SpringSecurity - (Servlet)
整体架构
-
SpringSecurity对Servlet的支持基于其Filter过滤器
-
FilterChainProxy选择第一个匹配的SecurityFilterChain
Security Exceptions的处理
- SecurityFilterChain中的ExceptionTranslationFilter拦截AccessDeniedException和AuthenticationException,并将其转换为HTTP response
- 如果用户未认证(收到AuthenticationException),则将Request缓存,开始认证(Authentication)。等待用户认证成功后,再处理被缓存的Request。
- 如果访问被拒绝(AccessDeniedException),AccessDeniedHandle处理
Authentication 认证
-
SecurityContextHolder: 管理认证信息上下文。默认使用ThreadLocal储存上下文,在一个线程内共享
-
SecurityContext: 从SecurityContextHolder中获取,包含一个Authentication
-
Authentication:认证信息。相当于一个令牌,放在这个上下文中,以进行进一步的授权等操作。
-
包括:
- 主体(Principal):标识用户
- 证书(Credentials):通常是密码
- 权限(Authorities):授予的权限。(例如角色信息)
-
用途:
- 用于将用户提供的认证信息(作为认证请求) 呈递给AuthenticationManager进行认证
- 用于表示当前已认证的用户(从SecurityContext中获取)
-
boolean isAuthenticated(); 返回是否通过认证(密码、证书…正确)
-
实现类:
- UsernamePasswordAuthenticationToken(userDetails, password, authorities)
- TestingAuthenticationToken
- …
-
认证大体流程:将用于请求认证的Authentication,传递给AuthenticationManager进行认证。AutehnticationManager返回认证通过的Authentication,将其存入SecurityContextHolder。 手动实现:
SecurityContext context = SecurityContextHolder.createEmptyContext(); Authentication authentication = new UsernamePasswordAuthenticationToken(user, "password", "ROLE_USER"); context.setAuthentication(authentication); SecurityContextHolder.setContext(context);
-
-
AuthenticationManager–用于进行认证的接口
- Authentication authenticate(Authentication authentication) throws AuthenticationException 方法
- 认证:传入一个Authentication用于进行认证, 若认证成功返回一个完整的Authentication,其包含完整的UserDetail对象(Principal)和权限(Authorities)
- ProviderManager–AuthenticationManager最常用的实现
- 代理一系列AuthenticationProvider
- 每个AuthenticationProvider执行一种认证方法(如 用户名/密码…),认证通过返回一个Authentication
- 依次使用每个AuthenticationProvider对传入的Authentication进行认证。若其可以指示该Authentication是否通过,则返回结果,若无法判断则让下一个AuthenticationProvider进行ke认证。
- ProviderManager可设置一个父AuthenticationProvider,在其所代理的所用ProviderManager都无法进行认证时,使用该父AuthenticationProvider
- 不同认证方式----AuthenticationProvider的不同实现
- DaoAuthenticationProvider:得到 用户名/密码 数据进行认证
- JwtAuthentication: Jwt认证
- Authentication authenticate(Authentication authentication) throws AuthenticationException 方法
-
AuthenticationEntryPoint
-
若用户请求资源时没用传来证书(Credential)(如用户名/密码)或 用户权限不足,则使用一个AuthenticationEntryPoint的实现来返回一个HTTP响应,要求用户进行认证(例如,执行一个重定向 或 返回一个带WWW-Authentication头部的response)
-
AbstractAuthenticationProcessingFilter
- SecurityFilterChain中用于进行认证的过滤器
- SecurityFilterChain中用于进行认证的过滤器
-
实现类:
- UsernamePasswordAuthenticationFilter: 从HttpServletRequest的参数中,获取用户名和密码,生成一个UsernamePasswordAuthenticationToken给AuthenticationManager进行认证
-
用户名和密码表单进行认证—一种方式
- 实现UserDetailsService(通过Bean注入):其返回UserDetails
- 实现UserDetails:用户对象,包含用户名、密码和自定义的字段
- 设置PasswordEncoder:通过创建一个PasswordEncoder实现类的Bean
-
//使用默认的配置开启 protected void configure(HttpSecurity http) { http // ... .formLogin(withDefaults()); }
- 认证过程:
- UsernamePasswordAuthenticationFilter将携带着用户名和密码UsernamePasswordAuthenticationToken传递给DaoAuthenticationProvider(或自己手动调用AuthenticationManager的authenticate,传入UsernamePasswordAuthenticationToken)
