Spring 的安全框架:Spring Security
1.Spring Security 初识
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
除常规的认证和授权外,它还提供了 ACLs、LDAP、JAAS、CAS 等高级特性以满足复杂环境下的安全需求。
1.1 核心概念
Spring Security 的 3 个核心概念。
- Principle:代表用户的对象 Principle(User),不仅指人类,还包括一切可以用于验证的设备。
- Authority:代表用户的角色 Authority(Role),每个用户都应该有一种角色,如管理员或是会员。
- Permission:代表授权,复杂的应用环境需要对角色的权限进行表述。
在 Spring Security 中,Authority 和 Permission 是两个完全独立的概念,两者并没有必然的联系。它们之间需要通过配置进行关联,可以是自己定义的各种关系。
1.2 认证和授权
安全主要分为 验证(
authentication
)和 授权(
authorization
)两个部分。
1.2.1 验证(authentication)
验证 指的是,建立系统使用者信息(Principal)的过程。使用者可以是一个用户、设备,和可以在应用程序中执行某种操作的其他系统。
用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码的正确性来完成认证的通过或拒绝过程。
Spring Security 支持主流的认证方式,包括 HTTP 基本认证、 HTTP 表单验证、HTTP 摘要认证、Open ID 和 LDAP 等。
Spring Security 进行验证的步骤如下。
- 1️⃣ 用户使用用户名和密码登录。
- 2️⃣ 过滤器(UsemamePasswordAuthenticationFilter)获取到用户名、密码,然后封装成 Authentication。
- 3️⃣ AuthenticationManager 认证 token (Authentication 的实现类传递)。
- 4️⃣ AuthenticationManager 认证成功,返回一个封装了用户权限信息的 Authentication 对象, 用户的上下文信息(角色列表等)。
- 5️⃣ Authentication 对象赋值给当前的 SecurityContext,建立这个用户的安全上下文(通过调用
SecurityContextHolder.getContext().setAuthentication()
)。 - 6️⃣ 用户进行一些受到访问控制机制保护的操作,访问控制机制会依据当前安全上下文信息检查这个操作所需的权限。
除利用提供的认证外,还可以编写自己的 Filter(过滤器),提供与那些不是基于 Spring Security 的验证系统的操作。
1.2.2 授权(authorization)
在一个系统中,不同用户具有的权限是不同的。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。
它判断某个 Principal 在应用程序中是否允许执行某个操作。在进行授权判断之前,要求其所要使用到的规则必须在验证过程中已经建立好了。
对 Web 资源的保护,最好的办法是使用过滤器。对方法调用的保护,最好的办法是使用 AOP。
Spring Security 在进行用户认证及授予权限时,也是通过各种拦截器和 AOP 来控制权限访问的,从而实现安全。
1.3 模块
名称模块
解释
核心模块
spring-security-core.jar
包含核心验证和访问控制类和接口,以及支持远程配置的基本 API。远程调用
spring-security-remoting.jar
提供与 Spring Remoting 集成。网页
spring-security-web.jar
包括网站安全的模块,提供网站认证服务和基于 URL 访问控制。配置
spring-security-config.jar
包含安全命令空间解析代码。LDAP
spring-security-ldap.jar
LDAP 验证和配置。ACL
spring-security-acl.jar
对 ACL 访问控制表的实现。CAS
spring-security-cas.jar
对 CAS 客户端的安全实现。OpenlD
spring-security-openid.jar
对 OpenID 网页验证的支持。Test
spring-security-test.jar
对 Spring Security 的测试的支持。
2.核心类
2.1 Securitycontext
SecurityContext 中包含 当前正在访问系统的用户的详细信息,它只有以下两种方法。
getAuthentication()
:获取当前经过身份验证的主体或身份验证的请求令牌。setAuthentication()
:更改或删除当前已验证的主体身份验证信息。
SecurityContext 的信息是由 SecurityContextHolder 来处理的。
2.2 SecurityContextHolder
SecurityContextHolder 用来保存 SecurityContext。最常用的是
getContext()
方法,用来获得当前 SecurityContext。
SecurityContextHolder 中定义了一系列的静态方法,而这些静态方法的内部逻辑是通过 SecurityContextHolder 持有的 SecurityContextHolderStrategy 实现的,如
clearContext()
、
getContext()
、
setContext()
、
createEmptyContext()
。
SecurityContextHolderStrategy 的关键代码如下:
