记录知识、锤炼自我

在上一篇文档中，我们了解了RBAC访问控制模型，作为一个基于RBAC的认证授权框架，除了支持核心RBAC0，也支持BRAC1中的角色分层。

RBAC是的简写，翻译为基于角色的权限访问控制，是在研究访问控制模型基础上发展而来的，是目前应用最广泛的一种模型。将访问权限与角色进行关联，通过给用户分配合适的角色，从而获取该角色的所有访问权限。由于角色/权限之间的变化比起用户/权限之间的变化相对要小得多，减少了权限管理的复杂性，降低了管理的开销灵活地支持了企业的安全策略，并对企业的变化有很大的伸缩性。

在网络信息化环境中，资源不是无限制开放的，而是在一定约束条件下，用户才能使用。例如，普通网民可以浏览网站新闻，但不能修改。由于网络及信息所具有的价值，其难以避免地会受到意外的或蓄意的未经授权的使用和破坏。为此，必须对网络上的资源进行授权和限制，使得只有经过授权的用户才能以合规的方式进行使用。访问控制是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体，可以是用户、进程、应用程序等。而资源对象又称为客体，即被访问的对象，可以是文件、应用服务、数据等。授权。

认证是一个实体向另外一个实体证明其身份的过程，在认证过程中，需要被证实的实体是声称者，负责检查确认实体是验证者。认证标识) ：用来代表实体对象（如人员、设备、数据、服务、应用）的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。一般用名称和标识符 (ID) 来表示，通过唯一标识符，可以代表实体。例如网站中的登录账号。鉴别) ：一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证，对实体所声称的属性进行识别验证的过程。

通过之前授权篇的相关学习，我们了解到在登录时，会将用户的角色、权限值存储到对象中，当使用注解进行授权判断时，会从取出相关数据进行表达式计算。在某些场景下，特别是使用JWT认证方案时，如果将权限信息都封装在JWT中，JWT会变得很长很长，所以一般都会舍弃权限信息，只保存用户的基本信息。

官方文档在前两篇文档中，我们简单了解了LDAP的相关内容，为了更好的深入了解，我们可以自己安装一个ApacheDS，并使用工具进行连接，因为LDAP并不是本系列的重点，如果开发中需要用到时，可自行阅读官网相关资料。ApacheDS™全称是，是由Apache开源的一个可扩展和可嵌入目录服务器，完全采用Java语言编写。支持LDAPv3以及Kerberos 5和更改密码协议，它的设计目的是将触发器、存储过程、队列和视图引入到LDAP。

支持基于LADP的身份和授权，接下来我们简单演示下如何集成登录。

官方文档LDAP即轻量目录访问协议，全称是。是一种基于标准的协议，位于TCP/IP之上，允许客户端在目录服务器中执行各种操作，包括存储和检索数据、验证客户端等。LDAP是一个开放的标准协议，在20世纪八十年代末为电信行业开发的，是一个运营商级别的协议和服务，最新版本LDAPv3于1997年12月正式发布。LDAP是轻量级的，消息使用ASN.1 BER进行编码，这是一种紧凑的二进制格式，编码和解码非常高效。它比JSON或HTTP上的XML要精简得多，并使用长连接与目录服务器进行通信。LDAP是安全的，

在之前的文档中，我们有了解过Spring Security在认证成功后，以及再次访问时，会将当前登录用户认证信息SecurityContext通过SecurityContextHolder存储在ThreadLocal中，这样可以在当前线程获取到用户信息。

一般在应用系统中，除了登录、主页外，其他都需要用户经过认证才能访问。一般都采用deny-by-default（默认拒绝）来设置访问控制策略。即明确规定允许哪些可以直接访问，除此之外的都需要认证授权。在Spring Security中，会将未认证的请求都设置为匿名认证用户，提供了一种更方便的方式来配置访问控制属性。另一方面，未认证时，SecurityContextHolder中也总是包含一个匿名的Authentication对象，避免为NULL，增强了代码健壮性。

日志对软件系统来说非常重要，可以根据日志进行状态监控，安全审计，程序调试等功能。用户登陆日志也非常重要，它用来记录用户在系统中进行登录的相关信息。

Spring Security在进行认证、授权时，可以发布各种事件，我们可以通过监听事件，进行相应操作，比如记录日志。

Firewall防火墙是互联网安全必不可少的一项技术，用以保护系统安全，防止侵入，一般服务器操作系统都会自带防火墙软件。Spring Security也提供了HTTP防火墙，用于拒绝潜在的危险请求，并对请求和响应进行包装以控制其行为。

Central Authentication Service中央认证服务简称为CAS ，是一种基于票据的单点登录、单点注销协议，有CAS 1.0、2.0和3.0三个版本。CAS协议的最新版本为3.0.3，各版本的认证流程基本一致，主要是在上一版本的基础上提供了一些增强功能。

PKCE全称是Proof Key for Code Exchange，翻译过来是交换授权码时的证明秘钥，官方读音为pixy。PKCE规范于2015年发布，收录在RFC 7636文件中。OAuth 2.0公共客户端在使用授权码模式时，很容发生授权码拦截攻击，PKCE规范描述了该攻击以及如何防范。

在上一篇文档，我们安装并简单了解了开源的IAM系统Keycloak，国内也有对应的开源，比如Maxkey、Casdoor。他们都提供了OAuth 2.0、OIDC和 SAML 2.0 协议支持，关于OAuth 2.0、OIDC之前介绍并实现案例的文档已经很多了，所以本篇文档使用Spring Security整合Keycloak SAML 2.0登录。

