java servlet3.1规范解读系列六: web安全之spring secret 处理

最新推荐文章于 2023-05-13 16:11:38 发布
最新推荐文章于 2023-05-13 16:11:38 发布
阅读量1.1k 收藏
点赞数
分类专栏: java servlet3.1规范解读系列 spring java servlet3.1规范解读系列 文章标签: web安全 spring secret
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangan_0601/article/details/90710993
版权

Spring Security是通过自定义的Filter对相关的URL进行权限控制,这些个filter组合起来通过两个过程对权限进行了控制,认证(authentication)和授权(authorization)。认证是来识别当前用户是谁的过程,授权是判断当前用户是否有权限进行相关操作的过程。

认证(authentication)

认证的过程相对简单,基本都是判断当前正在操作的用户(Principal)和密码(credentials)是否匹配。对与简单登录的方式,就是去匹配用户名和密码;对于单点登录,可能就是去验证token是否有效了。获取到这些信息后,会包装到对象Authentication中。这个Authentication就是后续Filter决定页面跳转的依据。Authentication定义如下:

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();
    Object getCredentials();
    Object getDetails();
    Object getPrincipal();
    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

授权(authorization)

对于需要控制权限的URL,一般都要三部分信息:

  1. URL的pattern,即对哪些URL进行权限控制
  2. 设置权限,即最低需要什么权限才能访问这些URL
  3. 当前用户是什么权限

获取用户权限

前两点可以通过配置<security:intercept-url pattern="/abc/**" access="hasRole('USER')"/>指定,并被包装成SecurityMetadataSource对象,那么当前登录用户的权限从哪里获取?

Spring Security定义了如下接口, UserDetailsService用于获取UserDetail,而UserDetail里包含权限。

public interface UserDetailsService {
    /**
     * Locates the user based on the username. In the actual implementation, the search
     * may possibly be case sensitive, or case insensitive depending on how the
     * implementation instance is configured. In this case, the <code>UserDetails</code>
     * object that comes back may have a username that is of a different case than what
     * was actually requested...
     */
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

public interface UserDetails extends Serializable {
    /**
     * Returns the authorities granted to the user. Cannot return null.
     */
    Collection<? extends GrantedAuthority> getAuthorities();
    ......
}

具体的获取UserDetail的过程,要根据具体的业务进行处理,比如从数据库获取,或者从缓存中得到。获取之后包装为Authentication对象供后续Filter使用。

UserDetailsService在身份认证中的作用

    Spring Security中进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。检查后或者返回Authentication对象或者抛出异常。

    验证身份就是加载响应的UserDetails,看看是否和用户输入的账号、密码、权限等信息匹配。此步骤由实现AuthenticationProvider的DaoAuthenticationProvider(它利用UserDetailsService验证用户名、密码和授权)处理。包含 GrantedAuthority 的 UserDetails对象在构建 Authentication对象时填入数据。

 

 

认证处理流程:

关键的filter

AbstractAuthenticationProcessingFilter

用于认证,其步骤如下:

  1. 从request获取相关用户信息(密码、token等)构造Authentication;
  2. AuthenticationManager其中的AuthenticationProvider进行Authentication验证;Provider里可能会获取UserDetails(包含用户具有的权限)放入Authentication中;若验证通过,则返回该Authentication中;否则抛异常;
  3. 该Filter捕获到异常,则导航到相关error或login页面;若正常,则根据具体的代码设置,由后面的filter继续处理或直接访问到资源;
 // Authentication success. 上面第三步
        if (continueChainBeforeSuccessfulAuthentication) {
            chain.doFilter(request, response);
        }

当然,这个filter并不是每个url都会去拦截的,只有满足一定条件的url才会去拦截。比如不需要权限控制的url就不会被拦截。

FilterSecurityInterceptor和ExceptionTranslationFilter

这两个filter用于授权。其在Spring Security的Filter Chain中处于很靠后的位置。

FilterSecurityInterceptor的关键代码如下:

//获取Authentication
        Authentication authenticated = authenticateIfRequired();

        // Attempt authorization
        try {
            this.accessDecisionManager.decide(authenticated, object, attributes);
        }
        catch (AccessDeniedException accessDeniedException) {
            publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
                    accessDeniedException));
            //这里抛出去的异常会由ExceptionTranslationFilter捕获
            throw accessDeniedException;
        }

ExceptionTranslationFilter关键代码如下:

try {
            chain.doFilter(request, response);

            logger.debug("Chain processed normally");
        }
        catch (IOException ex) {
            throw ex;
        }
        catch (Exception ex) {
            // Try to extract a SpringSecurityException from the stacktrace
            Throwable[] causeChain = throwableAnalyzer.determineCauseChain(ex);
            RuntimeException ase = (AuthenticationException) throwableAnalyzer
                    .getFirstThrowableOfType(AuthenticationException.class, causeChain);

            if (ase == null) {
                ase = (AccessDeniedException) throwableAnalyzer.getFirstThrowableOfType(
                        AccessDeniedException.class, causeChain);
            }

            if (ase != null) {
                handleSpringSecurityException(request, response, chain, ase);
            }
            else {
            // Rethrow ServletExceptions and RuntimeExceptions as-is
                ........
            }
        }

ExceptionTranslationFilter会根据抛出的异常是AccessDeniedException还是AuthenticationException来判断导航页面。

在Spring Security所有的Filter中,只有两种filter是可以导航到页面的:XXXAuthenticationProcessingFilter和ExceptionTranslationFilter,因此在配置时,需要提供相关页面url给这两种filter。

常用的几个Filter

1. SecurityContextPersistenceFilter

该filter默认启用,作用是保存Authentication对象使后续的filter可以获得这个对象。对于同一个用户(session id相同),会从Session中取出用户的校验结果。若是第一次访问,则会新建SecurityContext放入SecurityContextHolder(该Holder实际上是用一个ThreadLocal来保存SecurityContext)待后续代码保存校验结果。

2. CasAuthenticationFilter

用于处理CAS service的token,对于用到单点登录的系统,这个filter会经常使用。

3. AnonymousAuthenticationFilter

默认启用。由上文可知,AbstractAuthenticationProcessingFilter中可以构造Authentication。那么不需要权限控制的url怎么去构造Authentication呢?AnonymousAuthenticationFilter就发挥了作用。该filter构造了一个pesudo Authentication提供给FilterSecurityInterceptor,从而使所有的url的处理流程统一。

基本步骤

 

 

上图包括了最基本的验证流程,当然默认还有很多filter会起作用,图中并没有显示。其中AbstractAuthenticationProcessingFilter并不是必需的,其他的四个都会默认启用。

一些疑问

  • 既然FilterChainProxy也是一个代理,为何不在web.xml中直接配置这个呢?
  • 为何DelegatingFilterProxy没有直接代理FilterChain,而是又通过另一层FilterChainProxy去代理FilterChain?
  • 不使用代理,手动方式将需要的Filter配置在web.xml可以吗?

首先要明白Tomcat中各个组件的启动顺序:Listener -> SpringContext -> Filter -> Servlet。在Tomcat读取web.xml的<filter>之前,spring context已经启动,我们配置的各种bean都已初始化完成。

对于第一个问题,如果FilterChainProxy直接配置在<filter>标签里,那么它的初始化就由ServletContext完成(即调用init()方法),这样它的很多属性将无法初始化,包括里面的Filter List,因为FilterChainProxy的init()方法依然是abstract的。而DelegatingFilterProxy的init()已完全实现。换个角度理解,DelegatingFilterProxy是filter,而FilterChainProxy是个spring bean。

再者,如果想用别的安全框架,比如shiro,那么这个时候DelegatingFilterProxy代理的就是shiro的那一套东东了,所以DelegatingFilterProxy是支持插拔式的。

第二个问题,Spring Security是由自定义的filter组成,这些filter由spring初始化,那么由spring自身的bean来管理和代理这些filter会更方便。FilterChainProxy对外提供了统一的入口。当然,如果必须要DelegatingFilterProxy去代理这些filter,笔者认为也可以。

第三个问题个人觉得是可以的,但是这样的话,filter的生命周期就会交给ServletContext了,对于开发者而言,就需要考虑这些filter的初始化参数等很多因素;而且Spring Security的filters是有一定顺序的,这就更提高了使用门槛。

将这些filter完全交由SpringContext来管理,极大地降低使用难度。

具体的代码实现可以参考:https://blog.csdn.net/weixin_34234823/article/details/87568476

 

总结下:

     spring secret 的实现和java sevlet 中的实现,在原理是其实是完全不一样的,但是在一些处理概念上有一些相同的地方,都区分为用户,角色等,不同用户使用不同的角色等控制不同的权限!

      参考spring secret 的实现逻辑,分为两部分实现:  增加filter过滤器,在过滤器中进行安全认证,权限判断等操作!基于此,在非必须spring secret 或者是无法使用spring secret的项目中,同样按照此逻辑实现自己的安全控制!

