本篇博客与核桃共同完成
Spring Security
概述
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,用于保护基于Spring的应用程序的实际标准
核心
认证(Authentication):验证当前访问系统的是不是本系统用户,确定具体用户信息
授权(Authorization):经过认证后判断当前用户是否有权限进行指定操作
原理
图片分析来源于此人的博客 https://muggle.javaboy.org/
Spring Security 采用的是责任链的设计模式,它有一条很长的过滤器链。
大致了解一下每个链对应的功能:
- WebAsyncManagerIntegrationFilter:将 安全上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。
- SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。
- HeaderWriterFilter:用于将头信息加入响应中。
- CsrfFilter:用于处理跨站请求伪造。
- LogoutFilter:用于处理退出登录。
- UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和passwordParameter 两个参数的值进行修改。
- DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。
- BasicAuthenticationFilter:检测和处理 http basic 认证。
- RequestCacheAwareFilter:用来处理请求的缓存。
- SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。
- AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。
- SessionManagementFilter:管理 session 的过滤器
- ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。
- FilterSecurityInterceptor:可以看做过滤器链的出口。
- RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。
若依Sprint Security分析
配置类分析
若依的核心配置类都放在ruoyi-framework模块下,项目启动时加载配置文件。
- @EnableGlobalMethodSecurity 注解用于开启 Spring 方法级安全,并且声明该类为一个配置类。
这个注解提供了prePostEnabled(常用)、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能。
prePostEnabled = true 会解锁 @PreAuthorize 和 @PostAuthorize 两个注解,分别是在方法执行前进行验证和在方法执行后进行验证。
@Secured 注解是用来定义业务方法的安全配置。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。但是这个注解不支持Spring EL表达式,不够灵活。
- 要接管Spring Security 的配置,则需要继承WebSecurityConfigurerAdapter这个抽象类,重写相关的方法
configure(HttpSecurity httpSecurity) 方法中添加过滤器链
流程分析图
过滤器分析
- logout 过滤器(用于账号登出功能)
指定登出的url和处理类
自定义退出处理类LogoutSuccessHandlerImpl,需继承LogoutSuccessHandler接口,重写onLogoutSuccess()方法对用户的缓存记录和退出信息进行处理
- cors 过滤器
完整的CORS说明详见: https://www.w3.org/TR/cors/。
其中跨域请求添加两次,为了保证能处理跨域情况,实际添加一次在Logout过滤器链前即可。实际就是设置允许跨域的请求
- jwt 过滤器
添加了一个jwt过滤器在用户的账号密码认证前,(用于判断是否存在token),该类又继承了OncePerRequestFilter抽象类(保证一次外部请求,只执行一次过滤方法),用于处理在输入用户名密码前对存在携带的token进行校验是否过期等等,如果token校验成功,那么就会自动读取token中的用户名密码信息,并且设置到对应的安全上下文中,最后放行该次请求(不做对用户名密码校验的处理)
如果没有携带token就需要进行下一个UsernamePasswordAuthenticationFilter用户名密码过滤器处理,该过滤器是将用户名密码读取出来,然后设置到SecurityContextHolder的安全上下文内容中
最后的认证是通过认证管理器来实现最后的认证功能
对于认证失败,不会跳到认证失败处理器,而是直接抛出自定义异常,通过全局的异常处理器来处理认证失败的逻辑
认证错误异常
若依登录/退出流程
流程图
登录
- 登录按钮点击,通过this.$store.dispatch调用store 里的user.js中的login方法,login方法调用封装的login方法,发送请求到后端
- 在SysLoginController中定义登录接口,并且在SecurityConfig中直接放行/login路径,请求该接口会校验用户名和密码,然后再loginService的login方法中读取用户名和密码交给认证管理器认证,成功后设置认证后的用户信息到token中,返回一个token
退出
- 退出登录点击,通过this.$store.dispatch调用store 里的user.js中的logout方法,logout方法调用封装的logout方法,发送请求到后端
- 后端对退出登录的url进行拦截,调用退出登录处理器进行用户退出信息处理
1934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
