安全归根节点需要解决两个问题:
- 鉴权(authentication)--我是谁?
- 授权(authorization)--允许我做什么?
后者有些时候也被人们叫做“访问控制”(access control)。spring security 是一个将鉴权和授权分开的安全框架。包含策略,同时提供对两者的扩展能力。
Authencation Architecture
下图描绘了spring security在鉴权处理流程中涉及到的类和过滤器。
- 外部的http请求访问内部受保护的Resful API之前,需要经过一系列的安全过滤器。这些被spring security设定的过滤器,用于鉴权和授权的目的。当用户的鉴权请求从外部进入时,将经过这条过滤器链,基于鉴权机制和模型,找到相应的Authentication Filter。比如说:
- HTTP Basic authentication request 经过“过滤链”,直到它到达BasicAuthenticationFilter 过滤器进行处理。
- HTTP Digest authentication request 经过“过滤链”,直到它到达DigestAuthenticationFilter 过滤器进行处理。
- login form authentication request 经过“过滤链”,直到它到达UsernamePasswordAuthenticationFilter过滤器进行处理。
- x509 authentication request 经过“过滤链”,直到它到达X509AuthenticationFilter 过滤器进行处理。
- 一旦鉴权请求被相应的Authentication Filter接收,该过滤器将会从接收的请求中提取出用户名和密码,基于这些用户信息,创建一个 UsernamePasswordAuthenticationToken 对象,注意,该类实现了 Authentication 接口。
- UsernamePasswordAuthenticationToken 对象创建成功后,被用来作为 AuthenticationManager 中 authenticate() 方法的入参。 AuthenticationManager 仅仅是一个接口:
public interface AuthenticationManager{ Authentication authenticate(Authentication authentication)throws AuthenticationException; }
实际实现类是 ProviderManager 。该实现类包含了一系列配置的 AuthenticationProvider (s), 这些provider受ProvideManager委托,用于用户请求的鉴权。
-
具体到实现细节, ProviderManager 会遍历每个AuthenticationProvider,根据传入的Authentication对象(例如: UsernamePasswordAuthenticationToken )尝试鉴权用户。AuthenticationProvider 接口如下所示:
public interface AuthenticationProvider { Authentication authenticate(Authentication authentication) throws AuthenticationException; boolean supports(Class<?> authentication); }
这里是一些Spring security框架提供的AuthenticationProvider:
- CasAuthenticationProvider
- JaasAuthenticationProvider
- DaoAuthenticationProvider
- OpenIDAuthenticationProvider
- RememberMeAuthenticationProvider
- LdapAuthenticationProvider
- 有些AuthenticationProvider可能会使用 UserDetailsService ,用于获取用户的详细信息。比如说 DaoAuthenticationProvider 可能需要根据传入的用户名从数据库中获取该用户的详细信息。
public interface UserDetailsService{ UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; }
-
UserDetailsService 返回 UserDetails 。而 User 是 UserDetails 的具体实现类,当然用户也可以自行实现 UserDetails 接口。
- 同6
-
如果用户鉴权成功,则返回Authentication对象,相比于传入的未鉴权的对象,这个鉴权后的的对象更“丰满”,包含了用户的角色信息
从上图可以看出,鉴权成功的Authentication对象(Fully populated Authentication Object)包含:
authenticated- true
grant authorities list :关联的角色(角色和权限挂钩)
user credentials:用户凭证(仅仅包含用户名)
如果鉴权未通过,则抛出异常 AuthenticationException 。该异常属于运行时异常,不期望用户通过try/catch去处理,spring security提供了一种通用的方式。即通过AuthenticationEntryPoint 处理:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.exceptionHandling()
.authenticationEntryPoint(unauthorizedHandler);
}
9. Authentication is done! 鉴权成功后,AuthenticationManager返回包含完整信息的鉴权对象给相关的Authentication Filter。
10. 将返回的鉴权对象保存到SecurityContext,用于后续过滤器的使用。比如Authorization Filters
SecurityContextHolder.getContext().setAuthentication(authentication);
Reference
https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/