Spring Security 认证架构
- Spring Security在认证处理流程中涉及到的类和过滤器
认证处理流程描述
- 第一步: 外部的http请求访问内部受保护的Resful API之前,需要经过一系列的安全过滤器。这些被Spring Security设定的过滤器,用于认证和授权的目的。当用户的认证请求从外部进入时,将经过这条过滤器链,基于认证机制和模型,找到相应的Authentication Filter。比如说:
- HTTP Basic authentication request 经过“过滤链”,直到它到达BasicAuthenticationFilter 过滤器进行处理
- HTTP Digest authentication request 经过“过滤链”,直到它到达DigestAuthenticationFilter 过滤器进行处理
- login form authentication request 经过“过滤链”,直到它到达UsernamePasswordAuthenticationFilter过滤器进行处理
- x509 authentication request 经过“过滤链”,直到它到达X509AuthenticationFilter 过滤器进行处理
- 第二步: 一旦鉴权请求被相应的Authentication Filter接收,该过滤器将会从接收的请求中提取出用户名和密码,基于这些用户信息,创建一个UsernamePasswordAuthenticationToken 对象,注意,该类实现了 Authentication 接口
- 第三步: UsernamePasswordAuthenticationToken 对象创建成功后,被用来作为 AuthenticationManager 中 authenticate() 方法的入参。
- AuthenticationManager 仅仅是一个接口:
public interface AuthenticationManager{
Authentication authenticate(Authentication authentication) throws AuthenticationException;
}
- 实际实现类是 ProviderManager 。该实现类包含了一系列配置的 AuthenticationProvider (s),这些provider受ProvideManager委托,用于用户请求的认证。
- 第四步: 具体到实现细节, ProviderManager 会遍历每个AuthenticationProvider,根据传入的Authentication对象(例如: UsernamePasswordAuthenticationToken )尝试认证用户。
- AuthenticationProvider 接口如下所示:
public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> authentication);
}
- 这里是一些Spring Security框架提供的AuthenticationProvider:
- CasAuthenticationProvider
- JaasAuthenticationProvider
- DaoAuthenticationProvider
- OpenIDAuthenticationProvider
- RememberMeAuthenticationProvider
- LdapAuthenticationProvider
- 第五步: 有些AuthenticationProvider可能会使用 UserDetailsService ,用于获取用户的详细信息。
- 比如说 DaoAuthenticationProvider 可能需要根据传入的用户名从数据库中获取该用户的详细信息。
public interface UserDetailsService{
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
- 第六步:
- UserDetailsService 返回 UserDetails 。而 User 是 UserDetails 的具体实现类,当然用户也可以自行实现 UserDetails 接口。
- 第七步:
- 同第六步
- 第八步: 如果用户认证成功,则返回Authentication对象,相比于传入的未认证的对象,这个鉴权后的的对象更“丰满”,包含了用户的角色信息
- 从上图可以看出,认证成功的Authentication对象(Fully populated Authentication Object)包含:
- authenticated- true
- grant authorities list :关联的角色(角色和权限挂钩)
- user credentials:用户凭证(仅仅包含用户名)
- 如果鉴权未通过,则抛出异常 AuthenticationException 。该异常属于运行时异常,不期望用户通过try/catch去处理,spring security提供了一种通用的方式。即通过AuthenticationEntryPoint 处理:
- 从上图可以看出,认证成功的Authentication对象(Fully populated Authentication Object)包含:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.exceptionHandling()
.authenticationEntryPoint(unauthorizedHandler);
}
- 第九步: Authentication is done! 认证成功后,AuthenticationManager返回包含完整信息的鉴权对象给相关的Authentication Filter。
- 第十步: 将返回的认证对象保存到SecurityContext,用于后续过滤器的使用。比如Authorization Filters
SecurityContextHolder.getContext().setAuthentication(authentication);