认识Spring Security
基于SpringAOP和Servlet过滤器,除了常规的认证和授权外,还提供了ACLs,LDAP,JAAS,CAS等高级特性以满足复杂环境下的安全需求
Spring Security的三个核心概念
- Principle:代表用户的对象Princple(User) 不仅指人类,还包括一切可以用于验证的设备
- Authority:代表用户的角色Authority(Role),每个用户都应该有一种角色,如管理员或会员
- Permission:代表授权,复杂的应用环境需要对角色的权限进行表述
Spring Security的认证和授权
- 验证指的是,建立系统使用者信息(Principal)的过程,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码的正确性来完成认证的通过或拒绝过程,支持主流的认证方式,包括HTTP基本认证,HTTP表单验证,HTTP摘要认证,OpenID和LDAP等
验证的步骤:
- 用户使用用户名和密码登录
- 过滤器获取到用户名,密码人后封装成Authentication
- AuthenticationManager认证Token
- AuthenticationManager认证成功,返回一个封装了用户权限信息的Authentication对象,用户的上下文信息
- Authentication对象赋值给当前的SecurityContext,建立这个用户的安全上下文
- 用户进行一些受到访问控制机制保护的操作,访问控制机制会依据当前安全上下文信息检查这个操作所需的权限
- 授权指的是,判断某个principal在应用程序中是否允许执行某个操作,在进行授权判断前,要求其所要使用到的规则必须在验证过程中已经建立好了,Spring Security在进行用户认证及授予权限时,也是通过各种拦截器和AOP来控制访问,从而实现安全
Spring Security的核心类
- SecurityContext
SecurityContext中包含当前正在访问系统的用户的详细信息,有两种方法
- getAuthentication():获取当前经过身份验证的主体或身份验证的请求令牌
- SetAuthentication():更改或删除当前已验证的主体身份验证信息
SecurityContext的信息是由SecurityContextHolder来处理的
- SecurityContextHolder
SecurityContextHolder用来保存SecurityContext,最常用的是getContext()方法,用于获取当前的SecurityContext
SecurityContextHolderStrategy接口的关键代码
p