Spring Security是什么

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean(注:包括认证与权限获取、配置、处理相关实例),充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)(注:代理增强类)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

核心类库与认证流程

核心验证器

AuthenticationManager

该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数;

public interface AuthenticationManager {

	Authentication authenticate(Authentication authentication)

			throws AuthenticationException;

}

验证逻辑

AuthenticationManager 接收 Authentication 对象作为参数,并通过 authenticate(Authentication) 方法对其进行验证;AuthenticationProvider实现类用来支撑对 Authentication 对象的验证动作;UsernamePasswordAuthenticationToken实现了 Authentication主要是将用户输入的用户名和密码进行封装,并供给 AuthenticationManager 进行验证;验证完成以后将返回一个认证成功的 Authentication 对象;

ProviderManager

它是 AuthenticationManager 的一个实现类,提供了基本的认证逻辑和方法;它包含了一个 List<AuthenticationProvider> 对象,通过 AuthenticationProvider 接口来扩展出不同的认证提供者(当Spring Security默认提供的实现类不能满足需求的时候可以扩展AuthenticationProvider 覆盖supports(Class<?> authentication) 方法);

实现逻辑

public Authentication authenticate(Authentication authentication)

			throws AuthenticationException {

		//#1.获取当前的Authentication的认证类型

		Class<? extends Authentication> toTest = authentication.getClass();

		AuthenticationException lastException = null;

		Authentication result = null;

		boolean debug = logger.isDebugEnabled();

		//#2.遍历所有的providers使用supports方法判断该provider是否支持当前的认证类型,不支持的话继续遍历

		for (AuthenticationProvider provider : getProviders()) {

			if (!provider.supports(toTest)) {

				continue;

			}

			if (debug) {

				logger.debug("Authentication attempt using "

						+ provider.getClass().getName());

			}

			try {

				#3.支持的话调用provider的authenticat方法认证

				result = provider.authenticate(authentication);

				if (result != null) {

					#4.认证通过的话重新生成Authentication对应的Token

					copyDetails(authentication, result);

					break;

				}

			}

			catch (AccountStatusException e) {

				prepareException(e, authentication);

				// SEC-546: Avoid polling additional providers if auth failure is due to

				// invalid account status

				throw e;

			}

			catch (InternalAuthenticationServiceException e) {

				prepareException(e, authentication);

				throw e;

			}

			catch (AuthenticationException e) {

				lastException = e;

			}

		}

		if (result == null && parent != null) {

			// Allow the parent to try.

			try {

				#5.如果#1 没有验证通过,则使用父类型AuthenticationManager进行验证

				result = parent.authenticate(authentication);

			}

			catch (ProviderNotFoundException e) {

				// ignore as we will throw below if no other exception occurred prior to

				// calling parent and the parent

				// may throw ProviderNotFound even though a provider in the child already

				// handled the request

			}

			catch (AuthenticationException e) {

				lastException = e;

			}

		}

		#6. 是否擦除敏感信息

		if (result != null) {

			if (eraseCredentialsAfterAuthentication

					&& (result instanceof CredentialsContainer)) {

				// Authentication is complete. Remove credentials and other secret data

				// from authentication

				((CredentialsContainer) result).eraseCredentials();

			}

			eventPublisher.publishAuthenticationSuccess(result);

			return result;

		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {

			lastException = new ProviderNotFoundException(messages.getMessage(

					"ProviderManager.providerNotFound",

					new Object[] { toTest.getName() },

					"No AuthenticationProvider found for {0}"));

		}

		prepareException(lastException, authentication);

		throw lastException;

	}
说明:
  1. 遍历所有的 Providers,然后依次执行该 Provider 的验证方法

    • 如果某一个 Provider 验证成功,则跳出循环不再执行后续的验证;
    • 如果验证成功,会将返回的 result 既 Authentication 对象进一步封装为 Authentication Token; 比如 UsernamePasswordAuthenticationToken、RememberMeAuthenticationToken 等;这些 Authentication Token 也都继承自 Authentication 对象;
  2. 如果 #1 没有任何一个 Provider 验证成功,则试图使用其 parent Authentication Manager 进行验证;
  3. 是否需要擦除密码等敏感信息;

Authentication

Authentication对象中的主要方法

public interface Authentication extends Principal, Serializable {

	//#1.权限集合,可使用AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_ADMIN")返回字符串权限集合

	Collection<? extends GrantedAuthority> getAuthorities();

