文章目录
- 前言
- 架构
- 认证
- 认证管理(AuthenticationManager):
- 认证提供者:AuthenticationProvider
- AbstractUserDetailsAuthenticationProvider(抽象用户详情身份认证提供者)
- DaoAuthenticationProvider(Dao身份认证提供者)
- 用户信息服务:UserDetailsService
- ClientDetailsUserDetailsService(客户端详情用户详情服务)
- UserDetailsManager(用户详情管理)
- InMemoryUserDetailsManager(基于内存用户详情管理)
- JdbcUserDetailsManager(Jdbc用户详情管理)
- 决策
- 安全拦截器:AbstractSecurityInterceptor
- 访问决策管理:AccessDecisionManager
- 访问决策投:AccessDecisionVoter
- FilterChainProxy(过滤器链代理)
- UsernamePasswordAuthenticationFilter:用户密码身份认证过滤器
- FilterSecurityInterceptor:过滤安全拦截器
- ExceptionTranslationFilter:异常转换过滤器
- LogoutFilter:退出登录过滤器
- DefaultLoginPageGeneratingFilter:默认登录页通用过滤器
- DefaultLogoutPageGeneratingFilter:默认登录退出通用页面
- 一、Spring Boot Security启动原理
- 自动配置类
- Spring Boot AutoConfiguration自动加载Security
- SecurityAutoConfiguration(安全自动配置)
- SpringBootWebSecurityConfiguration(SpringBootWeb安全认证配置)
- WebSecurityConfigurerAdapter(Web安全配置适配器)
- UserDetailsServiceAutoConfiguration(用户详情服务自动配置)
- HttpSecurity
前言
Spring Boot Security提供了:
- 认证(Authentication)
- 授权(Authorization)
- 提供常见攻击保护:Cors、
架构
Spring Boot Security架构
是基于Servlet中的Filter实现的。整个Security是通过过滤器链(FilterChain)来完成认知、授权、攻击保护。
认证
认证管理(AuthenticationManager):
- 根据传入
Authentication
,通过AuthenticationProvider
来完成用户资源权限 - 根据用户认证情况,如果失败,发送publishAuthenticationFailure。如果成功,发送publishAuthenticationSuccess
认证提供者:AuthenticationProvider
- 提供身份认证功能,和AuthenticationManager.authenticate功能类似。
- 当前类的Authentication类型
- AuthenticationProvider一般采用系统默认配置的,也没有特别需要去修改。
AbstractUserDetailsAuthenticationProvider(抽象用户详情身份认证提供者)
- 支持Authentication类型为UsernamePasswordAuthenticationToken
- 提供了缓存用户信息的获取
- 完成了前置校验
- 子类完成用户信息的具体获取
- 完成后置校验
- 返回认证成功后需要的信息
DaoAuthenticationProvider(Dao身份认证提供者)
- 注入了UserDetailsService,根据用户名返回UserDetails
- 注入了PasswordEncoder,完成返回UserDetails和用户输入密码的校验。
用户信息服务:UserDetailsService
- 根据传入username获取到
UserDetails
- 这个一般都需要用户自己自定义,参考对象JdbcUserDetailsManager
ClientDetailsUserDetailsService(客户端详情用户详情服务)
- 这个用于在OAuth2的时候,对客户端信息提供服务的
UserDetailsManager(用户详情管理)
- 在UserDetailsService的基础上添加了一些方法。
InMemoryUserDetailsManager(基于内存用户详情管理)
- 存储在内存中的用户详情管理
- 实现、增、删、该、查
JdbcUserDetailsManager(Jdbc用户详情管理)
- 用户信息存储在数据库中,这里提供了大概的思路。自定义时可参考。
- 实现、增、删、该、查
决策
安全拦截器:AbstractSecurityInterceptor
- 获取安全元数据资源
SecurityMetadataSource
,一般是URL等信息 - 通过
AuthencationManager
来获得Authentication
,如果已存在则从上下文获取。 - 通过
AccessDecisionManger
来决策,是否通过。 - 实现类
FilterSecurityInterceptor
实现了Filter
。
访问决策管理:AccessDecisionManager
- 通过AccessDecisionVoter中的
vote
投票决定是否通过。
访问决策投:AccessDecisionVoter
- 通过投票决定,返回拒绝访问(ACCESS_DENIED,-1)、弃权访问(ACCESS_DENIED,0)、准许访问(ACCESS_GRANTED,1);
FilterChainProxy(过滤器链代理)
UsernamePasswordAuthenticationFilter:用户密码身份认证过滤器
- 通过
RequestMatcher
校验当前请求是否需要执行当前过滤器。建议登录地址(/login) - 通过
AuthenticationManagerResolver
获取AuthenticationManager
- 通过
AuthenticationManger
获取Authentication
。完成用户认证和获取用户信息 - 如果认证失败:通过
AuthenticationFailureHandler
返回失败信息 - 如果认知成功:通过
AuthenticationSuccessHandler
返回成功信息
FilterSecurityInterceptor:过滤安全拦截器
- 用于的请求进行认证的,确定当前请求是否有权限
- 通过SecurityMetadataSource的getAttributes方法,获取到当前请求所需要的安全元数据。
- 从SecurityContextHolder获取Authentication判断是是否身份认证以完成,未认证则则抛出AuthenticationServiceException异常。
- 通过AfterInvocationManager中的decide完成请求决策,判断是否有权限访问。
ExceptionTranslationFilter:异常转换过滤器
- 主要处理两类异常AuthenticationException和AccessDeniedException。
- AuthenticationException身份认证异常,发生在身份认证时候。
- AccessDeniedException访问拒绝异常,发生在权限校验时候。
LogoutFilter:退出登录过滤器
- 通过
SecurityContext
获取上下文存储的Authentication
信息。 - 执行
LogoutHandler
中的logout
完成,退出逻辑处理。 - 退出处理完成之后,执行
LogoutSuccessHandler
中onLogoutSuccess
方法。完成退出成功后的处理
DefaultLoginPageGeneratingFilter:默认登录页通用过滤器
- 通过
