spring security6 认证和授权流程 spring security认证原理

Spring Security 工作原理概览

Security 原理分析
SpringSecurity 过滤器链
SpringSecurity 采用的是责任链的设计模式，它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明:

WebAsyncManagerIntegrationFilter：将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

SecurityContextPersistenceFilter：在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中，然后在该次请求处理完成之后，将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中，然后将 SecurityContextHolder 中的信息清除，例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

HeaderWriterFilter：用于将头信息加入响应中。

CsrfFilter：用于处理跨站请求伪造。

LogoutFilter：用于处理退出登录。

UsernamePasswordAuthenticationFilter：用于处理基于表单的登录请求，从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时，默认使用的表单 name 值为 username 和 password，这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。

DefaultLoginPageGeneratingFilter：如果没有配置登录页面，那系统初始化时就会配置这个过滤器，并且用于在需要进行登录时生成一个登录表单页面。

BasicAuthenticationFilter：检测和处理 http basic 认证。

RequestCacheAwareFilter：用来处理请求的缓存。

SecurityContextHolderAwareRequestFilter：主要是包装请求对象request。

AnonymousAuthenticationFilter：检测 SecurityContextHolder 中是否存在 Authentication 对象，如果不存在为其提供一个匿名 Authentication。

SessionManagementFilter：管理 session 的过滤器

ExceptionTranslationFilter：处理 AccessDeniedException 和 AuthenticationException 异常。

FilterSecurityInterceptor：可以看做过滤器链的出口。

RememberMeAuthenticationFilter：当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统，该过滤器默认不开启。

SpringSecurity 流程图
先来看下面一个 Spring Security 执行流程图，只要把 SpringSecurity 的执行过程弄明白了，这个框架就会变得很简单:

流程说明
客户端发起一个请求，进入 Security 过滤器链。

当到 LogoutFilter 的时候判断是否是登出路径，如果是登出路径则到 logoutHandler ，如果登出成功则到 logoutSuccessHandler 登出成功处理，如果登出失败则由 ExceptionTranslationFilter ；如果不是登出路径则直接进入下一个过滤器。

当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径，如果是，则进入该过滤器进行登录操作，如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理，如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理，如果不是登录请求则不进入该过滤器。

当到 FilterSecurityInterceptor 的时候会拿到 uri ，根据 uri 去找对应的鉴权管理器，鉴权管理器做鉴权工作，鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

Security 配置
在 WebSecurityConfigurerAdapter 这个类里面可以完成上述流程图的所有配置

配置类伪代码
@Configuration    
@EnableWebSecurity    
public class SecurityConfig extends WebSecurityConfigurerAdapter {    
    @Override    
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {    
        auth.userDetailsService(userDetailService).passwordEncoder(new BCryptPasswordEncoder());    
    }    
    @Override    
    public void configure(WebSecurity web) throws Exception {    
        web.ignoring().antMatchers("/resources/**/*.html", "/resources/**/*.js");    
    }    
    @Override    
    protected void configure(HttpSecurity http) throws Exception {    
       http    
       .formLogin()    
       .loginPage("/login_page")    
       .passwordParameter("username")    
       .passwordParameter("password")    
       .loginProcessingUrl("/sign_in")    
       .permitAll()    
       .and().authorizeRequests().antMatchers("/test").hasRole("test")    
       .anyRequest().authenticated().accessDecisionManager(accessDecisionManager())    
       .and().logout().logoutSuccessHandler(new MyLogoutSuccessHandler())    
       .and().csrf().disable();    
       http.addFilterAt(getAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class);    
       http.exceptionHandling().accessDeniedHandler(new MyAccessDeniedHandler());    
       http.addFilterAfter(new MyFittler(), LogoutFilter.class);    
    }    
}
配置简介
configure(AuthenticationManagerBuilder auth)

AuthenticationManager 的建造器，配置 AuthenticationManagerBuilder 会让Security 自动构建一个 AuthenticationManager（该类的功能参考流程图）；如果想要使用该功能你需要配置一个 UserDetailService 和 PasswordEncoder。UserDetailsService 用于在认证器中根据用户传过来的用户名查找一个用户， PasswordEncoder 用于密码的加密与比对，我们存储用户密码的时候用PasswordEncoder.encode() 加密存储，在认证器里会调用 PasswordEncoder.matches() 方法进行密码比对。如果重写了该方法，Security 会启用 DaoAuthenticationProvider 这个认证器，该认证就是先调用 UserDetailsService.loadUserByUsername 然后使用 PasswordEncoder.matches() 进行密码比对，如果认证成功成功则返回一个 Authentication 对象。

configure(WebSecurity web)

这个配置方法用于配置静态资源的处理方式，可使用 Ant 匹配规则。

configure(HttpSecurity http)

这个配置方法是最关键的方法，也是最复杂的方法。我们慢慢掰开来说：

http    
.formLogin()    
.loginPage("/login_page")    
.passwordParameter("username")    
.passwordParameter("password")    
.loginProcessingUrl("/sign_in")    
.permitAll()
这是配置登录相关的操作从方法名可知，配置了登录页请求路径，密码属性名，用户名属性名，和登录请求路径，permitAll()代表任意用户可访问。

http    
.authorizeRequests()    
.antMatchers("/test").hasRole("test")    
.anyRequest().authenticated()    
.accessDecisionManager(accessDecisionManager());
以上配置是权限相关的配置，配置了一个 /test url 该有什么权限才能访问， anyRequest() 表示所有请求，authenticated() 表示已登录用户才能访问， accessDecisionManager() 表示绑定在 url 上的鉴权管理器

为了对比，现在贴出另一个权限配置清单:

http.authorizeRequests()    
.antMatchers("/tets_a/**","/test_b/**").hasRole("test")    
.antMatchers("/a/**","/b/**").authenticated()    
.accessDecisionManager(accessDecisionManager())
我们可以看到权限配置的自由度很高，鉴权管理器可以绑定到任意 url 上；而且可以硬编码各种 url 权限:

http    
.logout()    
.logoutUrl("/logout")    
.logoutSuccessHandler(new MyLogoutSuccessHandler())
登出相关配置，这里配置了登出 url 和登出成功处理器:

http    
.exceptionHandling()    
.accessDeniedHandler(new MyAccessDeniedHandler());
上面代码是配置鉴权失败的处理器。

http.addFilterAfter(new MyFittler(), LogoutFilter.class);    
http.addFilterAt(getAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class);
上面代码展示如何在过滤器链中插入自己的过滤器，addFilterBefore 加在对应的过滤器之前，addFilterAfter 加在对应的过滤器之后，addFilterAt 加在过滤器同一位置，事实上框架原有的 Filter 在启动 HttpSecurity 配置的过程中，都由框架完成了其一定程度上固定的配置，是不允许更改替换的。根据测试结果来看，调用 addFilterAt 方法插入的 Filter ，会在这个位置上的原有 Filter 之前执行。

注：关于 HttpSecurity 使用的是链式编程，其中 http.xxxx.and.yyyyy 这种写法和 http.xxxx;http.yyyy 写法意义一样。

自定义 AuthenticationManager 和 AccessDecisionManager

重写 authenticationManagerBean() 方法，并构造一个 authenticationManager：

@Override    
public AuthenticationManager authenticationManagerBean() throws Exception {    
    ProviderManager authenticationManager = new ProviderManager(Arrays.asLis(getMyAuthenticationProvider(),daoAuthenticationProvider()));    
    return authenticationManager;    
}
我这里给 authenticationManager 配置了两个认证器，执行过程参考流程图。

定义构造AccessDecisionManager的方法并在配置类中调用，配置参考 configure(HttpSecurity http) 说明：

public AccessDecisionManager accessDecisionManager(){    
    List<AccessDecisionVoter<? extends Object>> decisionVoters    
            = Arrays.asList(    
            new MyExpressionVoter(),    
            new WebExpressionVoter(),    
            new RoleVoter(),    
            new AuthenticatedVoter());    
    return new UnanimousBased(decisionVoters);    
}
投票管理器会收集投票器投票结果做统计，最终结果大于等于0代表通过；每个投票器会返回三个结果：-1（反对），0（通过），1（赞成）。

Security 权限系统
UserDetails

Security 中的用户接口，我们自定义用户类要实现该接口。

GrantedAuthority

Security 中的用户权限接口，自定义权限需要实现该接口:

public class MyGrantedAuthority implements GrantedAuthority {    
    private String authority;    
}
authority 表示权限字段，需要注意的是在 config 中配置的权限会被加上 ROLE_ 前缀，比如我们的配置 authorizeRequests().antMatchers("/test").hasRole("test")，配置了一个 test 权限但我们存储的权限字段（authority）应该是 ROLE_test 。

UserDetailsService

Security 中的用户 Service，自定义用户服务类需要实现该接口:

@Service    
public class MyUserDetailService implements UserDetailsService {    
    @Override    
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {    
      return.....    
    }    
}
loadUserByUsername的作用在上文中已经说明，就是根据用户名查询用户对象。

SecurityContextHolder

用户在完成登录后 Security 会将用户信息存储到这个类中，之后其他流程需要得到用户信息时都是从这个类中获得，用户信息被封装成 SecurityContext ，而实际存储的类是 SecurityContextHolderStrategy ，默认的SecurityContextHolderStrategy 实现类是 ThreadLocalSecurityContextHolderStrategy 它使用了ThreadLocal来存储了用户信息。

手动填充 SecurityContextHolder 示例：

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("test","test",list);    
SecurityContextHolder.getContext().setAuthentication(token);
对于使用 token 鉴权的系统，我们就可以验证token后手动填充SecurityContextHolder，填充时机只要在执行投票器之前即可，或者干脆可以在投票器中填充，然后在登出操作中清空SecurityContextHolder。

Security 扩展
Security 可扩展的有

鉴权失败处理器

验证器

登录成功处理器

投票器

自定义token处理过滤器

登出成功处理器

登录失败处理器

自定义 UsernamePasswordAuthenticationFilter

鉴权失败处理器

Security 鉴权失败默认跳转登录页面，我们可以实现 AccessDeniedHandler 接口，重写 handle() 方法来自定义处理逻辑；然后参考配置类说明将处理器加入到配置当中。

验证器

实现 AuthenticationProvider 接口来实现自己验证逻辑。需要注意的是在这个类里面就算你抛出异常，也不会中断验证流程，而是算你验证失败，我们由流程图知道，只要有一个验证器验证成功，就算验证成功，所以你需要留意这一点。

登录成功处理器

在 Security 中验证成功默认跳转到上一次请求页面或者路径为 "/" 的页面，我们同样可以自定义：继承 SimpleUrlAuthenticationSuccessHandler 这个类或者实现 AuthenticationSuccessHandler 接口。我这里建议采用继承的方式,SimpleUrlAuthenticationSuccessHandler 是默认的处理器，采用继承可以契合里氏替换原则，提高代码的复用性和避免不必要的错误。

投票器

投票器可继承 WebExpressionVoter 或者实现 AccessDecisionVoter接口；WebExpressionVoter 是 Security 默认的投票器；我这里同样建议采用继承的方式；添加到配置的方式参考 上文；

注意：投票器 vote 方法返回一个int值；-1代表反对，0代表弃权，1代表赞成；投票管理器收集投票结果，如果最终结果大于等于0则放行该请求。

自定义token处理过滤器

自定义 token 处理器继承自 OncePerRequestFilter 或者 GenericFilterBean 或者 Filter 都可以，在这个处理器里面需要完成的逻辑是：获取请求里的 token，验证 token 是否合法然后填充 SecurityContextHolder ，虽然说过滤器只要添加在投票器之前就可以，但我这里还是建议添加在 http.addFilterAfter(new MyFittler(), LogoutFilter.class);

登出成功处理器

实现LogoutSuccessHandler接口，添加到配置的方式参考上文。

登录失败处理器

登录失败默认跳转到登录页，我们同样可以自定义。继承 SimpleUrlAuthenticationFailureHandler 或者实现 AuthenticationFailureHandler，建议采用继承。

自定义UsernamePasswordAuthenticationFilter

我们自定义UsernamePasswordAuthenticationFilter可以极大提高我们 Security的灵活性（比如添加验证验证码是否正确的功能）。

我们直接继承 UsernamePasswordAuthenticationFilter ，然后在配置类中初始化这个过滤器，给这个过滤器添加登录失败处理器，登录成功处理器，登录管理器，登录请求 url 。

这里配置略微复杂，贴一下代码清单

初始化过滤器：

MyUsernamePasswordAuthenticationFilte getAuthenticationFilter(){    
    MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter = new MyUsernamePasswordAuthenticationFilter(redisService);    
    myUsernamePasswordAuthenticationFilter.setAuthenticationFailureHandler(new MyUrlAuthenticationFailureHandler());    
    myUsernamePasswordAuthenticationFilter.setAuthenticationSuccessHandler(new MyAuthenticationSuccessHandler());    
    myUsernamePasswordAuthenticationFilter.setFilterProcessesUrl("/sign_in");    
    myUsernamePasswordAuthenticationFilter.setAuthenticationManager(getAuthenticationManager());    
    return myUsernamePasswordAuthenticationFilter;    
}
添加到配置：

http.addFilterAt(getAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class);
总结
对于 Security 的扩展配置关键在于 configure(HttpSecurityhttp) 方法；扩展认证方式可以自定义 authenticationManager 并加入自己验证器，在验证器中抛出异常不会终止验证流程；扩展鉴权方式可以自定义 accessDecisionManager 然后添加自己的投票器并绑定到对应的 url（url 匹配方式为 ant）上，投票器 vote(Authenticationauthentication,FilterInvocationfi,Collection<ConfigAttribute>attributes) 方法返回值为三种：-1 0 1，分别表示反对弃权赞成。

