配置核心要素
WebSecurityConfigurerAdapter
spring security为web应用提供了一个WebSecurityConfigurerAdapter适配器,应用里spring security相关的配置可以通过继承这个类来编写;提供了AuthenticationManagerBuilder、 WebSecurity、 HttpSecurity三个顶级配置项构建器的构建重载回调方法。
配置内容
- WebSecurity/HttpSecurity:这是最复杂的部分。通过建立 filter 和相关的 service bean 来实现框架的认证机制。当访问受保护的 URL 时会将用户引入登录界面或者是错误提示界面。
- AuthenticationManager:处理来自于框架其他部分的认证请求。
- AccessDecisionManager:为 Web 或方法的安全提供访问决策。会注册一个默认的,但是我们也可以通过普通 bean 注册的方式使用自定义的 AccessDecisionManager。
- AuthenticationProvider:AuthenticationManager 是通过它来认证用户的。
- UserDetailsService:跟 AuthenticationProvider 关系密切,用来获取用户信息的。
配置工具类
- AuthenticationManagerBuilder用来配置全局的认证相关的信息,其实就是AuthenticationProvider和UserDetailsService,前者是认证服务提供商,后者是用户详情查询服务。
- WebSecurity:全局请求忽略规则配置(比如说静态文件,比如说注册页面)、全局HttpFirewall配置、是否debug配置、全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor。
- HttpSecurity:具体的权限控制规则配置。基于指定的地址资源,配置基于web的细粒度安全策略。
WebSecurity和HttpSecurity配置完成后的过滤器如下,这些过滤器链负责springsecurity实现运行时权限控制的核心流程。
一个WebSecurity将创建一个DelegatingFilterProxy,并注册到web全局filter链中。而HttpSecurity则负责创建一个确定资源地址下的多个SecurityFilterChain,WebSecurity将通过HttpSecurity创建的多个SecurityFilterChain封装到FilterChainProxy,并最终封装到DelegatingFilterProxy中。可以认为WebSecurityConfigurerAdapter#configure(HttpSecurity http)通过and()分割后的每段配置,实际上都是在HttpSecuirty中添加一个过滤器。
//WebSecurityConfigurerAdapter
public void init(final WebSecurity web) throws Exception {
final HttpSecurity http = getHttp();
web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
public void run() {
FilterSecurityInterceptor securityInterceptor = http
.getSharedObject(FilterSecurityInterceptor.class);
web.securityInterceptor(securityInterceptor);
}
});
}
//FilterChainProxy
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
springsecurity运行时核心组件
认证过程(用户使用用户名和密码进行登录)
Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的 UsernamePasswordAuthenticationToken。将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证。
AuthenticationManager 认证成功后将会返回一个封装了用户权限等信息的 Authentication 对象。通过调用 SecurityContextHolder.getContext().setAuthentication(…) 将 AuthenticationManager 返回的 Authentication 对象赋予给当前的 SecurityContext。
上述介绍的就是 Spring Security 的认证过程。在认证成功后,用户就可以继续操作去访问其它受保护的资源了,但是在访问的时候将会使用保存在 SecurityContext 中的 Authentication 对象进行相关的权限鉴定。
Web 应用的认证过程
如果用户直接访问登录页面,那么认证过程跟上节描述的基本一致,只是在认证完成后将跳转到指定的成功页面,默认是应用的根路径。如果用户直接访问一个受保护的资源,那么认证过程将如下:
- 引导用户进行登录,通常是重定向到一个基于 form 表单进行登录的页面,具体视配置而定。
- 用户输入用户名和密码后请求认证,后台还是会像上节描述的那样获取用户名和密码封装成一个 UsernamePasswordAuthenticationToken 对象,然后把它传递给 AuthenticationManager 进行认证。
- 如果认证失败将继续执行步骤 1,如果认证成功则会保存返回的 Authentication 到 SecurityContext,然后默认会将用户重定向到之前访问的页面。
- 用户登录认证成功后再次访问之前受保护的资源时就会对用户进行权限鉴定,如不存在对应的访问权限,则会返回 403 错误码。
如果认证成功,一个InteractiveAuthenticationSuccessEvent时间将会发布到application context中,若认证不成功,则不会有事件发布,因为不成功的话会记录成特定AuthenticationManager的应用事件。 正常情况下,不管Authentication是成功还是失败,都会允许处理请求request。如果需要控制特定认证用户的访问目的,可以将AuthenticationSuccessHandler注入其中。
