跳至主要內容

默认用户生成(上)

Leospringsecurityspringsecurity约 1387 字大约 5 分钟

SpringSecurity6 | 默认用户生成(上)

image-20231030235443828
image-20231030235443828

1.前言

大家好,我是Leo哥🫣🫣🫣,前几周忙工作,博客等事宜都给耽搁,这不这周闲一点了,抓紧开始更SpringSecurity。接到上一节open in new window,我们学习了SpringSecurity的默认登录页并通过源码去简单看了一下实现。这一节呢,我们主要来学习当我们启动项目之后,默认用户以及默认密码是如何生成的。好了,话不多说让我们开始吧😎😎😎。

2.问题

其实第二节内容中open in new window,我们就简单了解了项目启动之后,SpringSecurity会给我生成一个默认的用户user,以及一个随机的uuid密码。但是我们只是简单了解一下,他是因为在用户相关的自动化配置类在 UserDetailsServiceAutoConfiguration 里边,在该类的 getOrDeducePassword 方法中生成的,我们再来简单回顾一下。

image-20231205200658829
image-20231205200658829

可是这个用户user为什么默认是user呢,这个密码又是如何一步一步生成出来的呢,这一系列的过程是怎样的呢,带着这些疑问,今天Leo哥就跟大家一起学习其中奥妙。

3.默认用户生成

首先我们来讲讲这个默认用户生成,他具体是如何是怎么生成的,又具体存在哪里呢?我们接着往下看

还记得这个自动配置的imports嘛,在项目启动之后,SpringBoot就会自动导入一些我们需要的配置,我们这里主要看一下SecurityAutoConfiguration这个类。

image-20231205201549869
image-20231205201549869
image-20231205201822196
image-20231205201822196

如上图,在这个类中,他主要加载了一些配置类,比如SecurityProperties这个配置文件,让他在项目启动之前就生效。

我们接着点开这个配置文件进行查看,看看是否我们想找的配置信息。

image-20231205202014757
image-20231205202014757

点开之后,果然发现了一个静态的User类,在这个User类中,有name和password属性,这不就是我们的默认用户信息嘛,默认用户名为user,默认密码为随机生成的UUID

4.表单认证流程

上面我们知道了默认用户是怎么一步一步加载生成的,那我们就接着往下走,既然知道了用户名跟密码,我们就使用SpringSecurity给我提供的表单进行登录认证,那这个登录又是如何一步一步进行认证的呢,我们接着看。

在之前的学习中,我们简单追踪了一下SpringBoot自动配置相关的内容,知道了SpringSecurity最终会在这里对我们的所有请求进行拦截,也就是我们所谓的认证,是通过http进行认证,当然认证是分好几种,有默认的httpBasic 以及 formLogin,而我们默认的那个表单登录页走的就是formLogin这个方法。

image-20231205201036604
image-20231205201036604

他会调用 HttpSecurity 类的 formLogin() 方法,在该方法中创建 FormLoginConfigurer 类的实例,并指定处理认证的 Filter 进行认证:

image-20231205202326832
image-20231205202326832

然后又去new了一个FormLoginConfigurer(),然后去调用父类的构造方法区new这个类

image-20231205202413310
image-20231205202413310

在 UsernamePasswordAuthenticationFilter的 attemptAuthentication() 中,调用 AuthenticationManager 接口的 authenticate() 方法进行认证:

image-20231205202656359
image-20231205202656359

我们点开AuthenticationManager,发现他是一个接口,于是我们点开他的实现类ProviderManager中的authenticate() 进行查看。

image-20231205203202060
image-20231205203202060

又去调用了provider.authenticate(authentication)方法,我们接着点进去看,发现AuthenticationProvider又是一个接口,于是我们接着去查看他的实现类。

而他实际执行的是 AuthenticationProvider接口实现类AbstractUserDetailsAuthenticationProvider 中的 authenticate() 方法,在该方法中调用 retrieveUser() 方法:

image-20231205203406457
image-20231205203406457

而实际执行的是 AbstractUserDetailsAuthenticationProvider 的子类 DaoAuthenticationProvider 中的 retrieveUser() 方法,在该方法中调用 UserDetailsService 接口的 loadUserByUsername() 方法:

image-20231205203624695
image-20231205203624695

他实际执行的是 UserDetailsService 接口实现类 InMemoryUserDetailsManager 中的 loadUserByUsername() 方法,在该方法中会在 users 集合变量中根据用户输入的帐号获取 UserDetails 信息:

image-20231205203747758
image-20231205203747758

这个users是什么呢,可以看出来是本来进行定义的,我们点过去看看本来的属性users

image-20231205203841857
image-20231205203841857

可以看出来这个users就是从HashMap中取出来的,也就是基于内存保存的users。

类 InMemoryUserDetailsManager 是由内存 map 支持的接口实现类,基于内存存储,不需要后端数据库

image-20231205203938965
image-20231205203938965

5.小结

  • 默认用户名 user 和 控制台的密码,是在 SpringSecurity 提供的 User 类中定义生成的。
  • 在表单认证时,基于 InMemoryUserDetailsManager 类具体进行实现,也就是基于内存的实现,当然我们后续进行拓展的话可以直接实现UserDetailsService接口,通过数据库进行用户实现。

6.总结

以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。

如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。

公众号封面
公众号封面