spring security架构(一)
2019-02-17 01:51:35来源:博客园 阅读 ()
安全归根节点需要解决两个问题:
- 鉴权(authentication)--我是谁?
- 授权(authorization)--允许我做什么?
后者有些时候也被人们叫做“访问控制”(access control)。spring security 是一个将鉴权和授权分开的安全框架。包含策略,同时提供对两者的扩展能力。
Authencation Architecture
下图描绘了spring security在鉴权处理流程中涉及到的类和过滤器。
- 外部的http请求访问内部受保护的Resful API之前,需要经过一系列的安全过滤器。这些被spring security设定的过滤器,用于鉴权和授权的目的。当用户的鉴权请求从外部进入时,将经过这条过滤器链,基于鉴权机制和模型,找到相应的Authentication Filter。比如说:
- HTTP Basic authentication request 经过“过滤链”,直到它到达BasicAuthenticationFilter 过滤器进行处理。
- HTTP Digest authentication request 经过“过滤链”,直到它到达DigestAuthenticationFilter 过滤器进行处理。
- login form authentication request 经过“过滤链”,直到它到达UsernamePasswordAuthenticationFilter过滤器进行处理。
- x509 authentication request 经过“过滤链”,直到它到达X509AuthenticationFilter 过滤器进行处理。
- 一旦鉴权请求被相应的Authentication Filter接收,该过滤器将会从接收的请求中提取出用户名和密码,基于这些用户信息,创建一个 UsernamePasswordAuthenticationToken 对象,注意,该类实现了 Authentication 接口。
- UsernamePasswordAuthenticationToken 对象创建成功后,被用来作为 AuthenticationManager 中 authenticate() 方法的入参。 AuthenticationManager 仅仅是一个接口:
public interface AuthenticationManager{ Authentication authenticate(Authentication authentication)throws AuthenticationException; }实际实现类是 ProviderManager 。该实现类包含了一系列配置的 AuthenticationProvider (s), 这些provider受ProvideManager委托,用于用户请求的鉴权。
-
具体到实现细节, ProviderManager 会遍历每个AuthenticationProvider,根据传入的Authentication对象(例如: UsernamePasswordAuthenticationToken )尝试鉴权用户。AuthenticationProvider 接口如下所示:
public interface AuthenticationProvider { Authentication authenticate(Authentication authentication) throws AuthenticationException; boolean supports(Class<?> authentication); }这里是一些Spring security框架提供的AuthenticationProvider:
- CasAuthenticationProvider
- JaasAuthenticationProvider
- DaoAuthenticationProvider
- OpenIDAuthenticationProvider
- RememberMeAuthenticationProvider
- LdapAuthenticationProvider
- 有些AuthenticationProvider可能会使用 UserDetailsService ,用于获取用户的详细信息。比如说 DaoAuthenticationProvider 可能需要根据传入的用户名从数据库中获取该用户的详细信息。
public interface UserDetailsService{ UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; } -
UserDetailsService 返回 UserDetails 。而 User 是 UserDetails 的具体实现类,当然用户也可以自行实现 UserDetails 接口。
- 同6
-
如果用户鉴权成功,则返回Authentication对象,相比于传入的未鉴权的对象,这个鉴权后的的对象更“丰满”,包含了用户的角色信息
从上图可以看出,鉴权成功的Authentication对象(Fully populated Authentication Object)包含:
authenticated- true
grant authorities list :关联的角色(角色和权限挂钩)
user credentials:用户凭证(仅仅包含用户名)
如果鉴权未通过,则抛出异常 AuthenticationException 。该异常属于运行时异常,不期望用户通过try/catch去处理,spring security提供了一种通用的方式。即通过AuthenticationEntryPoint 处理:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.exceptionHandling()
.authenticationEntryPoint(unauthorizedHandler);
}
9. Authentication is done! 鉴权成功后,AuthenticationManager返回包含完整信息的鉴权对象给相关的Authentication Filter。
10. 将返回的鉴权对象保存到SecurityContext,用于后续过滤器的使用。比如Authorization Filters
SecurityContextHolder.getContext().setAuthentication(authentication);
Reference
https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/
原文链接:https://www.cnblogs.com/yanzhenjingyan/p/10382594.html
如有疑问请与原作者联系
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:二分查找-最基本的实现-小白初识
下一篇:浅谈JavaWeb架构演变
- Spring系列.ApplicationContext接口 2020-06-11
- springboot2配置JavaMelody与springMVC配置JavaMelody 2020-06-11
- 老板让你抗住千万级流量,如何做架构设计? 2020-06-11
- 给你一份超详细 Spring Boot 知识清单 2020-06-11
- SpringBoot 2.3 整合最新版 ShardingJdbc + Druid + MyBatis 2020-06-11
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
