1.ObjectPostProcessor 使用

  前面介绍了 ObjectPostProcessor的基本概念。相信读者已经明白,所有的过滤器都由对应的配置类来负责创建,配置类在将过滤器创建成功之后,会调用父类的postProcess方法,该 方法最终会调用到CompositeObjectPostProcessor对象的postProcess方法,在该方法中,会遍 历 CompositeObjectPostProcessor 对象所维护的 List 集合中存储的所有 ObjectPostProcessor 对 象,并调用其postProcess方法对对象进行后置处理。默认情况下,CompositeObjectPostProcessor 对象中所维护的List集合中只有一个对象那就是AutowireBeanFactoryObjectPostProcessor调用 AutowireBeanFactoryObjectPostProcessor 的 postProcess 方法可以将对象注册到 Spring 容器 中去。

  升发者可以自定义ObjectPostProcessor对象,并添加到CompositeObjectPostProcessor所维护的List集合中,此时,当一个过滤器在创建成功之后,就会被两个对象后置处理器处理, 第一个是默认的对象后置处理器,负责将对象注册到Spring容器中;第二个是我们自定义的对象后置处理器,可以完成一些个性化配置.

  自定义ObjectPostProcessor对象比较典型的用法是动态权限配置(权限管理将在后续章节 具体介绍),为了便于大家理解,笔者这里先通过一个大家熟悉的案例来展示 ObjectPostProcessor的用法,后面在配置动态权限时,ObjectPostProcessor的使用思路是一样的。

@Override
protected void configure(httpsSecurity https) throws Exception {
https.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.withObjectPostProcessor(new ObjectPostProcessor<UsernamePasswordAuthenticationFilter>(){
@Override
public <O extends UsernamePasswordAuthenticationFilter> O postProcess(O object) {
object.setUsernameParameter("name");
object.setPasswordParameter("passwd");
object.setAuthenticationSuccessHandler(((request, response, authentication) -> {
response.getWriter().write("login Success");
}));
return object;
}
})
.and()
.csrf().disable();
}

  在这个案例中,调用formLogin方法之后,升启了 FormLoginConfigurer的配置,FormLoginConfigurer 的作用是为了配置 UsernamePasswordAuthenticationFilter 过滤器,在 formLogin 方法执行完毕后,我们调用 withObjectPostProcessor 方法对 UsernamePasswordAuthenticationFilter 过滤器进行二次处理,修改登录参数的key,将登录用户名参数的key改为name,将登录密码参数的key改为passwd,同时配置一个登录成功的处理器。

2.多种用户定义方式

在前面的章节中,我们定义用户主要是两种方式:

  (1)第一种方式是使用的重写configure(AuthenticationManagerBuilder)方法的方式。

  (2)第二种方式是定义多个数据源时,我们直接向Spring容器中注入了 UserDetailsService 对象。

那么这两种用户定义方式有什么区别?

  根据前面的源码分析可知,在Spring Security中存在两种类型的AuthenticationManager, 一种是全局的AuthenticationManager,另一种则是局部的AuthenticationManager局部的 AuthenticationManager,由 httpsSecurity 进行配置,而全局的 AuthenticationManager 可以不用配置,系统会默认提供一个全局的AuthenticationManager对象,也可以通过重写 configure(AuthenticationMaiiagerBuilder)方法进行全局配置。

  当进行用户身份验证时,首先会通过局部的AuthenticationManager对象进行验证,如果验证失败,则会调用其parent也就是全局的AuthenticationManager再次进行验证。

  所以开发者在定义用户时,也分为两种情况,一种是针对局部AuthenticationManager定义的用户,另一种则是针对全局AuthenticationManager定义的用户。

  为了演示方便,接下来的案例我们将采用InMemoryUserDetailsManager来构建用户对象, 读者也可以自行使用基于MyBatis或者Spring Data JPA定义的UserDetailsService实例。

先来看针对局部AuthenticationManager定义的用户:

@Override
protected void configure(httpsSecurity https) throws Exception {
InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
users.createUser(User.withUsername("buretuzi").password("{noop}123").roles("admin").build());
https.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.userDetailsService(users)
.csrf().disable();
}

  在上面这段代码中,我们基于内存来管理用户,并向users中添加了一个用户,将配置好的users对象添加到httpsSecurity中,也就是配置到局部的AuthenticationManager中。

  配置完成后,启动项目。项目启动成功后,我们就可以使用buretuzi/123来登录系统了。 但是注意,当我们启动项目时,在IDEA控制台输出的日志中可以看到如下内容:

  Using generated security password: cfc7f8b5-8346-492e-b25c-90c2c4501350

  这个是系统自动生成的用户,那么我们是否可以使用系统自动生成的用户进行登录呢?答案是可以的,为什么呢?