认证核心对象
SecurityContext存放在 ThreadLocal中,在每次权限鉴定的时候从 ThreadLocal 中获取 SecurityContext 中对应的 Authentication 所拥有的权限。
- SecurityContextHolder:提供对SecurityContext的访问
- SecurityContext:持有Authentication对象和其他可能需要的信息
- AuthenticationManager: 其中可以包含多个AuthenticationProvider
- ProviderManager:AuthenticationManager接口的实现类
- AuthenticationProvider:主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
- Authentication:Spring Security方式的认证主体
- GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
- UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
- UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象
重要的过滤器
- RememberMeAuthenticationFilter
检查SecurityContext中是否有Authentication对象,并且当有RememberMeServices实现了该请求时将一个remember-me authentication token设置到SecurityContext中。这个过滤器会调用RememberMeServices实现的autoLogin方法,如果上述方法返回一个非空的Authentication对象,会被传递到AuthenticationManager,这样任何特定authentication将可以完成。若Authentication结果返回成功,它将会被设置到SecurityContext中。 - SecurityContextPersistenceFilter
从配置的SecurityContextRepository而不是request中获取信息存到SecurityContextHolder,并且当请求结束清理contextHolder时将值存回repository中(默认使用HttpSessionSecurityContextRepository).在该过滤器中每一个请求仅执行一次,该filter需在任何认证处理机制其作用之前执行。认证处理机制如basic,cas等期望在执行时从SecurityContextHolder中获取SecurityContext。 - WebAsyncManagerIntegrationFilter
提供了对securityContext和WebAsyncManager的集成。方式是通过- - SecurityContextCallableProcessingInterceptor的beforeConcurrentHandling(NativeWebRequest, Callable)方法来讲SecurityContext设置到Callable上。 - ExceptionTranslationFilter
ExceptionTranslationFilter 是用来处理来自 AbstractSecurityInterceptor 抛出的 AuthenticationException 和 AccessDeniedException 的。AbstractSecurityInterceptor 是 Spring Security 用于拦截请求进行权限鉴定的,其拥有两个具体的子类,拦截方法调用的 MethodSecurityInterceptor 和拦截 URL 请求的 FilterSecurityInterceptor。当 ExceptionTranslationFilter 捕获到的是 AuthenticationException 时将调用 AuthenticationEntryPoint 引导用户进行登录;如果捕获的是 AccessDeniedException,但是用户还没有通过认证,则调用 AuthenticationEntryPoint 引导用户进行登录认证,否则将返回一个表示不存在对应权限的 403 错误码。 - LogoutFilter
记录用户的退出,它包含了一组Logouthandler。这些hangler应用按照顺序排序,顺序是你想调用TockenBasedRememberMeServices和securityContxtLogoutHander的顺序。退出后,将由LogoutSucessHandler或者LogoutSuccesUrl来决定跳转到哪里。到底由谁确定依赖于创建LogoutFilter使用的构造方法。
参考文档
Spring Security之Config模块详解
https://blog.csdn.net/xichenguan/article/details/73277337
Spring Security 参考手册
https://vincentmi.gitbooks.io/spring-security-reference-zh/content/01_preface.html
Spring Security 参考手册
https://springcloud.cc/spring-security-zhcn.html
Spring Security Reference
https://docs.spring.io/spring-security/site/docs/5.0.0.M4/reference/htmlsingle/
Spring Security Architecture
https://spring.io/guides/topicals/spring-security-architecture/
Spring安全框架的体系结构
https://www.jianshu.com/p/61d3af5fa1ba
Spring Security 入门:登录与退出
https://www.jianshu.com/p/a8e317e82425
755
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
