getUsername()),"user should exist");this.users.put(user.getUsername().toLowerCase(),newMutableUser(user));}// 判断用户是否以存在publicbooleanuserExists(String username){returnthis.users.containsKey(username.toLowerCase());}// 修改密码publicvoidchangePassword(String oldPassword,String newPassword){// 从认证上下文中获取认证后的用户信息Authentication currentUser =SecurityContextHolder.getContext().getAuthentication();if(currentUser ==null){// 无法更改密码,因为在当前用户的上下文中找不到身份验证对象thrownewAccessDeniedException("Can't change password as no Authentication object found in context for current user.");}else{// 获取用户名称String username = currentUser.getName();this.logger.debug(LogMessage.format("Changing password for user '%s'", username));if(this.authenticationManager !=null){this.logger.debug(LogMessage.format("Reauthenticating user '%s' for password change request.", username));// 认证用户信息,检查之前的用户信息this.authenticationManager.authenticate(newUsernamePasswordAuthenticationToken(username, oldPassword));}else{this.logger.debug("No authentication manager set. Password won't be re-checked.");}// 从map中获取用户信息MutableUserDetails user =(MutableUserDetails)this.users.get(username);Assert.state(user !=null,"Current user doesn't exist in database.");// 设置新的密码
user.setPassword(newPassword);}}// 更新密码并返回用户详情信息publicUserDetailsupdatePassword(UserDetails user,String newPassword){String username = user.getUsername();MutableUserDetails mutableUser =(MutableUserDetails)this.users.get(username.toLowerCase());
mutableUser.setPassword(newPassword);return mutableUser;}// 通过用户名称从map中获取用户详情信息publicUserDetailsloadUserByUsername(String username)throwsUsernameNotFoundException{UserDetails user =(UserDetails)this.users.get(username.toLowerCase());if(user ==null){thrownewUsernameNotFoundException(username);}else{returnnewUser(user.getUsername(), user.getPassword(), user.isEnabled(), user.isAccountNonExpired(), user.isCredentialsNonExpired(), user.isAccountNonLocked(), user.getAuthorities());}}// 设置认证管理器publicvoidsetAuthenticationManager(AuthenticationManager authenticationManager){this.authenticationManager = authenticationManager;}}
3.2 UserDetailServiceAutoConfigutation类
在 SpringBoot 的自动装配中,默认会启动配置类 UserDetailServiceAutoConfigutation :
在配置类 UserDetailServiceAutoConfigutation 默认生效时会提供 InMemoryUserDetailManager 的实例,也就是基于内存的实现。
配置类 UserDetailServiceAutoConfigutation 默认生效的条件有三种情况:
- 在 classpath 下存在 AuthenticationManager 类
- 当前应用中,存在 ObjectPostProcessor 类的实例时
- 当前应用中,不存在 AuthenticationManager.class、 AuthenticationProvider.class、UserDetailsService.class、 AuthenticationManagerResolver.class 的实例时
我们接着去看看 UserDetailServiceAutoConfigutation这个类的具体实现
我们来看看@ConditionalOnMissingBean这个注解,他是核心。
@ConditionalOnMissingBean是一个注解函数,用于在SpringSecurity中条件地检查是否缺少指定类型的bean。如果缺少指定类型的bean,则会执行一些特定的操作。在此例中,如果缺少AuthenticationManager、AuthenticationProvider、UserDetailsService、AuthenticationManagerResolver类型的bean,以及JwtDecoder、OpaqueTokenIntrospector、ClientRegistrationRepository、RelyingPartyRegistrationRepository类型的bean,将会执行相应的操作。
我们这里的表单验证,并没有对UserDeatilService这个接口进行实现,并没有对以上bean进行激活,所以他就是直接走了默认的配置。
4.小结
我们可以通过自定义 UserDetailService 接口的实现类,可以修改默认认证规则。
5.总结
以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。
如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
版权归原作者 LeoToJavaer 所有, 如有侵权,请联系我们删除。