目录
一. 什么是Spring Security
Spring Security是Spring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单
spring security 的核心功能:
-
认证(你是谁): 只有你的用户名或密码正确才能访问某些资源
-
授权(你能干嘛): 当前用户具有哪些功能, 将资源进行划分, 如在公司中分为普通资料和高级资料, 只有经理用户以上才能访文高级资料, 其他人只能拥有访问普通资料的权限。
1. 登陆校验的流程
2. SpringSecurity基础案例
首先创建一个Springboot的项目
添加依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
创建一个controller类
@RestController
public class TestController {
@GetMapping("/hello")
public String hello() {
return "hello";
}
}
启动项目访问http://localhost:8080/login
, 发现页面并没有hello字符, 下图是SpringSeurity默认的登陆界面, 默认用户名为user, 密码为启动项目时在输出框中的内容
在实际项目中, 显然不能使用默认的登陆界面, 所以我们需要自定义登陆认证和授权
二. Spring Security原理流程
SpringSecurity底层实现是一系列过滤器链
默认自动配置的过滤器
过滤器
作用
WebAsyncManagerIntegrationFilter
将WebAsyncManger与SpringSecurity上下文进行集成
SecurityContextPersistenceFilter
在处理请求之前, 将安全信息加载到SecurityContextHolder中
HeaderWriterFilter
处理头信息假如响应中
CsrfFilter
处理CSRF攻击
LogoutFilter
处理注销登录
UsernamePasswordAuthenticationFilter
处理表单登录
DefaultLoginPageGeneratingFilter
配置默认登录页面
DefaultLogoutPageGeneratingFilter
配置默认注销页面
BasicAuthenticationFilter
处理HttpBasic登录
RequestCacheAwareFilter
处理请求缓存
SecurityContextHolderAwareRequestFilter
包装原始请求
AnonymousAuthenticationFilter
配置匿名认证
SessionManagementFilter
处理session并发问题
ExceptionTranslationFilter
处理认证/授权中的异常
FilterSecurityInterceptor
处理授权相关
下图是主要的过滤器
上图只画出了核心的过滤器
UsernamePasswordAuthenticationFilter: 负责处理登陆页面填写的用户名和密码的登陆请求
ExceptionTranslationFilter: 处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException异常
FilterSecurityInterceptor: 负责权限校验的过滤器
1. 大致流程
(1) 下面是UsernamePasswordAuthenticationFilter
中的attemptAuthentication
方法, 该方法会将前端发送的用户名和密码封装为UsernamePasswordAuthenticationToken
对象, 该对象是Authentication
对象的实现类
注意: attemptAuthentication
方法主要处理视图表单认证, 现今都是前后端分离项目导致不能使用该方法进行拦截, 所以我们需要自己实现一个过滤器覆盖或者在UsernamePasswordAuthenticationFilter
之前做用户名和密码拦截处理.
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
if (this.postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
} else {
String username = this.obtainUsername(request);
String password = this.obtainPassword(request);
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
this.setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
}
(2) 返回getAuthenticationManager.authenticate(authRequest)
, 将未认证的Authentication
对象传入AuthenticationManager
, 进入authenticate
方法我们看到AuthenticationManager
是一个接口, 该接口主要做认证管理, 它的默认实现类是ProviderManager
</