- DaoAuthenticationProvider将会使用实现的UserDetailsService获取UserDetails对象进行用户名和密码的认证。认证成功后返回一个UsernamePasswordAuthenticationToken,其携带着该UserDetails对象
- UsernamePasswordAuthenticationFilter将从拿到的包含UserDetails的UsernamePasswordAuthenticationToken这个Authentication放入SecurityContextHolder,用于代表当前用户。
- 大体过程:
Authorization 授权
(Authorization将在新版本中取代FilterSecurityInterceptor)
-
AuthorizationManager接口: 其由AuthorizationFilter调用,来决定是否运行该访问的进行
- 方法 AuthorizationDecision check(Supplier authentication, Object secureObject);
- 判断该authentication,是否可以访问secureObject(可以是表示方法的MethodInvocation)
- 方法 default AuthorizationDecision verify(Supplier authentication, Object secureObject) throws AccessDeniedException
- 其调用check,并在其拒绝访问时抛出AccessDeniedException
- 实现类:
- RequestMatcherDelegatingAuthorizationManager代理多个AuthorizationManager对象,将请求匹配到相应的AuthorizationManager
- 对于方法的保护,可以使用AuthorizationManagerBeforeMethodInterceptor或AuthorizationManagerAfterMethodInterceptor
- AuthorityAuthorizationManager最常用,若当前Authentication包含任意一个给定的authority,则允许访问
- AuthenticatedAuthorizationManager,用于区别匿名、完整认证或通过remember-me认证的用户
- 方法 AuthorizationDecision check(Supplier authentication, Object secureObject);
-
AuthorizationFilter:
- FilterInvocation呈递HttpServletRequest,HttpServletResponse,FilterChain
- 若拒绝则抛出AccessDeniedException,用ExceptionTranslationFilter接收
- 可定制AccessDeniedHandler以处理该异常
httpSecurity.exceptionHandling().accessDeniedHandler(accessDeniedHandler)
- 可定制AccessDeniedHandler以处理该异常
- 使用AuthorizationFilter时,使用authorizationHttpRequests进行配置
@Bean SecurityFilterChain web(HttpSecurity http) throws Exception { http // ... .authorizeHttpRequests(authorize -> authorize .mvcMatchers("/resources/**", "/signup", "/about").permitAll() .mvcMatchers("/admin/**").hasRole("ADMIN") .mvcMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')") //拥有"ROLE_ADMIN"和"ROLE_DBA"角色 .anyRequest().denyAll() ); return http.build(); }
- 将自定义的AuthorizationManager映射到url上
@Bean SecurityFilterChain web(HttpSecurity http) throws Exception { http .authorizeHttpRequests((authorize) -> authorize .mvcMatchers("/my/authorized/endpoint").access(new CustomAuthorizationManager()); ) // ... return http.build(); }
函数安全表达式
- @PreAuthorize - 控制函数是否被调用
@PreAuthorize("hasRole('USER')") public void create(Contact contact); //在表达式中使用函数参数 @PreAuthorize("hasPermission(#contact, 'admin')") public void deletePermission(Contact contact, Sid recipient, Permission permission); @PreAuthorize("#c.name == authentication.name") public void doSomething(@P("c") Contact contact);
- @PostAuthorize - 函数执行后进行访问控制,表达式中使用"returnObject"引用返回值
- @PreFilter
- @PostFilter - 过滤集合、数组、映射、流
- 注解内传入EL表达式
- “hasPermission(targetDomainObject, permission)”
- hasPermission表达式将委托到PermissionEvaluator对象
- PermissionEvaluator接口–连接表达式与ACL系统
boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission); boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission);