SpringSecurity专题从入门到源码剖析(三) 核心组件

最新推荐文章于 2023-06-15 18:17:31 发布
最新推荐文章于 2023-06-15 18:17:31 发布
阅读量199 收藏 1
点赞数
分类专栏: SpringSecurity专题从入门到源码剖析 文章标签: SpringSecurity spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Crazy_liyang/article/details/109482595
版权

视频教程地址:  https://www.bilibili.com/video/BV1kT4y1F7Tc

代码地址:     https://gitee.com/crazyliyang/video-teaching

1. SecurityContextHolder

public class SecurityContextHolder {
    // 省略非核心代码 ...
    // ...
    
    public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";   // threadLocal
    public static final String SYSTEM_PROPERTY = "spring.security.strategy";
    
    private static String strategyName = System.getProperty(SYSTEM_PROPERTY);  // 上边的系统变量
    
    private static SecurityContextHolderStrategy  strategy;  // 策略类
    
    public static SecurityContext getContext() {
        return strategy.getContext();
    }

    private static void initialize() {
        if (!StringUtils.hasText(strategyName)) { // 如果没有系统变量的配置
            // Set default
            strategyName = MODE_THREADLOCAL;  // 策略名称使用 MODE_THREADLOCAL就是threadLocal
        }

        if (strategyName.equals(MODE_THREADLOCAL)) { //  mode_threadLocal
            // 创建 ThreadLocal 类型的 SecurityContextHolderStrategy
            strategy = new ThreadLocalSecurityContextHolderStrategy();
        }
        
        // 其实下边的就可以 不用看了, 我们没有设置, 这里其实就是 策略设计模式
        // 默认就是这个ThreadLocalSecurityContextHolderStrategy
        else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
            strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
        }
        else if (strategyName.equals(MODE_GLOBAL)) {
            strategy = new GlobalSecurityContextHolderStrategy();
        }
        else {
            // Try to load a custom strategy
            try {
                Class<?> clazz = Class.forName(strategyName);
                Constructor<?> customStrategy = clazz.getConstructor();
                strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
            }
            catch (Exception ex) {
                ReflectionUtils.handleReflectionException(ex);
            }
        }

        initializeCount++;
    }

    public static void setContext(SecurityContext context) {
        strategy.setContext(context);
    }

    public static SecurityContextHolderStrategy getContextHolderStrategy() {
        return strategy;
    }
}

既然已经知道策略类是 ThreadLocalSecurityContextHolderStrategy  直接上代码

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
    
    // 看到这里就一目了然了  ThreadLocal 线程变量, 大家一定不陌生
    // ThreadLocal 中存储的变量和当前线程绑定
    private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

    public void clearContext() {
        contextHolder.remove();
    }

    // 获取ThreadLocal中的内容  SecurityContext
    public SecurityContext getContext() {
        SecurityContext ctx = contextHolder.get();
        if (ctx == null) {
            ctx = createEmptyContext();
            contextHolder.set(ctx);
        }
        return ctx;
    }

    public void setContext(SecurityContext context) {
        Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
        contextHolder.set(context);
    }

}
 
public interface SecurityContext extends Serializable {
    
    // 获取认证 Authentication
    Authentication getAuthentication();

    // 设置认证 Authentication
    void setAuthentication(Authentication authentication);
}


// 只有一个实现类 说白了就是 SecurityContext 中就是持有一个 Authentication
public class SecurityContextImpl implements SecurityContext {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    // 认证 Authentication 抽象
    private Authentication authentication;

    public SecurityContextImpl() {}

    public SecurityContextImpl(Authentication authentication) {
        this.authentication = authentication;
    }

    @Override
    public Authentication getAuthentication() {
        return authentication;
    }

    @Override
    public void setAuthentication(Authentication authentication) {
        this.authentication = authentication;
    }

}

// 下边再讲 Authentication 是啥!
 

