SpringSecurity简介
核心功能主要包括:
1.认证:认证用户有无权限访问资源。
2.授权:将权限授予用户。
3.伪造攻击:防止伪造身份访问受保护资源
其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。
除了该过滤器还有UsernamePasswordAuthenticationFilter拦截你的密码 进行密码验证
从中会有很多其他认证的过滤器,这里就不一 一介绍了。
最后一环是 FilterSecurityInterceptor,这里会判定该请求是否能进行访问rest服务,判断的依据是 BrowserSecurityConfig中的配置,如果被拒绝了就会抛出不同的异常(根据具体的原因)。Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示。
介绍完security后,再来看下security的基本流程。
SpringSecurity认证与授权的基本流程
如下图所示
详解:
1.用户提交用户名密码后, UsernamePasswordAuthenticationFilter进行拦截,将请求信息封装为Authentication。
2.通过AuthenticationMananger去认证该用户的权限信息,实现UserDetailsService类。
UsernamePasswordAuthenticationToken token =
new UsernamePasswordAuthenticationToken(username,password);
//通过AuthenticationManager对象去获得该用户的权限信息
Authentication authenticate = authenticationManager.authenticate(token);
3.在其中的loadUserByUsername方法中进行一些获得该用户权限以及角色的业务代码。
4.返回一个UserDeatils对象(该用户对象是Security中的核心实体类,它封装了用户的基本信息以及用户该有的权限信息)。
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String username){
//获得用户权限信息以及角色信息
//创建实体类继承UserDetails类(该类中有封装了用户信息的字段)
return new UserDetails();
}
}
5.通过PasswordEncoder对比UserDetails中的密码与Authentication中的密码是否一致,若不一致,可以通过ExceptionTranslationFilter进行异常拦截,返回错误信息。
6.若密码一致,填充Authentication信息,返回Authentication
7.将Authentication存入SecurityContextHolder.getContext().setAuthentication(),以保证安全上下文(通过SecurityContextHolder.getContext().getAuthentication()获得权限)