spring security架构(一)

2019-02-17 01:51:35来源:博客园 阅读 ()

新老客户大回馈,云服务器低至5折

安全归根节点需要解决两个问题:

  • 鉴权(authentication)--我是谁?
  • 授权(authorization)--允许我做什么?

后者有些时候也被人们叫做“访问控制”(access control)。spring security 是一个将鉴权和授权分开的安全框架。包含策略,同时提供对两者的扩展能力。

Authencation Architecture

下图描绘了spring security在鉴权处理流程中涉及到的类和过滤器。

  1.  外部的http请求访问内部受保护的Resful API之前,需要经过一系列的安全过滤器。这些被spring security设定的过滤器,用于鉴权和授权的目的。当用户的鉴权请求从外部进入时,将经过这条过滤器链,基于鉴权机制和模型,找到相应的Authentication Filter。比如说:
    • HTTP Basic authentication request 经过“过滤链”,直到它到达BasicAuthenticationFilter 过滤器进行处理。
    • HTTP Digest authentication request 经过“过滤链”,直到它到达DigestAuthenticationFilter 过滤器进行处理。
    • login form authentication request 经过“过滤链”,直到它到达UsernamePasswordAuthenticationFilter过滤器进行处理。
    • x509 authentication request 经过“过滤链”,直到它到达X509AuthenticationFilter 过滤器进行处理。
  2. 一旦鉴权请求被相应的Authentication Filter接收,该过滤器将会从接收的请求中提取出用户名和密码,基于这些用户信息,创建一个  UsernamePasswordAuthenticationToken 对象,注意,该类实现了 Authentication 接口。
  3. UsernamePasswordAuthenticationToken  对象创建成功后,被用来作为 AuthenticationManager 中 authenticate() 方法的入参。 AuthenticationManager 仅仅是一个接口:
    public interface AuthenticationManager{
      Authentication authenticate(Authentication authentication)throws AuthenticationException;
    }
    

    实际实现类是 ProviderManager 。该实现类包含了一系列配置的 AuthenticationProvider (s), 这些provider受ProvideManager委托,用于用户请求的鉴权。

  4. 具体到实现细节, ProviderManager 会遍历每个AuthenticationProvider,根据传入的Authentication对象(例如: UsernamePasswordAuthenticationToken )尝试鉴权用户。AuthenticationProvider 接口如下所示:

    public interface AuthenticationProvider { 
        Authentication authenticate(Authentication authentication) throws AuthenticationException; 
        boolean supports(Class<?> authentication);
    }
    

    这里是一些Spring security框架提供的AuthenticationProvider:

    • CasAuthenticationProvider
    • JaasAuthenticationProvider
    • DaoAuthenticationProvider
    • OpenIDAuthenticationProvider
    • RememberMeAuthenticationProvider
    • LdapAuthenticationProvider
  5. 有些AuthenticationProvider可能会使用 UserDetailsService ,用于获取用户的详细信息。比如说 DaoAuthenticationProvider 可能需要根据传入的用户名从数据库中获取该用户的详细信息。
    public interface UserDetailsService{
      UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
    }
    

     

  6.  UserDetailsService 返回 UserDetails 。而 User 是 UserDetails 的具体实现类,当然用户也可以自行实现 UserDetails 接口。

  7. 同6
  8.  如果用户鉴权成功,则返回Authentication对象,相比于传入的未鉴权的对象,这个鉴权后的的对象更“丰满”,包含了用户的角色信息

    

从上图可以看出,鉴权成功的Authentication对象(Fully populated Authentication Object)包含:

  authenticated- true

  grant authorities list :关联的角色(角色和权限挂钩)

  user credentials:用户凭证(仅仅包含用户名)

如果鉴权未通过,则抛出异常 AuthenticationException 。该异常属于运行时异常,不期望用户通过try/catch去处理,spring security提供了一种通用的方式。即通过AuthenticationEntryPoint 处理:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .exceptionHandling()
            .authenticationEntryPoint(unauthorizedHandler);
    }

  9. Authentication is done! 鉴权成功后,AuthenticationManager返回包含完整信息的鉴权对象给相关的Authentication Filter。

  10. 将返回的鉴权对象保存到SecurityContext,用于后续过滤器的使用。比如Authorization Filters   

SecurityContextHolder.getContext().setAuthentication(authentication);

  

 Reference

https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/


原文链接:https://www.cnblogs.com/yanzhenjingyan/p/10382594.html
如有疑问请与原作者联系

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:二分查找-最基本的实现-小白初识

下一篇:浅谈JavaWeb架构演变