深入理解Spring-Security之认证授权分析

最新推荐文章于 2024-06-26 16:55:30 发布
最新推荐文章于 2024-06-26 16:55:30 发布
阅读量337 收藏 1
点赞数
分类专栏: 互联网安全架构平台 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19586549/article/details/105915875
版权

参考文件:Spring Security 参考手册|Spring Security中文版
学习一个技术想要深入研究肯定需要先看官网介绍,否则你可能不太好入手分析代码,可以根据官网的思路一点点的拆解。这是Spring-Security的中文介绍,有能力的可以看英文原版,对我这样只会hello world的只能看中文文档了。
git源码下载地址:https://github.com/spring-projects/spring-security
Spring Security是一个权限框架权限框架,常见的还有Shiro。权限框架的核心功能就是 认证授权
下面来简单分析一下Spring-Security是怎么实现认证授权的。首先在Security的过滤器中找一下认证过滤器。认证带有Authentication单词,这就是规范代码的好处。我们可以找到UsernamePasswordAuthenticationFilterBasicAuthenticationFilterCasAuthenticationFilterOAuth2LoginAuthenticationFilter等。CAS和OAuth2暂时不分析了,这些扩展过滤器可以自己看一下源码,BasicAuthenticationFilter与UsernamePasswordAuthenticationFilter是Spring-Security的基本过滤器,我们通常搭建个简单demo就会用到的,其doFilter()方法的逻辑其实都差不多的,就以UsernamePasswordAuthenticationFilter用户名密码认证过滤器为例来分析一下
UsernamePasswordAuthenticationFilter

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
	...
	/**
	* 获取用户名密码信息,而且只能用POST方式发送。很简单的操作获取Request中的用户名和密码防撞到Token中。然后调用认证管理器获取认证类来认证Token
	*/
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            /*调用了认证管理器获取*/
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
	...
}

认证器管理器包括认证我们都在配置文件中配置过,就是下面这段代码

   /**
     * 认证管理器,这里也可以设置多个认证策略,Security支持多认证体系
     * @return
     * @throws Exception
     */
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return new ProviderManager(Arrays.asList(authenticationProvider));
    }

看一下有关用户的AuthenticationProvider
AbstractUserDetailsAuthenticationProvider

public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {
	...
	//核心认证方法
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> {
            return this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported");
        });
        //获取用户名,getPrincipal()就是获取用户信息,Shiro和Security权限框架都叫这个名
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        //在缓存中获取用户
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;
            try {
            	//如果用户不存在通过用户名获取用户,这个方法源码解释在下面
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
                this.logger.debug("User '" + username + "' not found");
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }
                throw var6;
            }

            Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
        }
		...//省略用户校验和缓存代码
        Object principalToReturn = user;
        if (this.forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }
        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }
    //返回用户信息封装的Token
    protected Authentication createSuccessAuthentication(Object principal, Authentication authentication, UserDetails user) {
        UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(principal, authentication.getCredentials(), this.authoritiesMapper.mapAuthorities(user.getAuthorities()));
        result.setDetails(authentication.getDetails());
        return result;
    }
    ...
}

看一下刚才有个retrieveUser获取用户的代码

    protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        this.prepareTimingAttackProtection();
        //使用用户服务通过用户名获取用户信息,是不是看着眼熟,只要是用过这个框架的都知道需要重写个用户服务获取用户信息的,就在这调用的
	    UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
        ...//省略其他代码try/catch
    }

解释下刚才那个获取用户名的代码,在权限框架中我们一般这样获取用户信息:

	Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
	//principal就是用户信息,刚才获取用户名就是这里来的
	if (principal instanceof UserDetails) {
		String username = ((UserDetails)principal).getUsername();
	} else {
		String username = principal.toString();
	}