doFilter
完成校验请求链接是否是:loginError
,logoutSuccess
,isLoginUrlRequest
,跳转到指定链接中。且为GET
请求。 - loginPageUrl 登录页面URL
- logoutSuccessUrl:登录成功URL
- failureUrl:登录失败URL
- formLoginEnabled: 表单登录是否启动
DefaultLogoutPageGeneratingFilter:默认登录退出通用页面
- 判断链接是否是
/logout
,且为GET
请求 - 是跳转到退出登录页面
一、Spring Boot Security启动原理
自动配置类
Spring Boot AutoConfiguration自动加载Security
Spring Boot AutoConfiguration项目下“META-INF/spring.factories"
提供了支持Servlet和Reactive两种Web类型的支持
#Security自动配置基于Servlet
org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration,\
#UserDetailsService自动配置基于Servlet
org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration,\
#安全过滤器自动配置基于Servlet
org.springframework.boot.autoconfigure.security.servlet.SecurityFilterAutoConfiguration,\
org.springframework.boot.autoconfigure.security.reactive.ReactiveSecurityAutoConfiguration,\
org.springframework.boot.autoconfigure.security.reactive.ReactiveUserDetailsServiceAutoConfiguration,\
org.springframework.boot.autoconfigure.security.rsocket.RSocketSecurityAutoConfiguration,\
org.springframework.boot.autoconfigure.security.saml2.Saml2RelyingPartyAutoConfiguration,\
org.springframework.boot.autoconfigure.security.oauth2.client.servlet.OAuth2ClientAutoConfiguration,\
org.springframework.boot.autoconfigure.security.oauth2.client.reactive.ReactiveOAuth2ClientAutoConfiguration,\
org.springframework.boot.autoconfigure.security.oauth2.resource.servlet.OAuth2ResourceServerAutoConfiguration,\
org.springframework.boot.autoconfigure.security.oauth2.resource.reactive.ReactiveOAuth2ResourceServerAutoConfiguration,\
SecurityAutoConfiguration(安全自动配置)
- 完成认证异常类,ApplicationEventPublisher
- 通过引入类:SpringBootWebSecurityConfiguration,WebSecurityEnablerConfiguration,SecurityDataConfiguration。
完成自动配置
@Configuration(proxyBeanMethods = false)
/**
* 认证异常类的注册
*/
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {
@Bean
@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
return new DefaultAuthenticationEventPublisher(publisher);
}
}
SpringBootWebSecurityConfiguration(SpringBootWeb安全认证配置)
如果有一个bean类型是
WebSecurityConfigurationAdapter
, 添加·EnableWebSecurity·注解。主要将确保注解是存在的当为默认安全自动配置。而且如果用户添加了定制安全且忘记添加了当前注解。
如果EnableWebSecurity
已经添加了Bean或如果一个bean的名称是BeanIds#SPRING_SECURITY_FILTER_CHAIN
在当前用户的bean配置中,将不使用当前配置。
@Configuration(proxyBeanMethods = false)
//Web安全配置适配器
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
//当Web类型为Servlet时生效
@ConditionalOnWebApplication(type = Type.SERVLET)
public class SpringBootWebSecurityConfiguration {
@Configuration(proxyBeanMethods = false)
@Order(SecurityProperties.BASIC_AUTH_ORDER)
static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {
}
}
WebSecurityConfigurerAdapter(Web安全配置适配器)
- UsernamePasswordAuthenticationFilter:用户密码身份认证过滤器
通过匹配/login请求,获取username和password,创建UsernamePasswordAuthenticationToken。通过AuthenticationManager完成身份认证。 - FilterSecurityInterceptor:过滤器安全拦截器(每次请求URL是否有权限)
初始化,HttpSecurity前置构建行动
完成FilterSecurityInterceptor
,过滤安全拦截器。完成对访问决策资源的验证(一般是用户角色与URL的控制)
public void init(WebSecurity web) throws Exception {
HttpSecurity http = this.getHttp();
web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
FilterSecurityInterceptor securityInterceptor = (FilterSecurityInterceptor)http.getSharedObject(FilterSecurityInterceptor.class);
web.securityInterceptor(securityInterceptor);
});
}
获取HttpSecurity,在这个完成整个HttpSecurity的配置,包括登录、退出等。
protected final HttpSecurity getHttp() throws Exception {
if (this.http != null) {
return this.http;
} else {
AuthenticationEventPublisher eventPublisher = this.getAuthenticationEventPublisher();
this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
