安全归根节点需要解决两个问题:
- 鉴权(authentication)--我是谁?
- 授权(authorization)--允许我做什么?
后者有些时候也被人们叫做“访问控制”(access control)。spring security 是一个将鉴权和授权分开的安全框架。包含策略,同时提供对两者的扩展能力。
Authencation Architecture
下图描绘了spring security在鉴权处理流程中涉及到的类和过滤器。
- HTTP Basic authentication request 经过“过滤链”,直到它到达BasicAuthenticationFilter
- HTTP Digest authentication request 经过“过滤链”,直到它到达DigestAuthenticationFilter
- login form authentication request 经过“过滤链”,直到它到达UsernamePasswordAuthenticationFilter过滤器进行处理。
- x509 authentication request 经过“过滤链”,直到它到达X509AuthenticationFilter 过滤器进行处理。
- 一旦鉴权请求被相应的Authentication Filter接收,该过滤器将会从接收的请求中提取出用户名和密码,基于这些用户信息,创建一个 UsernamePasswordAuthenticationToken 对象,注意,该类实现了 Authentication
- UsernamePasswordAuthenticationToken 对象创建成功后,被用来作为 AuthenticationManager 中 authenticate() 方法的入参。 AuthenticationManager 仅仅是一个接口:
public interface AuthenticationManager{
Authentication authenticate(Authentication authentication)throws AuthenticationException;
}实际实现类是 ProviderManager 。该实现类包含了一系列配置的 AuthenticationProvider
- 具体到实现细节, ProviderManager 会遍历每个AuthenticationProvider,根据传入的Authentication对象(例如: UsernamePasswordAuthenticationToken )尝试鉴权用户。AuthenticationProvider
public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> authentication);
}这里是一些Spring security框架提供的AuthenticationProvider:
- CasAuthenticationProvider
- JaasAuthenticationProvider
- DaoAuthenticationProvider
- OpenIDAuthenticationProvider
- RememberMeAuthenticationProvider
- LdapAuthenticationProvider
- 有些AuthenticationProvider可能会使用 UserDetailsService ,用于获取用户的详细信息。比如说 DaoAuthenticationProvider 可能需要根据传入的用户名从数据库中获取该用户的详细信息。
public interface UserDetailsService{
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}- UserDetailsService 返回 UserDetails 。而 User 是 UserDetails 的具体实现类,当然用户也可以自行实现 UserDetails
- 同6
- 如果用户鉴权成功,则返回Authentication对象,相比于传入的未鉴权的对象,这个鉴权后的的对象更“丰满”,包含了用户的角色信息
从上图可以看出,鉴权成功的Authentication对象(Fully populated Authentication Object)包含:
authenticated- true
grant authorities list :关联的角色(角色和权限挂钩)
user credentials:用户凭证(仅仅包含用户名)
如果鉴权未通过,则抛出异常 AuthenticationException
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.exceptionHandling()
.authenticationEntryPoint(unauthorizedHandler);
}
9. Authentication is done! 鉴权成功后,AuthenticationManager返回包含完整信息的鉴权对象给相关的Authentication Filter。
10. 将返回的鉴权对象保存到SecurityContext,用于后续过滤器的使用。比如Authorization Filters
SecurityContextHolder.getContext().setAuthentication(authentication);
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