那我们在看一下  SecurityContext 是什么

通过以上源码的分析可知,  SecurityContextHolder 用于存储安全上下文   SecurityContext  信息

而这个 SecurityContext 进一步持有 Authentication  即代表的是当前操作的用户所有信息:  用户是谁,该用户是否已经被认证,他拥有哪些角色权限等待…   这些都被保存在 Authentication

SecurityContextHolder  默认使用  ThreadLocal  策略来存储认证信息。当然从源码可以看出策略是可以配置的,

看到 ThreadLocal 也就意味着,这是一种与线程绑定的策略。Spring Security 在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息;

但这一切的前提,是你在 web 场景下使用 Spring Security,而如果是 Swing 界面,Spring 也提供了支持,SecurityContextHolder 的策略则需要被替换,鉴于我的初衷是基于 web 来介绍 Spring Security,所以这里以及后续,非 web 的相关的内容都会忽略。

 

2. Authentication

直接先上代码:

package org.springframework.security.core;
import java.security.Principal;  // 注意这里是 java.security 包, 可见这里等级之高

public interface Authentication extends Principal, Serializable {

    // 权限s   集合中放的是 GrantedAuthority 的子类
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials(); // 获取凭证

    Object getDetails(); // 获取详细信息 eg. IP address

    Object getPrincipal();  // 获取主体 Principal, 注意返回的是 Object

    boolean isAuthenticated();  // 是否已认证

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException; // set 方法
}

 

Authentication 是在   org.springframework.security.core   核心包中的接口

直接继承自 Principal 类  Principal单词含义 (  adj. 主要的,首要的 ) , 而 Principal 是位于 java.security 包中的

可以见得 Authentication 在 SpringSecurity 体系中是最高级别的身份认证的抽象

由这个顶级的权限认证接口Authentication我们可以获取很多信息, 我们逐一来分析:

2.1 getAuthorities()

权限信息列表,默认是 GrantedAuthority 接口的一些实现类,通常是代表权限信息的一系列字符串。

2.2 getCredentials()

凭证信息,  一般是密码信息,密码就是这个用户登录的凭证,

用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。

2.3 getDetails()

细节信息,web 应用中的实现接口通常为 WebAuthenticationDetails,

它记录了访问者的 ip 地址和 sessionId 的值等信息

2.4 getPrincipal()

最重要的身份信息,大部分情况下返回的是 UserDetails 接口的实现类,也是框架中的常用接口之一

      下边的章节会重点讲到

 

3. GrantedAuthority

上边 身份认证最高级别接口 Authentication 中的 getAuthorities()

就是要获取 GrantedAuthority的子类集合,  GrantedAuthority 就代表了 '权限'

其实就是一种标识, 这个标识代表了某种权限, e.g 管理员角色权限, 普通用户角色权限等, 依赖的是角色标识;

更加细粒度的权限码, e.g 对于用户模块有一个删除用户的接口, 操作该接口需要的权限码是 'sys.user.delete'

只有访问的用户具有该权限标识码时, 才能访问成功, 否则失败;

package org.springframework.security.core;
public interface GrantedAuthority extends Serializable {

    String getAuthority();  // 获取权限标识,  注意这里是String 字符串
}
 

这里贴出 GrantedAuthority 的一个框架提供的实现类 SimpleGrantedAuthority

package org.springframework.security.core.authority;
public final class SimpleGrantedAuthority implements GrantedAuthority {

    private final  String role;  // 属性是 字符串 角色role

    public SimpleGrantedAuthority(String role) {
        this.role = role;
    }

    @Override
    public String getAuthority() {
        return role;
    }
}
 

看代码可知和我们预想的一样

解释一下, 相当于说  Authentication#getAuthorities()  得到的是一个 角色集合:  

                                                                                                                    String role

Collection< ? extends GrantedAuthority> getAuthorities()   ->    Collection<SimpleGrantedAuthority>

 

 

4. UserDetails

表示对用户概览的抽象, 代码中的注释已经写明其含义

package org.springframework.security.core.userdetails;

public interface UserDetails extends Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();  // 上问已经分析, 权限标识集合

    String getPassword(); // 密码

    String getUsername(); // 用户名
    
    boolean isAccountNonExpired(); // 是否未过期

    boolean isAccountNonLocked(); // 是否未锁定

    boolean isCredentialsNonExpired();  // 凭证是否未过期 
    
    boolean isEnabled(); // 是否可用
}

5. UserDetailsService  

用户详细信息服务接口    通过 username 查询 UerDetails

package org.springframework.security.core.userdetails;

public interface UserDetailsService {

    // 通过 username 查询 UerDetails
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
 

6. AuthenticationManager

认证管理器, 代码如下:

package org.springframework.security.authentication;

import org.springframework.security.core.Authentication;  // 认证接口

public interface AuthenticationManager {
    
    // authenticate  vt. 鉴定;证明…是真实的   含义: 对传入的 Authentication 进行认证
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
}
AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点.