publicinterfaceSecurityContextHolderStrategy{voidclearContext();SecuritycontextgetContext();voidsetContext(SecurityContext context);SecuritycontextcreateEmptyContext();}
2.2.1 strategy 实现
默认使用的 strategy 就是基于ThreadLocal 的 ThreadLocalSecurityContextHolderStrategy 来实现的。
除了上述提到的,Spring Security 还提供了 3 种类型的 strategy 来实现。
GlobalSecurityContextHolderStrategy
:表示全局使用同一个 SecurityContext,如 C/S 结构的客户端。InheritableThreadLocalSecurityContextHolderStrategy
:使用 InheritableThreadLocal 来存放 Securitycontext,即子线程可以使用父线程中存放的变量。ThreadLocalSecurityContextHolderStrategy
: 使用 ThreadLocal 来存放 SecurityContext。
—般情况下,使用默认的 strategy 即可。但是,如果要改变默认的 strategy,Spring Security 提供了两种方法来改变
strategyName
。
SecurityContextHolder 类中有 3 种不同类型的 strategy, 分别为
MODE_THREADLOCAL
、
MODE_INHERITABLETHREADLOCAL
和
MODE_GLOBAL
,关键代码如下:
publicstaticfinalStringMODE_THREADLOCAL="MODE_THREADLOCAL";
publicstaticfinalStringMODEJNHERITABLETHREADLOCAL="MODE_INHERITABLETHREADLOCAL";publicstaticfinalStringMODE_GLOBAL="MODE_GLOBAL";publicstaticfinalStringSYSTEM_PROPERTY="spring.security.strategy";privatestaticString strategyName =System.getProperty(SYSTEM_PROPERTY);privatestaticSecurityContextHolderStrategy strategy;
MODE_THREADLOCAL
是默认的方法。
如果要改变 strategy,则有下面两种方法:
- 通过 SecurityContextHolder 的静态方法
setStrategyName(java.lang.String strategyName)
来改变需要使用的 strategy。 - 通过系统属性(SYSTEM_PROPERTY)行指定,其中属性名默认为
spring.security. strategy
,属性值为对应 strategy 的名称。
2.2.2 获取当前用户的 SecurityContext
Spring Security 使用一个 Authentication 对象来描述当前用户的相关信息。SecurityContextHolder 中持有的是当前用户的Securitycontext,而 SecurityContext 持有的是代表当前用户相关信息的 Authentication 的引用。
这个 Authentication 对象不需要自己创建,Spring Security 会自动创建相应的 Authentication 对象,然后赋值给当前的 SecurityContext。但是,往往需要在程序中获取当前用户的相关信息,比如最常见的是获取当前登录用户的用户名。在程序的任何地方,可以通过如下方式获取到当前用 户的用户名。
publicStringgetCurrentUsername(){Object principal =SecurityContextHolder.getContext().getAuthentication().getPrincipal();if(principal instanceofUserDetails){return((UserDetails) principal).getUsermame();}if(principal instanceofPrincipal){return((Principal) principal).getName();
}returnString.valueOf(principal);}
getAuthentication()
方法会返回认证信息。getPrincipal()
方法返回身份信息,它是 UserDetails 对身份信息的封装。
获取当前用户的用户名,最简单的方式如下:
publicStringgetCurrentUsername()(returnSecurityContextHolder.getContext().getAuthentication().getName();)
在调用
SecurityContextHolder.getContext()
获取 Securitycontext 时,如果对应的 Securitycontext 不存在,则返回空的 SecurityContext。
2.3 ProviderManager
ProviderManager 会维护 一个认证的列表,以便处理不同认证方式的认证,因为系统可能会存在多种认证方式,比如手机号、用户名密码、邮箱方式。
在认证时,如果 ProviderManager 的认证结果不是
null
,则说明认证成功,不再进行其他方式的认证,并且作为认证的结果保存在 SecurityContext 中。如果不成功,则抛出错误信息
