Web安全
在SpringSecurity中,认证、授权等功能都是基于过滤器来完成的。如下表:
过滤器 | 过滤器作用 | 是否默认加载 |
---|---|---|
ChannelProcessingFilter | 过滤请求协议,如HTTPS和HTTP | 否 |
WebAsyncManagerIntegrationFilter | 将WebAsyncManager与Spring Security上下文进行集成 | 是 |
SecurityContextPersistenceFilter | 在处理请求之前,将安全信息加载导SecurityContextHolder中以方便后续使用。请求结束后,在移除SecurityContextHolder中的信息 | 是 |
HeaderWiterFilter | 头信息加入到响应中 | 是 |
CorsFilter | 处理跨域问题 | 否 |
CsrfFilter | 处理CSRF攻击 | 是 |
LogoutFilter | 处理注销登录 | 是 |
OAuth2AuthorizationRequestRedirectFilter | 处理OAuth2认证重定向 | 否 |
Saml2WebSsoAuthenticationRequestFilter | 处理SAML认证 | 否 |
X509AuthenticationFilter | 处理X509认证 | 否 |
AbstractPreAuthenticatedProcessingFilter | 处理预认证问题 | 否 |
CasAuthenticationFilter | 处理CAS单点登录 | 否 |
OAuth2LoginAuthenticationFilter | 处理OAuth2认证 | 否 |
Saml2WebSsoAuthenticationFilter | 处理SAML认证 | 否 |
UsernamePasswordAuthenticationFilter | 处理表单登录 | 是 |
OpenIDAuthenticationFilter | 处理OpenID认证 | 否 |
DefaultLoginPageGeneratingFilter | 配置默认登录页面 | 是 |
DefaultLogoutPageGeneratingFilter | 配置默认注销页面 | 是 |
ConcurrentSessionFilter | 处理Session有效期 | 否 |
DigestAuthenticationFilter | 处理HTTP摘要认证 | 否 |
BearerTokenAuthenticationFilter | 处理OAuth2认证时的Access Token | 否 |
BasicAuthenticationFilter | 处理HttpBasic登录 | 是 |
RequestCacheAwareFilter | 处理请求换成 | 是 |
SecurityContextHolderAwareRequestFilter | 包装原始请求 | 是 |
JaasApiIntegrationFilter | 处理JAAS认证 | 否 |
RememberMeAuthenticationFilter | 处理RememberMe登录 | 否 |
AnonymousAuthenticationFilter | 配置匿名认证 | 是 |
OAuth2AuthorizationCodeGrantFilter | 处理OAuth2认证中的授权码 | 否 |
SessionManagementFilter | 处理Session并发问题 | 是 |
ExceptionTranslationFilter | 处理异常认证/授权中的情况 | 是 |
FilterSecurityInterceptor | 处理授权 | 是 |
SwitchUserFilter | 处理账户切换 | 否 |
此处默认加载是指引入 Spring Security依赖之后,不用任何配置,就会自动加载的过滤器
我们所见到SpringSecurity提供的功能,都是通过这些过滤器来实现的,这些过滤器按照既定的优先级排列,最终行程一个过滤器链。我们也可以自定义过滤器,并通过@Order来调整自定义过滤器在过滤链中的位置。
需要注意的是,默认过滤器并不是直接放在Web项目的原生过滤器链中,而是通过一个FilterChainProxy来统一管理。SpringSecurity中的过滤链通过FilterChainProxy嵌入到Web项目的原生过滤器链中,如下:
在SpringSecurity中,这样的过滤器链不仅仅只有一个,可能会有多个,当存在多个过滤器链时,多个过滤器链之间要指定优先级,当请求到达后,会从FilterChainProxy进行分发,先和哪个过滤器链匹配上,就用哪个过滤器链进行处理。当系统中存在多个不同的认证体系时,那么使用多个过滤器链就是非常有效。
登录数据保存
如果不使用SpringSecurity这一类的安全管理框架,我们以往通常会将用户登录数据保存在Session中,事实上,SpringSecurity也是这么做的。但是,为了方便SpringSecurity在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。
当用户登录成功后。SpringSecurity会将登录成功的用户保存到SecurityContextHolder中,SpringSecurityContextHolder中的数据保存默认是通过ThreadLocal来实现的,使用ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,SpringSecurity会将SecurityContextHolder中的数据拿出来保存到Session中,同时将SecurityContextHolder中的数据情况,以后每当请求来时,SpringSecurity就会先从Session中取出登录数据,保存到SpringContextHolder中,方便在该请求的后续处理过程中使用,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后在清空SecurityContextHolder中的数据。
这一策略非常方便用户在Controller或者Service层获取当前登录用户数据,但是带来的另一个问题就算,在子线程中想要获取用户登录数据就比较麻烦。SpringSecurity对此也提供了响应的解决方案,如果我们使用@Async注解来开启异步任务的话,那么只需要添加如下配置,使用SpringSecurity提供的异步任务代理,就可以在异步任务中从SecurityContextHolder里获取当前登录的用户信息。
@Configuration
public class ApplicationConfiguration extends AsyncConfigurerSupport {
@Override
public Executor getAsyncExecutor() {
return new DelegatingSecurityContextExecutorService(Executors.newFixedThreadPool(5))
}
}