再往里深入一下看一下用户上下文维持类SecurityContextHolder,这是使用的ThreadLocal维护的用户信息,ThreadLocal就不用说了吧,多线程基础知识,可以创建每个线程独享的资源,也就是Map线程ID做Key,把变量放进去了。这样就不会导致线程安全问题了。

public class SecurityContextHolder {
    public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
    public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
    public static final String MODE_GLOBAL = "MODE_GLOBAL";
    public static final String SYSTEM_PROPERTY = "spring.security.strategy";
   	/*使用的策略模式,如果没有设置默认为ThreadLocal模式*/
    private static String strategyName = System.getProperty("spring.security.strategy");
    ...
	/*初始化,这里采用的策略模式*/
    private static void initialize() {
    	/*如果没有设置模式,默认为ThreadLocal模式*/
        if (!StringUtils.hasText(strategyName)) {
            strategyName = "MODE_THREADLOCAL";
        }
        if (strategyName.equals("MODE_THREADLOCAL")) {
            strategy = new ThreadLocalSecurityContextHolderStrategy();
        } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) {
        	 /*可继承的ThreadLocal策略(百度翻译出来的)*/
            strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
        } else if (strategyName.equals("MODE_GLOBAL")) {
        	/*不适用ThreadLocal模式,全局使用一个常见于SWing组件中*/
            strategy = new GlobalSecurityContextHolderStrategy();
        } else {
        	/*自定义策略*/
            try {
                Class<?> clazz = Class.forName(strategyName);
                Constructor<?> customStrategy = clazz.getConstructor();
                strategy = (SecurityContextHolderStrategy)customStrategy.newInstance();
            } catch (Exception var2) {
                ReflectionUtils.handleReflectionException(var2);
            }
        }
    }
	...
}

看一下默认的用户信息存放的ThreadLocal类ThreadLocalSecurityContextHolderStrategy

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
	/*通过ThreadLocal保存认证信息(每个线程一份互不影响)*/
    private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal();
    ...
    public SecurityContext getContext() {
        SecurityContext ctx = (SecurityContext)contextHolder.get();
        if (ctx == null) {
            ctx = this.createEmptyContext();
            contextHolder.set(ctx);
        }
        return ctx;
    }
    public void setContext(SecurityContext context) {
        Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
        contextHolder.set(context);
    }
    ...
}

打个断点看一下:
在这里插入图片描述

下面再看一下用户信息是怎么维护进去的,这就需要看另一个过滤器SecurityContextPersistenceFilter 了,它的主要工作就是维护SecurityContext的,下面看一下它的源码:

/**
* 用来维护SecurityContextHolder上下文
*/
public class SecurityContextPersistenceFilter extends GenericFilterBean {
    ...
	//进入请求将请求信息维护到SecurityContextHolder 
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (request.getAttribute("__spring_security_scpf_applied") != null) {
            chain.doFilter(request, response);
        } else {
            boolean debug = this.logger.isDebugEnabled();
            request.setAttribute("__spring_security_scpf_applied", Boolean.TRUE);
            if (this.forceEagerSessionCreation) {
                HttpSession session = request.getSession();
                if (debug && session.isNew()) {
                    this.logger.debug("Eagerly created session: " + session.getId());
                }
            }
			
            HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
            SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
            boolean var13 = false;
		   //将请求信息维护到SecurityContextHolder 
            try {
                var13 = true;
                SecurityContextHolder.setContext(contextBeforeChainExecution);
                chain.doFilter(holder.getRequest(), holder.getResponse());
                var13 = false;
            } finally {
                if (var13) {
                    SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
                    //清除SecurityContextHolder维护的信息。
                    SecurityContextHolder.clearContext();
                    this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
                    request.removeAttribute("__spring_security_scpf_applied");
                    if (debug) {
                        this.logger.debug("SecurityContextHolder now cleared, as request processing completed");
                    }

                }
            }

            SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
            //清除SecurityContextHolder维护的信息。这个阿里代码规范中可能会遇到,ThreadLocal用完后要清除,否则内存泄漏。
            SecurityContextHolder.clearContext();
            this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
            request.removeAttribute("__spring_security_scpf_applied");
            if (debug) {
                this.logger.debug("SecurityContextHolder now cleared, as request processing completed");
            }