	//#2.用户名密码认证时可以理解为密码

	Object getCredentials();

	//#3.认证时包含的一些信息。

	Object getDetails();

	//#4.用户名密码认证时可理解时用户名

	Object getPrincipal();

	#5.是否被认证,认证为true

	boolean isAuthenticated();

	#6.设置是否能被认证

	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

AuthenticationProvider

ProviderManager 通过 AuthenticationProvider 扩展出更多的验证提供的方式;而 AuthenticationProvider 本身也就是一个接口,从类图中我们可以看出它的实现类AbstractUserDetailsAuthenticationProvider AbstractUserDetailsAuthenticationProvider的子类DaoAuthenticationProvider DaoAuthenticationProvider Spring Security中一个核心的Provider,对所有的数据库提供了基本方法和入口。

AbstractUserDetailsAuthenticationProvider

AbstractUserDetailsAuthenticationProviderDaoAuthenticationProvider提供了基本的认证方法;

实现逻辑

public Authentication authenticate(Authentication authentication)

			throws AuthenticationException {

		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,

				messages.getMessage(

						"AbstractUserDetailsAuthenticationProvider.onlySupports",

						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username

		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"

				: authentication.getName();

		boolean cacheWasUsed = true;

		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {

			cacheWasUsed = false;

			try {

				#1.获取用户信息由子类实现即DaoAuthenticationProvider

				user = retrieveUser(username,

						(UsernamePasswordAuthenticationToken) authentication);

			}

			catch (UsernameNotFoundException notFound) {

				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {

					throw new BadCredentialsException(messages.getMessage(

							"AbstractUserDetailsAuthenticationProvider.badCredentials",

							"Bad credentials"));

				}

				else {

					throw notFound;

				}

			}

			Assert.notNull(user,

					"retrieveUser returned null - a violation of the interface contract");

		}

		try {

			#2.前检查由DefaultPreAuthenticationChecks类实现(主要判断当前用户是否锁定,过期,冻结User接口)

			preAuthenticationChecks.check(user);

			#3.子类实现

			additionalAuthenticationChecks(user,

					(UsernamePasswordAuthenticationToken) authentication);

		}

		catch (AuthenticationException exception) {

			if (cacheWasUsed) {

				// There was a problem, so try again after checking

				// we're using latest data (i.e. not from the cache)

				cacheWasUsed = false;

				user = retrieveUser(username,

						(UsernamePasswordAuthenticationToken) authentication);

				preAuthenticationChecks.check(user);

				additionalAuthenticationChecks(user,

						(UsernamePasswordAuthenticationToken) authentication);

			}

			else {

				throw exception;

			}

		}

		#4.检测用户密码是否过期对应#2 的User接口

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {

			this.userCache.putUserInCache(user);

		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {

			principalToReturn = user.getUsername();

		}

		return createSuccessAuthentication(principalToReturn, authentication, user);

	}

说明:

AbstractUserDetailsAuthenticationProvider主要实现了AuthenticationProvider的接口方法authenticate 并提供了相关的验证逻辑;

  1. 获取用户返回UserDetailsAbstractUserDetailsAuthenticationProvider定义了一个抽象的方法

    protected abstract UserDetails retrieveUser(String username,
    
  UsernamePasswordAuthenticationToken authentication)
    
  throws AuthenticationException;
  2. 三步验证工作
    1. preAuthenticationChecks
    2. additionalAuthenticationChecks(抽象方法,子类实现)
    3. postAuthenticationChecks

    3.将已通过验证的用户信息封装成 UsernamePasswordAuthenticationToken 对象并返回;该对象封装了用户的身份信息,以及相应的权限信息,相关源码如下:

    protected Authentication createSuccessAuthentication(Object principal,
     Authentication authentication, UserDetails user) {
     UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken( principal, authentication.getCredentials(), authoritiesMapper.mapAuthorities(user.getAuthorities()));
     result.setDetails(authentication.getDetails()); 

     return result; }

DaoAuthenticationProvider

DaoAuthenticationProvider主要做了以下事情

  1. 对用户身份进行加密操作;

     #1.可直接返回BCryptPasswordEncoder,也可以自己实现该接口使用自己的加密算法
    核心方法
    String encode(CharSequence rawPassword);

    boolean matches(CharSequence rawPassword, String encodedPassword);
    
private PasswordEncoder passwordEncoder;
  2. 实现了 AbstractUserDetailsAuthenticationProvider 两个抽象方法,
    1. 获取用户信息的扩展点

      protected final UserDetails retrieveUser(String username,
      
     UsernamePasswordAuthenticationToken authentication)
      
     throws AuthenticationException {
      
 UserDetails loadedUser;

 try {
      
     loadedUser = this.getUserDetailsService().loadUserByUsername(username);
      