ProviderNotFoundException
。
2.4 DaoAuthenticationProvider
它是 AuthenticationProvider 最常用的实现,用来获取用户提交的用户名和密码,并进行正确性比对。如果正确,则返回一个数据库中的用户信息。
当用户在前台提交了用户名和密码后,就会被封装成 UsemamePasswordAuthenticationToken。
然后,DaoAuthenticationProvider 根据
retrieveUser
方法,交给
additionalAuthenticationChecks
方法完成 UsemamePasswordAuthenticationToken 和 UserDetails 密码的比对。如果这个方法没有抛出异常,则认为比对成功。
比对密码需要用到 PasswordEncoder 和 SaltSource。
2.5 UserDetails
UserDetails 是 Spring Security 的 用户实体类,包含用户名、密码、权限等信息。Spring Security 默认实现了内置的 User 类,供 Spring Security 安全认证使用。当然,也可以自己实现。
UserDetails 接口和 Authentication 接口很类似,都拥有
username
和
authorities
。一定要区分清楚 Authentication 的
getCredentials()
与 UserDetails 中的
getPassword()
。前者 是 用户提交的密码凭证,不一定是正确的,或数据库不一定存在;后者 是 用户正确的密码,认证器要进行比对的就是两者是否相同。
Authentication 中的
getAuthorities()
方法是由 UserDetails 的
getAuthorities()
传递而形成的。UserDetails 的用户信息是经过 AuthenticationProvider 认证之后被填充的。
UserDetails 中提供了以下几种方法。
String getPassword()
:返回验证用户密码,无法返回则显示为null
。String getUsername()
:返回验证用户名,无法返回则显示为null
。boolean isAccountNonExpired()
:账户是否过期,过期无法验证。boolean isAccountNonLocked()
:指定用户是否被锁定或解锁,锁定的用户无法逬行身份验证。boolean isCredentialsNonExpired()
:指定是否已过期的用户的凭据(密码),过期的凭据无法认证。boolean isEnabled()
:是否被禁用。禁用的用户不能进行身份验证。
2.6 UserDetailsService
用户相关的信息是通过 UserDetailsService 接口来加载的。该接口的唯一方法是
loadUserByUsername(String username)
,用来 根据用户名加载相关信息。
这个方法的返回值是 UserDetails 接口,其中包含了用户的信息,包括用户名、密码、权限、是否启用、是否被锁定、是否过期等。
2.7 GrantedAuthority
GrantedAuthority 中只定义了一个
getAuthority()
方法。该方法返回一个字符串,表示对应权限的字符串。如果对应权限不能用字符串表示,则返回
null
。
GrantedAuthority 接口通过 UserDetailsService 进行加载,然后赋予 UserDetails。
Authentication 的
getAuthorities()
方法可以返回当前 Authentication 对象拥有的权限,其返回值是一个 GrantedAuthority 类型的数组。每一个 GrantedAuthority 对象代表赋予当前用户的一种权限。
2.8 Filter
Filter 类型
说明
SecurityContextPersistenceFilter
它从 SecurityContextRepository 中取出用户认证信息。为了提高效率,避免每次请求都要查询认证信息,它会从 Session 中取出已认证的用户信息,然后将其放入 SecurityContextHolder 中,以便其他 Filter 使用。
WebAsyncManagerlntegrationFilter
集成了 SecurityContext 和 WebAsyncManager,把 SecurityContext 设置到异步线程,使其也能获取到用户上下文认证信息。
HeaderWriterFilter
它对请求的 Header 添加相应的信息。
CsrfFilter
跨域请求伪造过滤器。通过客户端传过来的
token
与服务器端存储的
token
进行对比,来判断请求的合法性。
LogoutFilter
匹配登出 URL。匹配成功后,退出用户,并清除认证信息。
UsernamePasswordAuthenticationFilter
登录认证过滤器,默认是对
/login
的 POST 请求进行认证。该方法会调用
attemptAuthentication
,尝试获取一个 Authentication 认证对象,以保存认证信息,然后转向下一个 Filter,最后调用
successfulAuthentication
执行认证后的事件。
AnonymousAuthenticationFilter
如果 SecurityContextHolder 中的认证信息为空,则会创建一个匿名用户到 SecurityContextHolder 中。
SessionManagementFilter
持久化登录的用户信息。用户信息会被保存到 Session、Cookie 或 Redis 中。
版权归原作者 G皮T 所有, 如有侵权,请联系我们删除。