Spring Security的HTTP权限控制
简介
一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 spring security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。
过滤器与核心组件
springSecurity在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。
主要过滤器
过滤器 | 功能原理 |
---|---|
WebAsyncManagerIntegrationFilter | 提供了对securityContext和WebAsyncManager的集成 |
SessionManagementFilter | 该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。 |
AnonymousAuthenticationFilter | 匿名登录人过滤器,过滤器运行到AnonymousAuthenticationFilter时,如果SecurityContextHolder中持有的Authentication还是空的,则AnonymousAuthenticationFilter将创建一个AnonymousAuthenticationToken并存放在SecurityContextHolder中。在AuthenticationTrustResolverImpl判断一个SecurityContextHolder持有的Authentication是否AnonymousAuthenticationToken或RememberMeAuthenticationToken。如当ExceptionTranslationFilter捕获到一个AccessDecisionManager后就会使用它来判断当前Authentication对象是否为一个AnonymousAuthenticationToken,如果是则交由AuthenticationEntryPoint处理,否则将返回403错误码 |
UsernamePasswordAuthenticationFilter | 登陆用户密码验证过滤器,对用户密码的正确性进行验证,认证失败就抛出异常,成功就返回Authentication对象。 |
RequestCacheAwareFilter | Spring Security Web对请求提供了缓存机制,如果某个请求被缓存,它的提取和使用是交给RequestCacheAwareFilter完成的 |
框架的核心组件
组件 | 作用 |
---|---|
SecurityContextHolder | 提供对SecurityContext的访问 |
SecurityContext | 其中可以包含多个AuthenticationProvider |
ProviderManager | 为AuthenticationManager接口的实现类 |
AuthenticationProvider | 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作 |
Authentication | Spring Security方式的认证主体 |
GrantedAuthority | 对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示 |
UserDetails | 构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到 |
UserDetailsService | 通过username构建UserDetails对象,通过loadUserByUsername根据 userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现 如通过数据 库,xml,缓存获取等) |
实战
在springboot中整合springSecurity
添加pom.xml依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
编写Java配置文件
自定义了一个springSecurity
安全框架的配置类 继承WebSecurityConfigurerAdapter
,重写其中的方法configure,在web容器启动的过程中该类实例对象会被WebSecurityConfiguration
类处理。
import com.wqy.springbootes.security.AuthFilter;
import com.wqy.springbootes.security.AuthProvider;
import com.wqy.springbootes.security.LoginAuthFailHandler;
import com.wqy.springbootes.security.LoginUrlEntryPoint;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
/**
* Created by wqy.
*
* 密码:admin/admin
*/
@EnableWebSecurity
@EnableGlobalMethodSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter