security 底层原理_SpringSecurity工作原理

1.SpringSecurity 结构总览

Spring Security所解决的问题就是安全访问控制，而安全访问控制功能其实就是对所有进入系统的请求进行拦截，

检验每个请求是否能够访问它所期望的资源，我们可以通过Filter，Interceptor，AOP等技术来实现。

Spring Security对Web资源保护时靠Filter实现的。

当初始化Spring Security时，会创建一个名为SpringSecurityFilterChain的Servlet过滤器，

类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter，

因此外部请求会经过此类，

下图是Spring Security过滤器链结构图：

由FilterChainProxy代理对象来过滤请求，下面两个管理器来真正实现认证授权：

认证管理器：AuthenticationManager

授权管理器(访问决策管理器)：AccessDecisionManager

1.png

FilterChainProxy是一个代理，真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter，

同时这些Filter作为Bean被Spring管理，他们是Spring Security核心，各有各的职责，

但他们并不直接处理用户的认证，也不直接处理用户的授权，而是把他们交给了认证管理器和决策管理器进行处理

下图是Spring Security过滤器链UML图：

2.png

Spring Security功能的实现主要由一系列的过滤器链相互配合完成：

3.png

下面介绍过滤器链中的主要几个过滤器以及作用：

1. SecurityContext持久化过滤器：FilterChain出入口

SecurityContextPersistenceFilter,这个Filter是整个拦截过程的入口和出口，

会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext,

然后把它设置给SecurityContextHolder。在请求完成后将SecurityContextHolder持有的

SecurityContext再保存到配置好的SecurityContextRepository, 同时清除securityContextHolder所持有的SecurityContext。

2. 用户名密码认证过滤器：认证

UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码，

其内部还有登录成功或者失败后进行处理的AuthenticationSuccessHandler和AuthenticationFailurehandler，这些可以根据需求做出相关改变

3. 过滤安全拦截器：授权

FilterSecurityInterceptor 是用于保护Web资源的，使用AccessDecisionManager对当前用户进行授权访问。

4 异常调任过滤器：异常处理

ExceptionTranslationFilter 能够捕获来自FilterChain所有的异常并进行处理。

但是它只会处理两类异常：AuthenticationException和AccessDeniedException，其他异常它会继续抛出

2.SpringSecurity 认证流程

1. UsernamePasswordAuthenticationFilter类 委托--> AuthenticationManager接口 认证authToken

源码：

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response){

String username = this.obtainUsername(request);

String password = this.obtainPassword(request);

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

return this.getAuthenticationManager().authenticate(authRequest);

//...

}

2. AuthenticationManager接口 指向子类--> ProviderManager 调用--> Providers认证authToken

源码：

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {

public Authentication authenticate(Authentication authentication){

Class extends Authentication> toTest = authentication.getClass();

//...

Iterator var8 = this.getProviders().iterator();

while(var8.hasNext()) { //调用它的Providers依次认证。

AuthenticationProvider provider = (AuthenticationProvider)var8.next();

if (provider.supports(toTest)) {

result = provider.authenticate(authentication);

//...

}

}

}

3. DaoAuthenticationProvider的retrieveUser方法会调用UserdetailService查询数据库中的用户密码

DaoAuthenticationProvider 调用--> UserdetailService

源码：

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

4. DaoAuthenticationProvider的additionalAuthenticationChecks方法会通过passwordEncoder校验用户密码

DaoAuthenticationProvider 调用--> passwordEncoder

源码：

if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())){//...}

5. WebSecurityConfigurerAdapter抽象类有几个静态内部类：

(自定义SpringSecurityConfig配置类实现此接口)

内部类AuthenticationManagerDelegator --> AuthenticationManager --> 认证authtoken

内部类UserDetailsServiceDelegator

内部类LazyPasswordEncoder implements PasswordEncoder

4.png

认证管理器(AuthenticationManager)委托 AuthenticationProvider完成认证工作。 AuthenticationProvider是一个接口，定义如下：

public interface AuthenticationProvider {

Authentication authenticate(Authentication authentication) throws AuthenticationException;

boolean supports(Class> var1);

}

authenticate()方法定义了认证的实现过程，它的参数是一个Authentication,里面包含了登录用户提交的用户密码等，

而返回值也是一个Authentication，这个Authentication则是再认证成功后，将用户的权限以及其他信息重新组装后生成。

SpringSecurity中维护了一个List列表，存放了多种认证方式，不同的认证方式使用不同的AuthenticationProvider。

如使用用户名密码登录时，使用AuthenticationProvider1,短信登录时使用AuthenticationProvider2等等这样的例子很多。

每个AuthenticationProvider需要实现supports()方法来表明自己支持的认证方式，如我们使用表单方式认证，再提交请求时SpringSecurity会

生成UsernamePasswordAuthenticationToken，它时一个Authentication，里面封装了用户提交的用户名、密码信息。

发现是对应的DaoAuthenticationProvider来处理它：

在DaoAuthenticationProvider的基类AbstractUserDetailsAuthenticationProvider发现代码：

public boolean supports(Class> authentication) {

return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);

}

也就是说当web表单提交用户名密码时，SpringSecurity由DaoAuthenticationProvider处理。

3.认识 Authentication(认证信息)结构

public interface Authentication extends Principal, Serializable {

Collection extends GrantedAuthority> getAuthorities();

Object getCredentials();

Object getDetails();

Object getPrincipal();

boolean isAuthenticated();

void setAuthenticated(boolean var1) throws IllegalArgumentException;

}

1. Authentication是SpringSecurity包中的接口，直接继承Principal类，而Principal是位于java.security包中的，

它是表示一个抽象主体身份，任何主体都有一个名称，因此包含一个getName()方法。

2. getAuthorities(), 权限信息列表，默认是GrantedAuthority接口的一些实现类，通常是代表权限信息的一系列字符串。

3. getCredentials(), 凭证信息，用户输入的密码字符串，在认证后通常会被移除，用于保障安全。

4. getDetails(), 细节信息，web应用中的实现接口通常为WebAuthenticationDetails，它记录了访问者的ip地址和sessionId值。

5. getPrincipal(), 身份信息，大部分情况下返回时UserDetails接口的实现类，UserDetails代表用户的详细信息，

那从Authentication中取出来的UserDetails就是当前登录用户信息，它是框架中常用接口之一。

4.认识 UserDetailsService

DaoAuthenticationProvider处理了web表单的认证逻辑，认证成功后得到了一个Authentication(由UsernamePasswordAuthenticationToken实现)

里面包含了身份信息(Principal),这个身份信息就是一个Object，大多数情况下它可以被强转为UserDetails对象。

DaoAuthenticationProvider中包含了一个UserDetailsService实例，它负责根据用户名提取用户信息UserDetails(包含密码),

而后DaoAuthenticationProvider会去对比UserDetailsService提取的用户密码与用户提交的密码是否匹配作文认证成功的关键依据，

因此可以通过自定义的UserDetailService公开的为Spring Bean来自定义身份验证。

public interface UserDetailsService {

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

很多人把DaoAuthenticationProvider和UserDetailsService的职责搞混淆，其实UserDetailsService只负责从特定的地方加载用户信息，

而DaoAuthenticationProvider的职责更大，它完成了完整的认证流程，同时把UserDetails填充到Authentication。

1. UserDetails(用户信息)结构

public interface UserDetails extends Serializable {

Collection extends GrantedAuthority> getAuthorities();

String getPassword();

String getUsername();

boolean isAccountNonExpired();

boolean isAccountNonLocked();

boolean isCredentialsNonExpired();

boolean isEnabled();

}

它和Authentication接口很类似，比如他们都拥有username,authorities。

Authentication的getCredentials()与UserDetails中的getPassword()需要区分对待，

前者是用户提交的密码凭证，后者是用户实际存储的密码，认证其实就是对这两者的对比。

Authentication中的getAuthorities()实际是由UserDetails的getAuthorities()传递而形成的。

还记得Authentication接口中的getDetails()方法吗？其中的UserDetails用户详细信息便是经过了

AuthenticationProvider认证后被填充的。

通过实现UserDetailsService和UserDetails，我们可以完成对用户信息获取方式以及用户信息字段的扩展。

SpringSecurity提供的InMemoryUserDetailsManager(内存认证)

JdbcUserDetailsManager(jdbc认证)就是UserDetailsService的实现类，

主要区分无非就是从内存中还是从数据库中加载用户信息。

2. 自定义UserDetailsService

1. 自定义一个MyUserDetailsService服务类实现UserDetailsService

@Service

public class MyUserDetailsService implements UserDetailsService {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

//模拟登录

System.out.println("username = " + username);

//模拟加载用户数据(根据用户去数据库中查询用户信息)

UserDetails userDetails = User.withUsername("wangwu").password("789").authorities("p2").build();

return userDetails;

}

}

2. 移除SpringSecurityConfig配置类中的UserDetailsService的Bean

/* @Bean

public UserDetailsService userDetailsService(){

//在内存-用户信息管理器

InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());

manager.createUser(User.withUsername("lisi").password("456").authorities("p1","p2").build());

return manager;

}*/

5.认识 PasswordEncoder

1.SpringSecurity实现密码校验过程

DaoAuthenticationProvider认证处理器通过UserDetailsService获取到了UserDetails后，

它是如何与请求Authentication中的密码做比较呢？

1. 用户输入密码(明文)

2. DaoAuthenticationProvider获取UserDetails(其中存储了用户数据库中的正确密码)

3. DaoAuthenticaitonProvider使用PasswordEncoder对输入的密码和正确的密码进行校验，

密码一致校验通过，否则校验失败。

在这里SpringSecurity为了适应多种多样的加密类型，又做了检查，DaoAuthenticationProvider通过

PasswordEncoder接口的matches方法进行密码对比，具体的密码对比细节取决于实现：

public interface PasswordEncoder {

String encode(CharSequence var1);

boolean matches(CharSequence var1, String var2);

default boolean upgradeEncoding(String encodedPassword) {

return false;

}

}

而SpringSecurity提供了很多内置的PasswordEncoder，能够开箱即用，使用某种PasswordEncoder只需要进行如下声明即可:

@Bean

public PasswordEncoder passwordEncoder(){

return NoOpPasswordEncoder.getInstance(); //该密码编码器为字符串匹配，不做加密比较

// return new BCryptPasswordEncoder(); //BCryptPasswordEncoder

}

实际项目中推荐使用BCryptPasswordEncoder, Pbkdf2PasswordEncoder, SCryptPasswordEncoder等

2.测试BCrypt

@SpringBootTest

class SpringbootsecurityApplicationTests {

@Test

void contextLoads() {

//用BCrypt加盐生成加密密码

String hashpw = BCrypt.hashpw("123", BCrypt.gensalt());

System.out.println(hashpw);

//$2a$10$ha8sFS0pur.Lx8oPfKeDOu/sYsy3zpl2nHG6BXkxagzREJOEGTwTu

//$2a$10$DGuy88CXYqU2MVtKzJ.hMeY46JHHrl377V3ipydPaNu4XDrZLz2Vm

//校验原始密码与Bcrypt加密密码是否一致

boolean flag = BCrypt.checkpw("123", "$2a$10$ha8sFS0pur.Lx8oPfKeDOu/sYsy3zpl2nHG6BXkxagzREJOEGTwTu");

System.out.println("flag = " + flag);

}

}

6.SpringSecurity 鉴权流程

SpringSecurity可以通过http.authorizeRequests()对web请求进行授权保护。

SPringSecurity使用标准Filter建立了对web请求的拦截，最终实现对资源的授权访问。

5.png

1.分析授权流程

1. 拦截请求，已认证用户访问受保护的web资源将被SecurityFilterChain中的FilterSecurityInterceptor的子类拦截。

2. 获取资源访问决策，FilterSecurityInterceptor会从SecurityMetadataSource的子类

DefaultFilterInvocationSecurityMetadataSource获取要访问当前资源所需要的权限Collection

SecurityMetaDataSource其实就是读取访问策略的抽象，而读取的内容就是我们配置的访问规则，例如：

protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests() //http认证请求

.antMatchers("/r/r1").hasAuthority("p1") //访问/r/r1需要p1权限

.antMatchers("/r/r2").hasAuthority("p2")

//...

