springSecurity总结

springSecurity总结：

一、Spring security框架简介

  1、简介
           一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架（简单说是对访问权限进行控制嘛），应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。用户认证指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个文件来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。   spring security的主要核心功能为 认证和授权，所有的架构也是基于这两个核心功能去实现的。

     2、框架原理
         众所周知 想要对对Web资源进行保护，最好的办法莫过于Filter，要想对方法调用进行保护，最好的办法莫过于AOP。所以springSecurity在我们进行用户认证以及授予权限的时候，通过各种各样的拦截器来控制权限的访问，从而实现安全。

    如下为其主要过滤器  ：

WebAsyncManagerIntegrationFilter :  将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

SecurityContextPersistenceFilter

HeaderWriterFilter

CorsFilter 
        LogoutFilter
        RequestCacheAwareFilter
        SecurityContextHolderAwareRequestFilter
        AnonymousAuthenticationFilter
        SessionManagementFilter
        ExceptionTranslationFilter
        FilterSecurityInterceptor
        UsernamePasswordAuthenticationFilter
        BasicAuthenticationFilter

     3、框架的核心组件：

SecurityContextHolder：提供对SecurityContext的访问
      SecurityContext,：持有Authentication对象和其他可能需要的信息
      AuthenticationManager 其中可以包含多个AuthenticationProvider
      ProviderManager对象为AuthenticationManager接口的实现类
      AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
      Authentication：Spring Security方式的认证主体
      GrantedAuthority：对认证主题的应用层面的授权，含当前用户的权限信息，通常使用角色表示
     UserDetails：构建Authentication对象必须的信息，可以自定义，可能需要访问DB得到
      UserDetailsService：通过username构建UserDetails对象，通过loadUserByUsername根据userName获取UserDetail对象 （可以在这里基于自身业务进行自定义的实现  如通过数据库，xml,缓存获取等）

4、springSecurity工作原理：

这篇博客已经讲得非常细了： https://blog.csdn.net/u012702547/article/details/89629415

源码分析认证流程：https://blog.csdn.net/lizc_lizc/article/details/84061657

二、动手实现

1、实现之前我们先了解一下springSecurity 的几个相关注解：

@Configuration和@Bean

@Configuration写在类上，说明这是一个配置文件，然后用@Bean来声明方法。方法一般返回的都是类的实例。意思是相当于xml文件中声明的bean。

@EnableGlobalMethodSecurity

Spring Security默认是禁用注解的，要想开启注解，需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解

@EnableGlobalMethodSecurity(securedEnabled=true) 开启@Secured 注解过滤权限@EnableGlobalMethodSecurity(jsr250Enabled=true)开启@RolesAllowed 注解过滤权限 @EnableGlobalMethodSecurity(prePostEnabled=true) 使用表达式时间方法级别的安全性         4个注解可用：
@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问
@PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常
@PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
@PreFilter 允许方法调用,但必须在进入方法之前过滤输入值

2：认证相关的类和接口：

UserDetailsService（接口）：

接口里的唯一一个方法，接收String类型的用户名参数，通过当前登录进来的用户查询用户信息，返回UserDetails（接口）

UserDetails（接口）

Spring Security的核心接口，它代表一个主体，是扩展的，也是Security认证需要提供的类, 通常UserDetails转换成你系统提供的类

SecurityContextHolder

我们通过下面这种方法来获取当前用户信息:

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
  String username = ((UserDetails)principal).getUsername();
} else {
  String username = principal.toString();
}

Authentication

Authentication是一个接口，用来表示用户认证信息的，在用户登录认证之前相关信息会封装为一个Authentication具体实现类的对象，在登录认证成功之后又会生成一个信息更全面，包含用户权限等信息的Authentication对象，然后把它保存在SecurityContextHolder所持有的SecurityContext中，供后续的程序进行调用，如访问权限的鉴定等。

PasswordEncoder(接口)springSecurity提供的密码加密、密码匹配（比对）接口，BCryptPasswordEncoder实现此接口，因此可以直接调用BCryptPasswordEncoder 的encode方法加密，当然也可以使用springSecurity提供的Md5PasswordEncoder md5PasswordEncoder = new Md5PasswordEncoder(); 类进行加密

添加记住我功能原理：

OAuth协议简介：1：密码模式：

2：code模式

比较：code模式用户授权是在服务提供商授权，而其他模式则是在第三方应用。