国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

首先，希望還對 spring-security框架完全不懂的新手 下載下Git源碼。 引入到項目中。這個短文就是邊看源碼邊聊的。也會啟動下項目驗證自己的推想。

一、登陸認(rèn)證的登陸配置項

<form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/index.ht" 　　username-parameter="username" password-parameter="password" login-processing-url="/j_spring_security_check"/> <logout logout-url="/logout.ht"/>

看到這個配置，其實就大略明白了。 這就像配置了一個control/Servlet, userName 參數(shù)名字為 ”name“，password 為”password“

然后校驗用戶密碼，通過就跳轉(zhuǎn)的頁面為 index.ht 。 

spring-security框架維護(hù)了一個過濾器鏈來提供服務(wù)， 而<form-login/> 這個登陸配置項其實創(chuàng)建了一個名為UsernamePasswordAuthenticationFilter的過濾器 。

框架提供的這些過濾器，也包括<custom-filter/>配置的過濾器。都是通過假名有嚴(yán)格順序來執(zhí)行的。稍后詳細(xì)介紹自定義過濾器。

UsernamePasswordAuthenticationFilter ： 

正如我們配置的這些參數(shù)，也會有默認(rèn)配置的   比如

usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY =“j_username”，

passwordParameter=“j_password”

默認(rèn)接受form請求地址 ：j_spring_security_check ,

這些可配置的參數(shù)，都會存在默認(rèn)參數(shù)。這些參數(shù)的讀取是在 Initializing Spring root WebApplicationContext 后，加載并且解析xml配置文件。然后初始化ioc 容器。形成上面所提的過濾器鏈。

二、簡單說一下解析xml 過程

HttpSecurityBeanDefinitionParser.parse() {  filterChains.add(createFilterChain(element, pc)); }

createFilterChain方法會調(diào)用 AuthenticationConfigBuilder的構(gòu)造方法 初始化各種filter        createFormLoginFilter(sessionStrategy, authenticationManager); 即為登錄配置信息xml的解析處理方法：

SecurityNamespaceHandler.parse（Element element, ParserContext pc）  //關(guān)鍵代碼：String name = pc.getDelegate().getLocalName(element); BeanDefinitionParser parser = parsers.get(name); 通過配置項的名字。以策略模式獲取到專用解析器 都實現(xiàn)自BeanDefinitionParser 接口， 通過父類的引用執(zhí)行子類的具體實現(xiàn)。調(diào)用這些子類的parse()方法eg:RememberMeBeanDefinitionParser,LogoutBeanDefinitionParser等、、

<form-login/> 的解析在 FormLoginBeanDefinitionParser,  解析后拿到配置的參數(shù)，然后初始化一個filter 。

不知道這個解析方法為啥沒有實現(xiàn)BeanDefinitionParser 。 本來不想貼代碼的。更想愿意讀的人自己下載源碼自己看。

三、獲取登陸獲取賬號密碼

切面走到這個登陸過濾器的時候   UsernamePasswordAuthenticationFilter.attemptAuthentication()  的方法    會從request中，通過配置的userNameParam ,passwordParam 獲取 name password

然后構(gòu)造一個包裝了密碼賬號的對象： new UsernamePasswordAuthenticationToken（password，username）

然后調(diào)用接口 AuthenticationManager.authenticate（） （認(rèn)證管理類中的一個實現(xiàn)類 ProviderManager的認(rèn)證方法）

四、配置驗證密碼的認(rèn)證管理類

配置認(rèn)證管理類 AuthenticationManager 需要 給它提供了一個 user-service  bean    來通過用戶名獲取用戶 

這個userDetailProvider bean 需要實現(xiàn) UserDetailsService接口 提供一個 loadUserByUsername（）方法。

配置項：

<security:authentication-manager alias="authenticationManager"><security:authentication-provider user-service-ref="userDetailProvider"/> </security:authentication-manager>
<bean id="userDetailProvider" class="com.hotent.web.security.provider.UserAuthProvider"/> 

然后 從ProviderManager 中的  List<AuthenticationProvider> providers認(rèn)證策略都  拿出來 進(jìn)行認(rèn)證（虛）