        }
    }
 	...
}

授权部分很简单可以自己尝试着分析下我这就不介绍了。
ThreadLocal以前也没怎么用过,但是上次写的代码里面每个Controller用到了一个状态标记,为了减少代码抽出到BaseController了,但是这时候就出问题了,Spring 的Controller好像不是线程安全的,状态不对报错了,用了ThreadLocal,用阿里代码规范扫描又扫出了高级漏洞,所以记住了每次用完都得clear一下防止内存泄漏。关于阿里代码规范插件安装的方式就不说了,网上有的是,个人建议:对于一些中小公司没有代码管理规范的可以用一下,一方面减少代码隐藏漏洞,就像我的漏洞可能用户量大了一直维持的用户信息没用释放掉,最终内存不足宕机了;第二方面代码交接的时候别人来读你的代码。

https://www.cnblogs.com/jiangbei/p/7668654.html

程序猿转行摆摊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出Spring Security(五):认证授权的过程
紫眸的博客
10-12 4535
上篇回顾 上篇介绍了HttpSecurity如何建造过滤器链,本文主要介绍几个主要的过滤器。 认证过滤器 UsernamePasswordAuthenticationFilter 参数有username,password的,走UsernamePasswordAuthenticationFilter,提取参数构造UsernamePasswordAuthenticationToken进行认证,成功则填...
Spring Security API: AbstractUserDetailsAuthenticationProvider
dengdeying的博客
12-24 3849
AbstractUserDetailsAuthenticationProvider Declared package org.springframework.security.authentication.dao public abstract class AbstractUserDetailsAuthenticationProvider extends java.lang.Object impl...
SpringSecurity中文文档(UsernamePassword Authentication
最新发布
znjy111的博客
06-26 1070
验证用户的最常见方法之一是验证用户名和密码。SpringSecurity 为使用用户名和密码进行身份验证提供了全面的支持。您可以使用以下方法配置用户名和密码身份验证:前面的配置自动在 SecurityFilterChain 中注册了一个内存中的 UserDetailsService,将 DaoAuthenticationProvider 注册到默认的 AuthenticationManager,并启用了表单登录和 HTTP 基本认证
Spring Security 框架
qq_44182694的博客
05-27 2123
OncePerRequestFilterSpring Security框架中的一个抽象类,实现了javax.servlet.Filter接口,通过继承它可以方便地实现对请求的过滤。它的作用是确保在请求处理期间只被调用一次,即只会过滤一次该请求,可以避免同一请求被重复处理的问题。OncePerRequestFilter实现了doFilter()方法,该方法在每个请求到达过滤器时会被调用。通过继承该类并重写方法,可以自定义实现请求过滤器的逻辑。
SpringSecurity源码-过滤器
java技术博客
06-21 175
UsernamePasswordAuthenticationFilter:是我们最常用的用户名和密码认证方式的主要处理类,构造了一个UsernamePasswordAuthenticationToken对象实现类,将用请求信息封装为AuthenticationBasicAuthenticationFilter…:将UsernamePasswordAuthenticationFilter的实现类UsernamePasswordAuthenticationToken封装成的 Authentication进行登录
Spring Security 安全认证框架
qq_35930739的博客
05-19 754
一、认证流程 UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录验证,该过滤器默认只有当请求方法为post、请求页面为/login时过滤器才生效,如果想修改默认拦截url,只需在刚才介绍的Spring Security配置类WebSecurityConfig中配置该过滤器的拦截url:.loginProcessingUrl("url")即可; BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证.
SpringSecurity-数据库认证-简单授权
06-03
首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,它包含了用户的标识信息,如用户名和密码。`Authorization`则是授权,决定了用户可以访问哪些资源。SpringSecurity通过一系列的安全过滤器...
spring-security实现自定义登录认证.rar
05-21
通过学习和运行这个示例,你可以深入理解Spring Security的自定义登录认证流程,以及如何与JWT相结合,为你的Spring Boot应用提供安全的认证授权机制。记得在实际项目中,根据具体需求调整配置和代码,确保安全...