 

7. ProviderManager

 

package org.springframework.security.authentication;

public class ProviderManager implements AuthenticationManager, MessageSourceAware,

    // 省略非主要部分 ...
       ...

    // 持有 AuthenticationProvider 的集合
    private List<AuthenticationProvider> providers = Collections.emptyList();

    private AuthenticationManager parent;  // 父级的管理器

    // 构造
    public ProviderManager(List<AuthenticationProvider> providers) {
        this(providers, null);
    }

    public ProviderManager(List<AuthenticationProvider> providers,AuthenticationManager parent) {
        this.providers = providers; // AuthenticationProvider的集合
        this.parent = parent;  // 父级
    }

    public List<AuthenticationProvider> getProviders() {
        return providers;
    }
    
    
    // 重点在这里认证方法
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Class<? extends Authentication> toTest = authentication.getClass();
        
        Authentication result = null;  // 认证的结果
        
        // 循环遍历 属性  List<AuthenticationProvider> providers
        for (AuthenticationProvider provider : getProviders()) {
            
            if (!provider.supports(toTest)) { // 获取每一个 AuthenticationProvider 判断是否支持
                continue;  // 不支持跳过继续遍历
            }
            
            try {
                
                // 重点 调用 AuthenticationProvider 的 authenticate
                result = provider.authenticate(authentication);

                if (result != null) {
                    copyDetails(authentication, result);
                    break;
                }
            }
            catch (AccountStatusException | InternalAuthenticationServiceException e) {
                prepareException(e, authentication);
                // SEC-546: Avoid polling additional providers if auth failure is due to
                // invalid account status
                throw e;
            } catch (AuthenticationException e) {
                lastException = e;
            }
        }

        throw lastException;
    }

        // 省略非主要部分 ...
        ...

}

 

 

 

8. AuthenticationProvider

    接口代码如下:  

package org.springframework.security.authentication;

public interface AuthenticationProvider {

    // 认证 Authentication
    Authentication authenticate(Authentication authentication) throws AuthenticationException;

    // 是否支持传入的  authentication
    boolean supports(Class<?> authentication);
}

 

看到这里大家可能一面懵逼, 什么东西?  

一个认证而已  又是AuthenticationManager,又是 ProviderManager ,又是 AuthenticationProvider  

搞这么复杂 ???!     what the fu**k !

其实我一开始阅读到这里也是心里一万头 艹尼玛呼啸而过. 但冷静下来仔细想了一下, 梳理一通之后, 突然想到Spring 架构中惯用的设计模式:   委托者模式Delegate,   好像开始理解设计者的用意了 :

因为实际项目中, 我们的登录认证方式可以  用户名 + 密码,  手机号+ 密码,   邮箱+密码,  甚至人脸登录等等

现实这么多登录方式, 框架也不知道用户究竟是使用哪一种,  所以说 AuthenticationManager 一般不直接认证,

AuthenticationManager 接口的实现类 ProviderManager 内部会维护一个 List<AuthenticationProvider> 列表,列表里存放多种认证方式, 遍历这个列表哪一个支持该认证方式, 就使用哪一个AuthenticationProvider来执行认证,   真正去执行具体认证的就是是这个AuthenticationProvider的实现类;

实际上这就是 委托者模式(Delegate) 的应用。 哈哈,  是不是突然豁然开朗 !!!