AbstractUserDetailsAuthenticationProvider .authenticate（）

          retrieveUser() // 調(diào)用子類DaoAuthenticationProvider的實現(xiàn)方法

DaoAuthenticationProvider.retrieveUser() 會通過我之前配置的userDetailProvider.loadUserByUsername(username)，獲取用戶，

然后preAuthenticationChecks.check(user);  校驗用戶是否可用、鎖定、過期

然后調(diào)用additionalAuthenticationChecks（）方法驗證密碼。 

 五、配置 密碼加密方式

接著我登陸不上才發(fā)現(xiàn)沒有配置密碼的加密類型。隨便找了 個文檔。配了下、居然發(fā)現(xiàn)啟動不了，妹的。

還好我比較機智，找到了xsd校驗文件

順利找到了正確配置方法，在authentication-provider    element下、 有一個password-encoder   xs:element

這個element 有個attribute<xs:attributeGroup ref="security:password-encoder.attlist"/>,這個想必就是spring-security所支持的所有加密類型了。那xml 就改成了 這樣

最終authenticationManager的配置  如下

<security:authentication-manager alias="authenticationManager"><!-- 鑒定管理類 -->          <security:authentication-provider  user-service-ref="userDetailProvider">             <security:password-encoder hash="sha-256"/>         </security:authentication-provider>      </security:authentication-manager>

其實很少有人這么傻著從校驗文件 去查屬性的。 除了像我這種機智到二的人。 其實官方文檔說的很清楚，而且xml也會有提示。但是我抱著探究的態(tài)度還是直接看xsd。

這樣密碼加密校驗就通過。

接著將成功登陸用戶，和用戶信息發(fā)布出一個事件

 applicationEventPublisher.publishEvent(new AuthenticationSuccessEvent(authentication));

///

六、登陸的擴展

很多時候，我們希望做更多的擴展、比如加一些U盾之類的口令啦、短信校驗啦。驗證碼啦。 那么要實現(xiàn)、可以加些自定義的過濾器，也可以重寫一些方法，等等、初次探究，我現(xiàn)在還不夠清楚。  不過這些都略有些麻煩。

其實如果你自己去校驗用戶。然后將用戶登錄信息放入SecurityContext 里面 也就可以隨心所欲了。

如下圖   驗證賬號密碼、驗證碼 的截圖略過   ！直接是驗證密碼后的操作。

關(guān)鍵代碼  

　　UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, encrptPassword);　　authRequest.setDetails(new WebAuthenticationDetails(request));　　SecurityContext securityContext = SecurityContextHolder.getContext();　　Authentication auth = authenticationManager.authenticate(authRequest); 　　securityContext.setAuthentication(auth);　　sessionStrategy.onAuthentication(auth, request, response);  　

注入要使用的類

　　@Resource(name = "authenticationManager")    private AuthenticationManager authenticationManager = null;    @Resource    UserDetailsService userDetailsService;    @Resource    private SessionAuthenticationStrategy sessionStrategy= new NullAuthenticatedSessionStrategy();

注入的authenticationManager 其實就是之前寫到的  ProviderManager

我們直接使用用戶名，密碼（加密后） 構(gòu)建了UsernamePasswordAuthenticationToken（為存放密碼賬號信息的一個令牌） 是Authentication接口的一個實例。然后把構(gòu)建好的  authentication 發(fā)送給authenticationManager 進(jìn)行校驗 。

authenticationManager 成功校驗后，返回一個完全的 Authentication 實例。

SecurityContextHolder.getContext().setAuthentication(...)

Spring Security 并不知道你怎么把Authentication 對象 放到了SecurityContextHolder 里面，唯一關(guān)鍵點就是 “SecurityContextHolder 已經(jīng)包含了一個 Authentication 標(biāo)識了一個主體”。  這樣就能滿足AbstractSecurityInterceptor 之前的驗證一個用戶需要。

 所以、這個authentication放入SecurityContextHolder的過程可以有很多種方式、一個過濾器、一個control方法、就能達(dá)到目的，自然就實現(xiàn)了登陸。

有空繼續(xù)