1. 前言

歡迎閱讀Spring Security 實戰乾貨系列文章，在整合Spring Security安全框架的時候我們最先處理的可能就是根據我們專案的實際需要來定製註冊登入了，尤其是Http登入認證。根據以前的相關文章介紹，Http登入認證由過濾器UsernamePasswordAuthenticationFilter 進行處理。我們只有把這個過濾器搞清楚才能做一些定製化。今天我們就簡單分析它的原始碼和工作流程。

2. UsernamePasswordAuthenticationFilter 原始碼分析

UsernamePasswordAuthenticationFilter 繼承於AbstractAuthenticationProcessingFilter

public class UsernamePasswordAuthenticationFilter extends
      AbstractAuthenticationProcessingFilter {
    // 預設取賬戶名、密碼的key
	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
    // 可以通過對應的set方法修改
	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
    // 預設只支援 POST 請求
	private boolean postOnly = true;
    
   //  初始化一個使用者密碼 認證過濾器  預設的登入uri 是 /login 請求方式是POST
   public UsernamePasswordAuthenticationFilter() {
      super(new AntPathRequestMatcher("/login", "POST"));
   }

    // 實現其父類 AbstractAuthenticationProcessingFilter 提供的鉤子方法 用去嘗試認證
   public Authentication attemptAuthentication(HttpServletRequest request,
         HttpServletResponse response) throws AuthenticationException {
       // 判斷請求方式是否是POST
      if (postOnly && !request.getMethod().equals("POST")) {
         throw new AuthenticationServiceException(
               "Authentication method not supported: " + request.getMethod());
      }
      
       // 先去 HttpServletRequest 物件中獲取賬號名、密碼
      String username = obtainUsername(request);
      String password = obtainPassword(request);

      if (username == null) {
         username = "";
      }

      if (password == null) {
         password = "";
      }

      username = username.trim();

       // 然後把賬號名、密碼封裝到 一個認證Token物件中，這是就是一個通行證，但是這時的狀態時不可信的，一旦通過認證就變為可信的
      UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
            username, password);

      // 會將 HttpServletRequest 中的一些細節 request.getRemoteAddr()   request.getSession 存入的到Token中
      setDetails(request, authRequest);

       // 然後 使用 父類中的 AuthenticationManager 對Token 進行認證 
      return this.getAuthenticationManager().authenticate(authRequest);
   }
   // 獲取密碼 很重要 如果你想改變獲取密碼的方式要麼在此處重寫，要麼通過自定義一個前置的過濾器保證能此處能get到
   @Nullable
   protected String obtainPassword(HttpServletRequest request) {
      return request.getParameter(passwordParameter);
   }

      // 獲取賬戶很重要 如果你想改變獲取密碼的方式要麼在此處重寫，要麼通過自定義一個前置的過濾器保證能此處能get到
   @Nullable
   protected String obtainUsername(HttpServletRequest request) {
      return request.getParameter(usernameParameter);
   }

   // 參見上面對應的說明為憑據設定一些請求細節
   protected void setDetails(HttpServletRequest request,
         UsernamePasswordAuthenticationToken authRequest) {
      authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
   }

   // 設定賬戶引數的key
   public void setUsernameParameter(String usernameParameter) {
      Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
      this.usernameParameter = usernameParameter;
   }

   // 設定密碼引數的key
   public void setPasswordParameter(String passwordParameter) {
      Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
      this.passwordParameter = passwordParameter;
   }

   // 認證的請求方式是隻支援POST請求
   public void setPostOnly(boolean postOnly) {
      this.postOnly = postOnly;
   }

   public final String getUsernameParameter() {
      return usernameParameter;
   }

   public final String getPasswordParameter() {
      return passwordParameter;
   }
}
 

為了加強對流程的理解，我特意畫了一張圖來對這個流程進行清晰的說明：

3. 我們可以定製什麼

根據上面的流程，我們理解了UsernamePasswordAuthenticationFilter工作流程後可以做這些事情：

• 定製我們的登入請求URI和請求方式。

• 登入請求引數的格式定製化，比如可以使用JSON格式提交甚至幾種並存。

• 如何將使用者名稱和密碼封裝入憑據UsernamePasswordAuthenticationToken，定製業務場景需要的特殊憑據。

4. 我們會有什麼疑問

AuthenticationManager從哪兒來，它又是什麼，它是如何對憑據進行認證的，認證成功的後續細節是什麼，認證失敗的後續細節是什麼。不要走開，持續關注：碼農小胖哥

關注公眾號：Felordcn 獲取更多資訊

個人部落格：https://felord.cn