 

这里我自己画了一个流程图供大家参考,  链接:     认证流程图

 

6. UML架构图

 

 

spring-security-architecture.png

 

 

 

核心组件    思维导图 源码查看组件关系:      

https://www.processon.com/diagraming/5f9bdcea0791295c2ac17ad9

Crzayliyang-架构Young
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity-从入门到精通 demo源码
06-21
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。...​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring Security登录用户数据获取(4)
qq_39853669的博客
10-18 1856
登录成功之后,在后续的业务逻辑中,开发者可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。无论是哪种获取方式,都离不开一个重要的对象:Authentication。可以看到,在Spring Security中,只要获取到Authentication对象,就可以获取到登录用户的详细信息;
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1235
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
Spring Security认证之登录用户数据获取
大后生大大大的博客
11-17 3150
Authentication、SecurityContext、SecurityContextHolder
SpringSecurity +oauth2获取当前登录用户(二)
ytyDaMoTou的博客
03-17 3912
注意,如果访问不通过,需要在资源配置类中将用户访问接口添加到资源配置。但是,通过运行会发现principal的值只是。.java类中编写测试入口方法。类,将以上配置类引用到方法。1 先获取token。
SpringSecurity-从入门到精通文章的源码文件
10-25
SpringSecurity-从入门到精通文章的源码文件
全套Spring Security入门到项目实战课程
最新发布
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 ...
拓薪教育SpringMVC从入门到深层剖析
07-22
教程名称: 拓薪教育SpringMVC从入门到深层剖析 . 01.拓薪教育-sprngmvc介绍 · 02.拓薪教育-以配置文件方式开发springmvc第一个例子 · 03.拓薪教育-种映射处理器 · 04.拓薪教育-种控制器 · 05.拓薪...
spring源码入门到放弃
06-02
spring源码入门到放弃
SpringSecurity+JWT认证流程解析 | CSDN新人第一弹
和耳朵
07-07 1779
纸上得来终觉浅,觉知此事要躬行。 楔子 本文适合: 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。本文代码: 码云地址 GitHub地址 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring.
openlayers操作分享:如何从容的在vue中食用openlayers6
林恒的博客
11-19 2570
这篇文章,分享下我对openlayers的一些经验和理解,会夹杂大量搜索出来得文档,是我正式使用时可以实现的,废话不多说,我们从下载开始 一,openlayers安装且初始化地图 创建vue项目就省略了,OpenLayers通过NPM 安装 npm install ol -S Vue页面   OpenLayers 加载地图可以加载离线地图,也可以下载离线瓦片地图加载, 地图相关配置,我放在...
Authentication详解
小汤圆
08-10 4904
Authentication
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 1865
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
Spring Security(10)权限处理
weixin_43189971的博客
07-20 1930
1.getAuthorities的方法中实现权限配置 2.权限评估器 permissionEvaluator 3. @PreAuthorize权限注解的两种写法(user中先开启注解)
Spring Security 解析(四) ——短信登录开发
qq_22178703的博客
09-02 460
Spring Security 解析(四) —— 短信登录开发   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境...
java安全认证_SpringBoot安全认证Security的实现方法
weixin_39859220的博客
02-12 393
一、基本环境搭建父pom依赖org.springframework.bootspring-boot-starter-parent2.0.3.RELEASE1. 添加pom依赖:org.springframework.bootspring-boot-starter-security2. 创建测试用Controller@RestControllerpublic class TestController...
Shiro整合JWT实现认证和权限鉴定(执行流程清晰详细)
qq_25046827的博客
04-23 8122
文章目录一、前情提要二、整合Shiro与JWT1、编写JWT工具类2、编写JWTToken3、编写JWTFilter4、编写JWTRealm5、编写Shiro配置类、编写异常处理类四、编写Controller 一、前情提要 JWT:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 Shiro:Java的一个安全(权限)框架,用户登录时把身份信息(用户名/手机号/邮箱地址等)和凭证信息(密码/证书等)封装成
Spring Security系列-Spring Security运行机制分析(一)
马各马它
05-20 370
前言 Spring Security作为Spring家族里的一个重要成员,目的是对用户认证和鉴权进行处理。用过Spring Security的人应该会觉得配置很多,运行机制很复杂,难以驾驭。下面我们从一个简单的小程序开始,慢慢的揭开Spring Security的面纱。 从一个小程序开始 下面是一个来自Spring官方的样例,代码很简单。真实情况会更加复杂,我们先从简单的开始。 public cl...
springsecurity 源码
09-13
Spring Security 的过滤器链是配置在 Spring MVC 的核心组件 DispatcherServlet 运行之前。这意味着请求通过 Spring Security 的所有过滤器并不意味着能够正常访问资源,该请求还需要通过 Spring MVC 的拦截器链。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值