一个会写bug的dog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security(安全)
gaxing4615的博客
02-25 4498
在web开发中,安全第一位!拦截器、过滤器、安全框架 Spring Security Spring Security是针对springboot项目的安全框架,也是Spring Boot低层安全模块默认的技术选型,他可以实现强大的web控制,对于安全控制,我们仅需要引入spring-boot-stater-security模块,进行少量的配置来实现强大的安全管理! 记住几个类: WebSecurityConfigureAdapter:自定义Security策略 AuthenticationManagerBu
SpringSecutiry从入门到精通详解
qq_50629351的博客
10-21 1439
SpringSecutiry从入门到精通,全方面理解SpringSecutiry
Spring Security最简单全面教程(带Demo)
qq_37771475的博客
01-09 5万+
一、Spring Security简介        Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。   Spring Security主要是从两个方面解决安全性问...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring Security 是 Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
Servlet3.1规范(最终版)
07-18
Servlet3.1规范Java服务器端编程的重要里程碑,它在原有的Servlet技术基础上进行了多项改进和扩展,极大地提升了Web应用的性能和开发效率。这个规范主要关注于Servlet、过滤器(Filter)和监听器(Listener)的...
Servlet3.1规范(中文最终版)
09-08
Servlet3.1规范Java Web开发中的一个重要里程碑,它在Servlet3.0的基础上引入了许多增强功能,提高了Web应用的性能和可扩展性。这个中文最终版的文档为开发者提供了全面的指南,帮助他们理解并利用这些新特性进行...
Web开发中文手册之Servlet3.1规范.zip
06-27
Servlet3.1规范Java Web开发中的一个重要里程碑,它在Servlet3.0的基础上进行了一系列的增强和优化,为开发者提供了更多的灵活性和效率提升。这份"Web开发中文手册之Servlet3.1规范"无疑是广大Java Web开发者的...
servlet 3.1规范
10-25
总的来说,Servlet 3.1规范通过引入一系列增强功能,为Java Web开发者提供了更强大、更灵活的工具,以适应现代Web应用的需求。通过深入学习这份官方文档,开发者可以更好地掌握这些特性,提升开发效率和应用质量。
spring - secruity
casepk的专栏
02-02 973
下面只介绍了Servlet应用程序的,响应式的未写。由于是翻译的参考文档,有些地方应该词不达意。 1、介绍 Spring Security是一个强大且高度可定制的认证和访问控制框架。它是基于Spring的应用程序的事实上的安全标准。 主要特性: 支持全面和可扩展的身份验证和授权; 防止各种攻击,如会话固定攻击,点击劫持,跨网站请求伪造等; 集成Servlet API; 与Spring...
spring security (史上最全)
架构师尼恩
04-21 5802
一般意义来说的应用访问安全性,都是围绕认证(Authentication)和授权(Authorization)这两个核心概念来展开的。即:认证这块的解决方案很多,主流的有、、等(不巧这几个都用过-_-),我们常说的单点登录方案(SSO)说的就是这块,授权的话主流的就是spring security和shiro。shiro比较轻量级,相比较而言spring security确实架构比较复杂。但是shiro与 ss,掌握一个即可。这里尼恩给大家做一下系统化、体系化的梳理,供后面的小伙伴参考,提升大家的 3高 架
SpringSecurity介绍及基本使用
最新发布
qq_47075878的博客
05-13 1210
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot 整合AWS-Secrets获取数据库用户名密码
weixin_44645285的博客
04-07 722
SpringBoot 整合AWS-Secrets原因实现思路难点收获完整代码地址 原因 笔者所在公司近期生产环境数据库服务全部接入了aws, 为了保证生产环境的安全,以及日常开发的需要,应架构要求特此做了此次整合 实现思路 在spring容器启动前,将配置文件实现动态替换(覆盖),然后按照流程正常启动 通过搜索发现了,可以利用 org.springframework.boot.env.EnvironmentPostProcessor 环境后置处理完成功能 难点 1.aws的demo
Kubernetes Springboot是如何方便地读取ConfigMap和Secret
隔壁老瓦的专栏
07-19 999
运行过程中修改配置并使配置生效,有多种模式。要注意的是,这里的名字与前面配置的是一致的,都是。服务关联,我们也可以自己写。3.1原理介绍与代码变更。是重点,后续要通过它来找。的特性,可以引入使用。应用,可能会需要读取。,可以正确读取配置,...
解决Spring Boot 读取yml配置文件 属性为NULL的问题
雪漠山堂
06-17 6449
搜索网上的各种解决方法,使用过配置类中添加 @Component @ConfigurationProperties(prefix="myProps")
K8S 实战篇 - SpringBoot&Secret - 5
蜗牛的专栏
10-09 1468
K8S 实战篇 - SpringBoot&ConfigMap - 4在这篇文章中主要讲解了SpringBoot项目如何通过ConfigMap加载配置的。这一章主要讲解SpringBoot项目中关于敏感信息的配置,如:数据库密码等
spring secuity(三更草堂)
放下键盘
05-08 5326
一、介绍 spring security是spring家族的一个安全管理框架,适用于大中型项目。 shiro也是一个安全管理框架,但他适用于小型项目。 安全框架主要做两件事: 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:判断登录后的用户是否有权限进行某个操作 二、快速入门 首先添加依赖,启动项目即可: <!--安全框架springsecurity依赖--> <dependency> <g
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8739
SpringSecurity总结
Java Servlet 3.1 规范中文版:Web 开发核心技术详解
Servlet3.1规范带来了许多现代Web开发所需的特性,提升了开发者的生产力,并为构建高性能、安全的Web应用程序提供了坚实的基础。无论是服务器供应商、工具开发商还是经验丰富的Servlet开发者,都应该对这个规范有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值