 }

      主要是通过注入UserDetailsService接口对象,并调用其接口方法 loadUserByUsername(String username) 获取得到相关的用户信息。UserDetailsService接口非常重要。

    2. 实现 additionalAuthenticationChecks 的验证方法(主要验证密码);

UserDetailsService

UserDetailsService是一个接口,提供了一个方法

public interface UserDetailsService {

 UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

通过用户名 username 调用方法 loadUserByUsername 返回了一个UserDetails接口对象(对应AbstractUserDetailsAuthenticationProvider的三步验证方法);

UserDetails

public interface UserDetails extends Serializable {

 #1.权限集合

 Collection<? extends GrantedAuthority> getAuthorities();

 #2.密码

 String getPassword();

 #3.用户民

 String getUsername();

 #4.用户是否过期

 boolean isAccountNonExpired();

 #5.是否锁定

 boolean isAccountNonLocked();

 #6.用户密码是否过期

 boolean isCredentialsNonExpired();

 #7.账号是否可用(可理解为是否删除)

 boolean isEnabled();

}

JdbcDaoImpl

Spring 为UserDetailsService默认提供了一个实现类 org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl

JdbcDaoImpl的子类(实现了UserDetailsManager):

JdbcUserDetailsManager

该实现类主要是提供基于JDBC对 User 进行增、删、查、改的方法

public class JdbcUserDetailsManager extends JdbcDaoImpl implements UserDetailsManager,

		GroupManager {

	// ~ Static fields/initializers

	// =====================================================================================

	// UserDetailsManager SQL

	#1.定义了一些列对数据库操作的语句

	public static final String DEF_CREATE_USER_SQL = "insert into users (username, password, enabled) values (?,?,?)";

	public static final String DEF_DELETE_USER_SQL = "delete from users where username = ?";

	public static final String DEF_UPDATE_USER_SQL = "update users set password = ?, enabled = ? where username = ?";

	public static final String DEF_INSERT_AUTHORITY_SQL = "insert into authorities (username, authority) values (?,?)";

	public static final String DEF_DELETE_USER_AUTHORITIES_SQL = "delete from authorities where username = ?";

	public static final String DEF_USER_EXISTS_SQL = "select username from users where username = ?";

	public static final String DEF_CHANGE_PASSWORD_SQL = "update users set password = ? where username = ?";

说明:

UserDetailsService接口作为桥梁,是DaoAuthenticationProvier与特定用户信息来源进行解耦的地方,UserDetailsServiceUserDetailsUserDetailsManager所构成;UserDetailsUserDetailsManager各司其责,一个是对基本用户信息进行封装,一个是对基本用户信息进行管理;

特别注意UserDetailsServiceUserDetails以及UserDetailsManager都是可被用户自定义的扩展点,我们可以继承这些接口提供自己的读取用户来源和管理用户的方法,比如我们可以自己实现一个 与特定 ORM 框架,比如 Mybatis 或者 Hibernate,相关的UserDetailsServiceUserDetailsManager

UserDetailsManager的另一个实现类:

InMemoryUserDetailsManager

该实现类主要是提供基于内存对 User 进行增、删、查、改的方法

public class InMemoryUserDetailsManager implements UserDetailsManager { 
  protected final Log logger = LogFactory.getLog(getClass());
  private final Map<String, MutableUserDetails> users = new HashMap<String, MutableUserDetails>();
  private AuthenticationManager authenticationManager;

  public InMemoryUserDetailsManager() {

  }

  public InMemoryUserDetailsManager(Collection<UserDetails> users) {

	  for (UserDetails user : users) {

		createUser(user);

	  }

  }`

时序图

 

转载编辑自 http://niocoder.com/2018/01/02/Spring-Security%E6%BA%90%E7%A0%81%E5%88%86%E6%9E%90%E4%B8%80-Spring-Security%E8%AE%A4%E8%AF%81%E8%BF%87%E7%A8%8B/

Spring Security项目案例(GitHub地址)

https://github.com/Xiaobai0419/xiaobai

Spring Security原理与应用的更多相关文章

  1. spring security 原理+实战

    疯狂创客圈 Java 高并发[ 亿级流量聊天室实战]实战系列 [博客园总入口 ] 架构师成长+面试必备之 高并发基础书籍 [Netty Zookeeper Redis 高并发实战 ] 前言 Crazy ...