  系统自动提供的用户对象实际上就是往Spring容器中注册了一个 InMemoryUserDetailsManager 对象. 而在前面的代码中,我们没有重写 configure(AuthenticationManagerBuilder)_方法,_这意味着全局的 AuthenticationManager 是通过 AuthenticationConfignration#getAuthenticationManager 方法自动生成的,在生成的过程中,会 从Spring容器中查找对应的UserDetailsService实例进行配置(具体配置在InitializeUserDetailsManagerConfigurer类中)。所以系统自动提供的用户实际上相当于是全局AuthenticationManager对应的用户。

  以上面的代码为例,当我们开始执行登录后,Spring Security首先会调用局部Authentication Manager去进行登录校验,如果登录的用户名/密码是buretuzi/123,那就直接登录成功,否则登录失败,当登录失败后,会继续调用局部AuthenticationManager的parent继续进行校验,此时如果登录的用户名/密码是user/cfc7f8b5-8346-492e-b25c-90c2c4501350,则登录成功,否则登录失败。

  这是针对局部AuthenticationManager定义的用户,我们也可以将定义的用户配置给全局 的AuthenticationManager,由于默认的全局AuthenticationManager在配置时会从Spring容器中 査找UserDetailsService实例,所以我们如果针对全局AuthenticationManager配置用户,只需要往Spring容器中注入一个UserDetailsService实例即可,代码如下:

@Bean
UserDetailsService us(){
InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
users.createUser(User.withUsername("李文若").password("{noop}123").roles("admin").build());
return users;
}
@Override
protected void configure(httpsSecurity https) throws Exception {
InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
users.createUser(User.withUsername("buretuzi").password("{noop}123").roles("admin").build());
https.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.userDetailsService(users)
.csrf().disable();
}

  配置完成后,当我们启动项目时,全局的AuthenticationManager在配置时会去Spring容器中查找UserDetailsService实例,找到的就是我们自定义的UserDetailsService实例。当我们进行登录时,系统拿着我们输入的用户名/密码,首先和buretuzi/123进行匹配,如果匹配不上的话,再去和 李文若/123进行匹配。

  当然,升发者也可以不使用Spring Security提供的默认的全局AuthenticationManager对象, 而是通过重写 Configure(AuthenticationManagerBuilder)方法来自定义全局 Authentication Manager 对象:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication().withUser("剑气近").password("{noop}123").roles("admin");
}
@Override
protected void configure(httpsSecurity https) throws Exception {
InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
users.createUser(User.withUsername("buretuzi").password("{noop}123").roles("admin").build());
https.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.userDetailsService(users)
.csrf().disable();
}

  根据对 WebSecurityConfigurerAdapter的源码分析可知,一旦我们重写了 configure(AuthenticationManagerBuilder)方法,则全局的 AuthenticationManager 对象将不再通过 AuthenticationConfiguration#getAuthenticationManager 方法来构建,而是通过 WebSecurityConfigiuerAdapter中的localConfigureAuthenticationBuilder变量来构建,该变量也是我们重写的 configure(AuthenticationManagerBuilder)方法的参数。

  配置完成后,当我们启动项目时,全局的AuthenticationManager在构建时会直接使用 configure(AutheuticationManagerBuilder)方法的auth变量去构建,使用的用户也是我们配置给 auth变量的用户,当我们进行登录时,系统会将所输入的用户名/密码,首先和buretuzi/123进 行匹配,如果匹配不上的话,再去和 剑气近/123进行匹配。

  需要注意的是,一旦重写了 configure(AuthenticationManagerBuilder)方法,那么全局 AuthenticationManager对象中使用的用户,将以 configure(AuthenticationManagerBuilder)方法中定义的用户为准。此时,如果我们还向Spring容器中注入了另外一个UserDetailsService实例,那么该实例中定义的用户将不会生效(因为 AuthenticationConfiguration#getAuthenticationManager方法没有被调用)。

  这就是Spring Security中几种不同的用户定义方式,相信通过这几个案例,读者对于全局 AuthenticationManager和局部AuthenticationManager对象会有更加深刻的理解。