Spring-Security-Demo-master.zip
07-15
通过研究"Spring-Security-Demo-master"的源码,你可以更深入地理解Spring Security如何与Spring Boot结合,以及如何实现前后端分离环境下的安全机制。这不仅有助于提升你的安全编程技能,还能帮助你在实际项目中更...
spring-security-oauth2-authorization-server.zip
08-25
通过这个项目,你可以深入理解Spring Security OAuth2的工作原理,以及如何将其集成到Spring Boot应用中。这将帮助你在实际项目中构建更安全、更可控的API接口,确保用户数据的安全。同时,它也为你提供了扩展和...
Spring Security OAuth2认证授权示例详解
08-25
在这个示例中,我们将深入探讨如何使用Spring Security OAuth2实现OAuth2授权流程。 1. **OAuth2的角色**: - **资源所有者**:通常是应用程序的用户,他们拥有数据,决定是否允许第三方应用访问。 - **客户端**...
java读取域服务器用户
qq_37497275的博客
09-28 1726
1.域服务器的简单介绍 1.1 AD 域服务 什么是目录(directory)呢? 日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(电话目录);计算机中的文件系统(file system)内记录着文件的文件名、大小与日期等数据,它就是 file directory(文件目录)。 如果这些目录内的数据能够由系统加以整理,用户就能...
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5097
想要在基于SpringSecurity的SpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
集成AD域,前端实现免登录
隐0士的博客
06-18 7656
转载自添加链接描述 javaweb应用程序与AD域身份认证 首先,要做统一身份认证,也就是说,要java应用程序去ad域验证这个人的用户名密码是否存在于ad域,这个比较简单,只有一个坑,直接上代码吧。 private final String FACTORY = "com.sun.jndi.ldap.LdapCtxFactory"; private final String URL = "ldap://127.0.0.1:389/"; public boolean validateUP(String use
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 1985
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
Java通过Ldap操作AD的增删改查询
热门推荐
binyao02123202的专栏
01-23 2万+
package com.smnpc.util; import java.util.Hashtable; import java.util.Vector; import javax.naming.Context; import javax.naming.NamingEnumeration; import javax.naming.NamingException; import javax.nam
Spring Security详解
qq_42337039的博客
11-10 970
认识Spring Security 基于SpringAOP和Servlet过滤器,除了常规的认证授权外,还提供了ACLs,LDAP,JAAS,CAS等高级特性以满足复杂环境下的安全需求 Spring Security的三个核心概念 Principle:代表用户的对象Princple(User) 不仅指人类,还包括一切可以用于验证的设备 Authority:代表用户的角色Authority(Role),每个用户都应该有一种角色,如管理员或会员 Permission:代表授权,复杂的应用环境需要对角色的权限
UsernamePasswordAuthenticationFilter
yecong111的专栏
12-01 1万+
UsernamePasswordAuthenticationFilter本身不是过滤器,而是继承了AbstractAuthenticationProcessingFilter才拥有过滤器的性能。 认证过程如下 1、先判断请求(请求必须是post请求)地址是否为/j_spring_security_check,如果不是,则放行,进入下一个过滤器,是则进行校验。 2、AbstractAuthen
SpringCloud】Spring Security核心组件
See_Star的博客
06-01 796
Spring Security核心组件:SecurityContextHolder、SecurityContext、Authentication..
"深入理解SpringSecurity认证授权
SpringSecurity 学习: SpringSecurity 是一个用于身份...在学习和使用 SpringSecurity 的过程中,需要深入理解其中的认证授权原理,同时结合具体的开发环境和项目需求进行实际操作,才能真正掌握和应用好这一技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值