SpringSecurity用戶定義的方法是什么-四川平武建站

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

SpringSecurity用戶定義的方法是什么

這篇文章主要介紹“Spring Security用戶定義的方法是什么”，在日常操作中，相信很多人在Spring Security用戶定義的方法是什么問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Spring Security用戶定義的方法是什么”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

網(wǎng)站建設哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了興隆免費建站歡迎大家使用！

1.絕活一

先來看如下一段代碼：

@Configuration
public class SecurityConfig {
    @Bean
    UserDetailsService us() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("sang").password("{noop}123").roles("admin").build());
        return manager;
    }

    @Configuration
    @Order(1)
    static class DefaultWebSecurityConfig extends WebSecurityConfigurerAdapter {
        UserDetailsService us1() {
            InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
            manager.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin", "aaa", "bbb").build());
            return manager;
        }

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/foo/**")
                    .authorizeRequests()
                    .anyRequest().hasRole("admin")
                    .and()
                    .formLogin()
                    .loginProcessingUrl("/foo/login")
                    .permitAll()
                    .and()
                    .userDetailsService(us1())
                    .csrf().disable();
        }
    }

    @Configuration
    @Order(2)
    static class DefaultWebSecurityConfig2 extends WebSecurityConfigurerAdapter {
        UserDetailsService us2() {
            InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
            manager.createUser(User.withUsername("江南一點雨").password("{noop}123").roles("user", "aaa", "bbb").build());
            return manager;
        }

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/bar/**")
                    .authorizeRequests()
                    .anyRequest().hasRole("user")
                    .and()
                    .formLogin()
                    .loginProcessingUrl("/bar/login")
                    .permitAll()
                    .and()
                    .csrf().disable()
                    .userDetailsService(us2());
        }
    }
}

大家注意，在每一個過濾器鏈中，我都提供了一個 UserDetailsService 實例，然后在 configure(HttpSecurity http) 方法中，配置這個 UserDetailsService 實例。除了每一個過濾器鏈中都配置一個 UserDetailsService 之外，我還提供了一個 UserDetailsService 的 Bean，所以這里前前后后相當于一共有三個用戶，那么我們登錄時候，使用哪個用戶可以登錄成功呢？

先說結(jié)論：

如果登錄地址是 /foo/login，那么通過 sang 和 javaboy 兩個用戶可以登錄成功。
如果登錄地址是 /bar/login，那么通過 sang 和江南一點雨兩個用戶可以登錄成功。

也就是說，那個全局的，公共的 UserDetailsService 總是有效的，而針對不同過濾器鏈配置的 UserDetailsService 則只針對當前過濾器鏈生效。

?
這里為了方便，使用了基于內(nèi)存的 UserDetailsService，當然你也可以替換為基于數(shù)據(jù)庫的 UserDetailsService。

那么接下來我們就來分析一下，為什么是這個樣子？

1.1 源碼分析

1.1.1 全局 AuthenticationManager

首先大家注意，雖然我定義了兩個過濾器鏈，但是在兩個過濾器鏈的定義中，我都沒有重寫 configure(AuthenticationManagerBuilder auth) 方法，結(jié)合上篇文章，沒有重寫這個方法，就意味著 AuthenticationConfiguration 中提供的全局 AuthenticationManager 是有效的，也就是說，系統(tǒng)默認提供的 AuthenticationManager 將作為其他局部 AuthenticationManager 的 parent。

那么我們來看下全局的 AuthenticationManager 配置都配了啥？

public AuthenticationManager getAuthenticationManager() throws Exception {
 if (this.authenticationManagerInitialized) {
  return this.authenticationManager;
 }
 AuthenticationManagerBuilder authBuilder = this.applicationContext.getBean(AuthenticationManagerBuilder.class);
 if (this.buildingAuthenticationManager.getAndSet(true)) {
  return new AuthenticationManagerDelegator(authBuilder);
 }
 for (GlobalAuthenticationConfigurerAdapter config : globalAuthConfigurers) {
  authBuilder.apply(config);
 }
 authenticationManager = authBuilder.build();
 if (authenticationManager == null) {
  authenticationManager = getAuthenticationManagerBean();
 }
 this.authenticationManagerInitialized = true;
 return authenticationManager;
}

全局的配置中，有一步就是遍歷 globalAuthConfigurers，遍歷全局的 xxxConfigurer，并進行配置。全局的 xxxConfigurer 一共有三個，分別是：

EnableGlobalAuthenticationAutowiredConfigurer
InitializeUserDetailsBeanManagerConfigurer
InitializeAuthenticationProviderBeanManagerConfigurer

其中 InitializeUserDetailsBeanManagerConfigurer，看名字就是用來配置 UserDetailsService 的，我們來看下：

@Order(InitializeUserDetailsBeanManagerConfigurer.DEFAULT_ORDER)
class InitializeUserDetailsBeanManagerConfigurer
  extends GlobalAuthenticationConfigurerAdapter {
 @Override
 public void init(AuthenticationManagerBuilder auth) throws Exception {
  auth.apply(new InitializeUserDetailsManagerConfigurer());
 }
 class InitializeUserDetailsManagerConfigurer
   extends GlobalAuthenticationConfigurerAdapter {
  @Override
  public void configure(AuthenticationManagerBuilder auth) throws Exception {
   if (auth.isConfigured()) {
    return;
   }
   UserDetailsService userDetailsService = getBeanOrNull(
     UserDetailsService.class);
   if (userDetailsService == null) {
    return;
   }
   PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
   UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);
   DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
   provider.setUserDetailsService(userDetailsService);
   if (passwordEncoder != null) {
    provider.setPasswordEncoder(passwordEncoder);
   }
   if (passwordManager != null) {
    provider.setUserDetailsPasswordService(passwordManager);
   }
   provider.afterPropertiesSet();
   auth.authenticationProvider(provider);
  }
 }
}

可以看到，InitializeUserDetailsBeanManagerConfigurer 中定義了內(nèi)部類，在其內(nèi)部類的 configure 方法中，通過 getBeanOrNull 去從容器中查找 UserDetailsService 實例，查找到之后，創(chuàng)建 DaoAuthenticationProvider，并最終配置給 auth 對象。

這里的 getBeanOrNull 方法從容器中查找到的，實際上就是 Spring 容器中的 Bean，也就是我們一開始配置了 sang 用戶的那個 Bean，這個 Bean 被交給了全局的 AuthenticationManager，也就是所有局部 AuthenticationManager 的 parent。

1.1.2 局部 AuthenticationManager

所有 HttpSecurity 在構(gòu)建的過程中，都會傳遞一個局部的 AuthenticationManagerBuilder 進來，這個局部的 AuthenticationManagerBuilder 一旦傳進來就存入了共享對象中，以后需要用的時候再從共享對象中取出來，部分代碼如下所示：

public HttpSecurity(ObjectPostProcessor

99热在线精品一区二区三区_国产伦精品一区二区三区女破破_亚洲一区二区三区无码_精品国产欧美日韩另类一区

新聞中心

1.絕活一

1.1 源碼分析

1.1.1 全局 AuthenticationManager

1.1.2 局部 AuthenticationManager

2.絕活二

其他資訊