对于 token 认证的校验方式，可以暴露一个获取的接口，或者重写 UsernamePasswordAuthenticationFilter 过滤器和扩展登录成功处理器来获取 token，然后在 LogoutFilter 之后添加一个自定义过滤器，用于校验和填充 SecurityContextHolder。

另外，Security 的处理器大部分都是重定向的，我们的项目如果是前后端分离的话，我们希望无论什么情况都返回 json ,那么就需要重写各个处理器了。

本文主要是记录自己学习Spring Security过程中的收获及思考，希望大家能一同学习，提出问题一同讨论进步；
该章节主要是通过阅读Spring Security官网介绍的一些感悟，内容比较简单，官网网址：https://docs.spring.io/spring-security/site/docs/5.3.1.BUILD-SNAPSHOT/reference/html5/#modules

Spring Security主要是基于servlet中的过滤器来实现各种功能，而原理上servlet容器和Spring管理的bean的容器之间是互相独立不可见的。因而Spring Security引入了DelegatingFilterProxy来实现在servlet的filter中实现与Spring 容器之间的沟通。DelegatingFilterProxy还解决了一个问题：DelegatingFilterProxy可以延迟加载其中的bean，spring一般使用contextLoaderLinstener来加载Spring beans， 而这一操作直到filter实例注册完成才会接数，而容器只有在Filter实例注册后才能启动，因而使用DelegatingFilterProxy的延迟搜索可以解决这个问题。

DelegatingFilterProxy会在ApplicationContext中去搜索fiter bean，使用

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}
1
2
3
4
5
6
7
既然能够在DelegatingFilterProxy中插入bean，实际上我们就可以进行更多的操作。spring security的servlet通过FilterChainProxy和SecurityFilterChain实现了往DelegatingFilterProxy中插入多个filter的功能，FilterChainProxy是security 提供的一种特殊的filter。
SecurityFilterChain中包含了多种自定义的filter bean，这些bean不直接注册到DelegatingFilterProxy下，而是注册到SecurityFilterChain中主要是为了：1.SecurityFilterChain可以作为spring security的起点，在这里插入断点更加容易进行调试（因为所有的filter都从此开始）；2.FilterChainProxy中可以执行一些非可选的操作，如清空SecurityContext 来避免内存溢出。同时也可以用来作为spring security的HttpFirewall来完成对一些公击的抵抗；3.通过组合不同的filter到不同的SecurityFilterChain中，可以实现灵活的选择某些过滤器生效。（这应该才是最重要的原因把）实质上就实现了，根据不同request path，选用不同的filters组，即SecurityFilterChain。

Spring security其实自带了许多security filter，他们自身带有一定的顺序。
• ChannelProcessingFilter
• ConcurrentSessionFilter
• WebAsyncManagerIntegrationFilter
• SecurityContextPersistenceFilter
• HeaderWriterFilter
• CorsFilter
• CsrfFilter
• LogoutFilter
• OAuth2AuthorizationRequestRedirectFilter
• Saml2WebSsoAuthenticationRequestFilter
• X509AuthenticationFilter
• AbstractPreAuthenticatedProcessingFilter
• CasAuthenticationFilter
• OAuth2LoginAuthenticationFilter
• Saml2WebSsoAuthenticationFilter
• UsernamePasswordAuthenticationFilter
• ConcurrentSessionFilter
• OpenIDAuthenticationFilter
• DefaultLoginPageGeneratingFilter
• DefaultLogoutPageGeneratingFilter
• DigestAuthenticationFilter
• BearerTokenAuthenticationFilter
• BasicAuthenticationFilter
• RequestCacheAwareFilter
• SecurityContextHolderAwareRequestFilter
• JaasApiIntegrationFilter
• RememberMeAuthenticationFilter
• AnonymousAuthenticationFilter
• OAuth2AuthorizationCodeGrantFilter
• SessionManagementFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor
• SwitchUserFilter

而这其中，ExceptionTranslationFilter也是我们会接触比较多的filter，它位于调用顺序的尾部，他主要处理 AccessDeniedException 和AuthenticationException 产生的问题，并将自定义的结果返回到reponse中，该方法实际上包含了调用链，所有在其后过滤器中发生了这两类报错也会被这边catch到。

try {
    filterChain.doFilter(request, response); 
} catch (AccessDeniedException | AuthenticationException e) {
    if (!authenticated || e instanceof AuthenticationException) {
        startAuthentication(); 
    } else {
        accessDenied(); 
    }
}
————————————————