  2. Spring Security原理分析:系列集合

    Spring Security 工作原理概览:https://blog.csdn.net/u012702547/article/details/89629415 spring security执行原理 ...

  3. spring security原理

    spring security通过一系列过滤器实现其功能,入口过滤器如下(web.xml): <filter> <filter-name>springSecurityFilte ...

  4. spring security原理-学习笔记1-整体概览

    整体概述 运行时环境 Spring Security 3.0需要Java 5.0 Runtime Environment或更高版本. 核心组件 SecurityContextHolder,Securi ...

  5. spring security原理-学习笔记2-核心组件

    核心组件 AuthenticationManager,ProviderManager和AuthenticationProvider AuthenticationManager只是一个接口,实际中是如何 ...

  6. Spring Security原理篇(一) 启动原理

    1.概述 spring security有参考的中文翻译文档https://springcloud.cc/spring-security-zhcn.html 在学习spring security的时候 ...

  7. 214. Spring Security:概述

    前言 在之前介绍过了Shiro之后,有好多粉丝问SpringSecurity在Spring Boot中怎么集成.这个系列我们就和大家分享下有关这方面的知识. 本节大纲 一.什么是SpringSecur ...

  8. Spring Security编程模型

    1.采用spring进行权限控制 url权限控制 method权限控制 实现:aop或者拦截器(本质就是之前之后进行控制)--------------------proxy就是 2.权限模型: 本质理 ...

  9. Springboot --- Spring Security (一)

      文章部分图片来自参考资料 问题 : Spring Security 内部实现的原理是什么 概述 Spring Security 是个安全框架,可以提供认证,防止网络功能等功能,可以结合 sprin ...

随机推荐

  1. [8]windows内核情景分析--窗口消息

    消息与钩子 众所周知,Windows系统是消息驱动的,现在我们就来看Windows的消息机制. 早期的Windows的窗口图形机制是在用户空间实现的,后来为了提高图形处理效率,将这部分移入内核空间,在 ...

  2. <2>基本表达式和语句

    1.基本表达式 1: =, +, -, *, /, 赋值,加减剩除; lua 没有 c/c++的缩写表达式 += -= *=, ++, --; 2: () 改变运算的优先级; 3: 字符串对象加法.. ...

  3. CNN那么多的网络有什么区别吗?如何对CNN网络进行修改?

    https://www.zhihu.com/question/53727257/answer/136261195 http://blog.csdn.net/csmqq/article/details/ ...

  4. 转自大神的KM想法

    我第一次理解KM算法看到大神的讲解不胜感激这km挺神奇的接下来就见识一下这个大牛的吧 转自 http://blog.csdn.net/wuxinxiaohuangdou/article/details ...

  5. caffe_ssd学习-用自己的数据做训练

    几乎没用过linux操作系统,不懂shell编程,linux下shell+windows下UltraEdit勉勉强强生成了train.txt和val.txt期间各种错误辛酸不表,照着examples/ ...

  6. python使用SAX解析xml

    python 标准库包含SAX解析器,SAX用事件驱动模型,通过在解析XML的过程中触发一个个的事件并调用用户定义的回调函数来处理XML文件 在python中使用sax方式处理xml要先引入xml.s ...

  7. CentOS7 重启网卡Failed to start LSB: Bring up/down networking.解决方法

    环境:MAC PD虚拟机安装centos7 修改完网卡配置,重启网络服务报错 使用提示命令查看:systemctl status network.service 发现报错为Failed to star ...

  8. Python+OpenCV图像处理(二)——打印图片属性、设置图片存储路径、电脑摄像头的调取和显示

    一. 打印图片属性.设置图片存储路径 代码如下: #打印图片的属性.保存图片位置 import cv2 as cv import numpy as np #numpy是一个开源的Python科学计算库 ...

  9. 怎样从外网访问内网WebSphere?

    本地安装了一个WebSphere,只能在局域网内访问,怎样从外网也能访问到本地的WebSphere呢?本文将介绍具体的实现步骤. 准备工作 安装并启动WebSphere 默认安装的WebSphere端 ...

  10. 安装使用zookeeper

    1,加压 2,复制zoo_sample.cfg命名为zoo.cfg 3,在conf同级目录下新建一文件夹 data 4,修改数据存放目录 5,启动zookeeper