AuthenticationManager authenticationManager = this.authenticationManager();
this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
Map<Class<?>, Object> sharedObjects = this.createSharedObjects();
this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
if (!this.disableDefaults) {
((HttpSecurity)((DefaultLoginPageConfigurer)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)
this.http.csrf().and())//跨站点请求伪造
.addFilter(new WebAsyncManagerIntegrationFilter())//Web异步管理拦截器过滤
.exceptionHandling().and()) //异常类过滤器设置
.headers().and()) //头过滤器设置
.sessionManagement().and()) //会话管理
.securityContext().and())//安全上下文
.requestCache().and())//请求缓存
.anonymous().and())//匿名
.servletApi().and())//api
.apply(new DefaultLoginPageConfigurer())).and())//登录配置
.logout();//退出登录
ClassLoader classLoader = this.context.getClassLoader();
List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
Iterator var6 = defaultHttpConfigurers.iterator();
while(var6.hasNext()) {
AbstractHttpConfigurer configurer = (AbstractHttpConfigurer)var6.next();
this.http.apply(configurer);
}
}
this.configure(this.http);
return this.http;
}
}
HttpSecurity安全配置
- 通过formLogin方法完成FormLoginConfigurer的配置,其中其中包含
UsernamePasswordAuthenticationFilter
(这个类完成身份认证),设置了DefaultLoginPageGeneratingFilter(登录页面过滤器)
protected void configure(HttpSecurity http) throws Exception {
this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
((HttpSecurity)((HttpSecurity)((ExpressionUrlAuthorizationConfigurer.AuthorizedUrl)
http.authorizeRequests().anyRequest()).authenticated().and()).formLogin().and()).httpBasic();
}
UserDetailsServiceAutoConfiguration(用户详情服务自动配置)
在所有Bean中未找到下列Bean则,加载当前配置
- AuthenticationManager:认证管理
- AuthenticationProvider:认证提供者
- UserDetailsService:用户详情服务
@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean(
value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class },
type = { "org.springframework.security.oauth2.jwt.JwtDecoder",
"org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector" })
public class UserDetailsServiceAutoConfiguration {
private static final String NOOP_PASSWORD_PREFIX = "{noop}";
private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");
private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);
@Bean
@ConditionalOnMissingBean(
type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
@Lazy
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
ObjectProvider<PasswordEncoder> passwordEncoder) {
SecurityProperties.User user = properties.getUser();
List<String> roles = user.getRoles();
return new InMemoryUserDetailsManager(
User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
.roles(StringUtils.toStringArray(roles)).build());
}
private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
String password = user.getPassword();
if (user.isPasswordGenerated()) {
logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
}
if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
return password;
}
return NOOP_PASSWORD_PREFIX + password;
}
}
HttpSecurity
通过这个类,配置HttpSecurity。完成整个Filter链的构建。请求匹配,过滤比较.
配置示例
HttpSecurity http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
if (!this.disableDefaults) {
((HttpSecurity)((DefaultLoginPageConfigurer)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)
http.csrf().and())//跨站点请求伪造
.addFilter(new WebAsyncManagerIntegrationFilter())//Web异步管理拦截器过滤
.exceptionHandling().and()) //异常类过滤器设置
.headers().and()) //头过滤器设置
.sessionManagement().and()) //会话管理
.securityContext().and())//安全上下文
.requestCache().and())//请求缓存
.anonymous().and())//匿名
.servletApi().and())//api
.apply(new DefaultLoginPageConfigurer())).and())//登录配置
.logout();//退出登录