}

3. 最后，FilterSecurityInterceptor会调用AccessDecisionManager进行授权决策，若决策通过，则允许访问资源，否则禁止访问。

AccessDecisionManager(访问决策管理器)的核心接口如下：

public interface AccessDecisionManager {

void decide(Authentication var1, Object var2, Collection var3) throws AccessDeniedException, InsufficientAuthenticationException;

boolean supports(ConfigAttribute var1);

boolean supports(Class> var1);

}

AccessDecisionManager接口就是用来鉴定当前用户是否有访问对应保护资源的权限，decide的参数如下：

authentication : 要访问资源的访问者身份

object : 要访问的受保护资源，web请求对应FilterInvocation

configAttributes : 是受保护资源的访问策略，通过SecurityMetadataSource获取

2.授权决策

6.png

AccessDecisionManager采用投票的方式来确定是否能够访问受保护资源。

AccessDecisionManager中包含一系列AccessDecisionVoter将会被用来对Authentication是否有权访问受保护对象进行投票，

AccessDecisionManager根据投票结果，做出最终决策。

AccessDecisionVoter是一个接口，其中定义有三个方法，具体结构如下：

public interface AccessDecisionVoter {

int ACCESS_GRANTED = 1;

int ACCESS_ABSTAIN = 0;

int ACCESS_DENIED = -1;

boolean supports(ConfigAttribute var1);

boolean supports(Class> var1);

int vote(Authentication var1, S var2, Collection var3);

}

vote()方法的返回结果会是AccessDecisionVoter中定义的三个常量之一，

ACCESS_GRANTED表示同意， ACCESS_DENIED表示拒绝， ACCESS_ABSTAIN表示弃权

如果一个AccessDecisionVoter不能判定当前Authentication是否拥有访问对应受保护对象的权限，

则其vote()方法的返回值应当为弃权ACCESS_ABSTAIN。

3.三个基于投票的AccessDecisionManager实现类：

SpringSecurity内置了三个基于投票的AccessDecisionManager实现类：

AffirmativeBased、ConsensusBased和UnanimousBased

1. AffirmativeBased的逻辑是：(SpringSecurity默认使用的是AffirmativeBased)

1. 只要有AccessDecisionVoter投票为ACCESS_GRANTED则统一用户访问。

2. 如果全部弃权也表示通过。

3. 如果没有一个人投赞成票，但有人投反对票，则抛出AccessDeniedException。

2. ConsensusBased的逻辑是：

1. 如果赞成票多于反对票则表示通过。

2. 如果反对票多于赞成票则抛出AccessDeniedException。

3. 如果赞成票与反对票相同而且不等于0，并且属性allowEqualGrantedDeniedDecisions的值为true，

则表示通过，否则抛出异常AccessDeniedException。

参数allowEqualGrantedDeniedDecisions的值默认为ture。

4. 如果所有的AccessDecisionVoter都弃权了，则将视参数allowAllAbstainDecisions的值而定，

如果该值为ture则表示通过，否则将抛出异常AccessDeniedException。

参数allowAllAbstainDecisions默认值为false。

3. UnanimousBased的逻辑与另外两种实现有点不一样，另外两种会一次性把受保护对象的配置属性全部传递给

AccessDecisionVoter进行投票，而UnanimousBased会一次只传递一个ConfigAttribute给AccessDecisionVotor投票，

这也就意味着如果我们的AccessDecisionVoter的逻辑是只要传递进来的ConfigAttribute中有一个能够匹配则投赞成票，

但是放到UnanimousBased中其投票结果就不一定是赞成了，UnanimousBased的逻辑具体来说是这样的：

1. 如果受保护对象配置的某一个ConfigAttribute被任意的AccessDecisionVoter反对了，则抛出AccessDeniedException。

2. 如果没有反对票，但是有赞成票，则表示通过

3. 如果全部弃权了，则将视参数allowIfAllAbstainDecisions的值而定，true则通过，false则抛出AccessDeniedException

4. SpringSecurity也内置了一些投票器实现类，如RoleVoter、AuthenticatedVoter、WebExpressionVoter等