开源的统一身份认证系统，国外开源比较出名的就是Keycloak。官网简介：Open Source Identity and Access Management（开源的身份认证和访问管理）。

Spring Security提供了作为SP服务提供方进行SAML 2.0登录的功能，基于SAML 2.0 中Web Browser SSO Profile标准规范实现。自2009年以来，对依赖方SP的支持一直作为一个扩展项目存在。在2019年，开始将其移植到Spring Security本身。类似于2017年开始的对Spring Security的OAuth 2.0支持的过程。

SAML英文全称为Security Assertion Markup Language，即安全断言标记语言。该标准由安全服务技术委员会OASIS制定，始于2001年，2005年发布SAML 2.0沿用至今。

跨域是由于浏览器的同源策略造成的，跨域资源共享CORS机制，则允许服务器标示其他源，允许访问资源。在使用Spring MVC时，可以添加如下配置解决跨域。

JustAuth是一个开箱即用的整合第三方登录的开源组件。

基于请求URL或权限注解的方式，实际都是针对请求进行访问控制，我们可以将请求路径对应的规则放在数据库或缓存，在访问接口时，获取当前请求路径对应的访问规则，然后判断该用户是否有访问权限。

Spring Boot 3.1中添加了Oauth2授权服务器Spring Authorization Server支持。

Scope是OAuth 2.0中一种机制，用于限制客户端访问用户资源的范围，实际也是一种权限控制。客户端可以申请一个或多个Scope，在用户同意授权页面中进行显示，然后用户可以选择同意授权的Scope，客户端使用访问令牌获取资源时，资源服务器可以使用Scope进行权限控制。

Spring Security默认支持异常信息的国际化，异常信息包括认证失败和访问被拒绝异常，例如密码错误时，英文环境下会提示Bad credentials，中文环境时则提示用户名或密码错误。

在之前的文档中，关于配置，我们都是基于HttpSecurity构建SecurityFilterChain，也了解了很多Spring Security的相关配置，接下来继续介绍一些其他用法。

HeaderWriterFilter字面理解为请求头写入过滤器，他的作用是将某些头信息添加到响应中，添加某些启用浏览器保护的头信息非常有用，如X-Frame-Options、X-XSS-Protection、X-Content-Type-Options等，增加一些安全性。

在上篇文档中，我们学习了在微服务架构下，如何搭建统一身份认证，并推荐使用Session管理会话，接下来我们搭建一个微服务项目，并实现分布式环境下的认证功能。

在微服务架构中，前后端分离基于JSON进行数据交互，前端不仅有浏览器，还会有APP、H5、小程序等。微服务中的后台应用一般都会按功能职责拆分为很多个独立应用，比如一个电商系统，会拆分为用户、订单、商品、库存、支付、商家管理等。一个大型项目后台应用可能有成千上万个，每个独立服务的职责都是单一的，对于登录认证来说，也是需要一个独立的服务，不可能每个服务实例都提供登录功能。

Device Authorization Grant设备授权来自于OAuth 2.0 RFC 8628文件规范，应用于缺少浏览器的连接设备，如智能电视、媒体控制台、数字相框和打印机等硬件设备，用户可以授权设备访问受保护资源。

Spring Authorization Server基于Oauth 2.1，不再支持passeord密码授权模式，对于使用了Spring Security Oauth框架的项目来说，很多都使用了密码模式，接下来我们自定义开发密码模式，其他自定义模式参照该流程实现即可。

上篇文档中我们分析Spring Authorization Server的令牌端点/oauth2/token，实际开发中，也需要很多自定义配置。

接下来我们分析下Spring Authorization Server令牌端点/oauth2/token。

在上篇文档中，我们了解了授权端点的整个执行流程，在实际开发中，默认的处理方式可能不符合业务场景，需要自定义配置，Spring Authorization Server也提供了强大的扩展能力。

Spring Authorization Server提供了标准的Oauth2授权端点/oauth2/authorize，接下来我们分析下授权端点整个执行流程。

在Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例授权码模式中，使用的是Spring Authorization Server提供的默认登录和授权页面，在实际开发集成时，需要自定义。注： 前后端分离场景下，由前端编写相关页面，后端提供JSON，在授权流程中，就需要前端进行各种页面跳转，在了解其原理后，也很容易实现。

Spring Authorization Server是一个授权服务器框架，提供 OAuth 2.1 和 OpenID Connect 1.0 规范及其他相关规范的实现。在之前我们已经了解了OAuth 2的相关实现，接下来了解OpenID Connect 1.0协议的相关知识，并进行案例演示。

在云计算、微服务流行的技术架构下，大型项目中的后端服务可能成千上万，用户端不仅仅是浏览器网站，可能还包含移动APP、机器终端等应用，传统的Cookie Session方式可能会面临一些问题。

Spring Security提供了开箱即用的默认配置，例如默认的登录、登出页面，但在实际开发中，往往需要进行自定义改造，比如前后端分离场景下，前后端通过JSON来进行数据交互，是否操作成功都需要前端通过状态码判断，所有的页面也都需要前端自己去跳转。

在之前的案例中，演示了Spring Security对Oauth2的相关支持，比如客户端、授权服务器，接下来学习Oauth2资源服务器。