Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证.
不得不说, Spring Security 是一个非常庞大的框架, 非常值得花时间好好学习.
===================================
参考文档
===================================
Spring Security 4 官方文档翻译
Spring Security 架构概述
Spring Security JWT Authentication architecture
===================================
核心类
===================================
--------------------------------------
SecurityContextHolder
--------------------------------------
为了方便我们访问 SecurityContext 对象, Spring Security 提供了 SecurityContextHolder 类, 通过 SecurityContextHolder.getContext() 即可获取 SecurityContext 对象. SecurityContextHolder 采用 ThreadLocal 方式存储 SecurityContext 对象, 这样就能保证我们调用 SecurityContextHolder.getContext() 得到的永远是当前用户的 SecurityContext.
--------------------------------------
SecurityContext
--------------------------------------
SecurityContext 是 Spring Security 的核心, 保存着当前用户是谁, 该用户是否被认证, 具有哪些角色.
获取 SecurityContext 对象是代码为:
SecurityContext context= SecurityContextHolder.getContext();
--------------------------------------
Authentication
--------------------------------------
Authentication 接口是 SecurityContext 中的核心, 包含着 sessionId/IP 、用户 UserDetails 信息、用户的角色等等, 它有很多实现类(主要是 AbstractAuthenticationToken 的子类), 每种类都对应着一个认证方式.
获取 Authentication 对象是代码为:
Authentication auth=SecurityContextHolder.getContext().getAuthentication();
Authentication 类成员有:
Collection<? extends GrantedAuthority> getAuthorities() 用来获取操作权限清单
Object getCredentials() 用来获取密码信息. 为了防止密码泄漏, 在认证通过后, 密码通常会被移除.
Object getPrincipal() 获取用户身份信息, 大部分返回的是 UserDetails 接口类型.
boolean isAuthenticated() 判断是否已经通过验证.
Object getDetails() 细节信息, 比如, 对于web应用, 返回类型通常是 WebAuthenticationDetails 接口类型, 包含 IP 和 sessionId.
--------------------------------------
AbstractAuthenticationToken 的子类
--------------------------------------
AnonymousAuthenticationToken 和 AbstractAuthenticationToken 的很多子类(类名都已Token) 都实现了 Authentication 接口, 每一个子类都代表着一个具体的认证方式, 主要的子类有:
UsernamePasswordAuthenticationToken
RunAsUserToken
RememberMeAuthenticationToken
JwtAuthenticationToken
OAuth2LoginAuthenticationToken
CasAuthenticationToken
--------------------------------------
GenericFilterBean Filter 类
--------------------------------------
用来拦截认证的 filter, 可以在这个filter上注册认证成功的handler, 认证失败的handler.
子类有 OncePerRequestFilter, CasAuthenticationFilter, OpenIDAuthenticationFilter, UsernamePasswordAuthenticationFilter, LogoutFilter 等等.
一般情况下, 我们不需要为 http 请求增加新的filter, 直接基于已有的 filter 做一些定制化既能满足绝大多数需求(比如定制化 Handler). 增加 filter 的方式是, 在 Security Config 类的 configure(HttpSecurity http) 方法加入, 如下代码:
@override
protected void configure(HttpSecurity http) throws Exception {
http.addFilterBefore(myAuthFilter(), UsernamePasswordAuthenticationFilter.class)
}
--------------------------------------
AuthenticationManager 和 AuthenticationProvider
--------------------------------------
用户访问网页, Spring Security 将通过 SecurityFilter 来调用 AuthenticationManager 进行验证, 缺省情况下, AuthenticationManager 将验证工作交给 ProviderManager 去做, 而 ProviderManager 会通过一系列 AuthenticationProvider 完成具体的验证.
调用链是:
AuthenticationManager --委托--> ProviderManager --委托--> 几个 AuthenticationProvider ----> 调用 AbstractAuthenticationToken.Authenticate()
AuthenticationProvider 和 AbstractAuthenticationToken 子类是一一对应的, 每种 AuthenticationProvider 都需要 一个 AbstractAuthenticationToken 来支持, AuthenticationProvider 接口是对 AbstractAuthenticationToken 类的一个二次封装, 保留了 AbstractAuthenticationToken.Authenticate() 方法, 另外增加了一个检测函数用来反映是否支持传入的认证token.
和 AbstractAuthenticationToken 一样, AuthenticationProvider 也有很多很多实现类, 比如:
DaoAuthenticationProvider
RunAsImplAuthenticationProvider
LdapAuthenticationProvider
ActiveDirectoryLdapAuthenticationProvider
CasAuthenticationProvider
ProviderManager 可以设置1个或0个 Parent Provider, 当所有成员 Provider 都不支持当前 Authentication 请求对象, 由 Parent Provider 提供缺省验证.
Authentication authenticate() 函数的执行过程是:
ProviderManager 会依次让成员 AuthenticationProvider 去验证, 如果第一个 AuthenticationProvider 不支持这个 Authentication 具体对象, 将使用第二个 AuthenticationProvider 验证, 如果全部的 AuthenticationProvider 都不支持, 再看是否设置了 Parent Provider, 如果 Parent Provider 的验证方法返回了 null, 最终会抛出 AuthenticationException 异常.
向 ProviderManager 注册一个 AuthenticationProvider 的方式是, 在 SecurityConfig 配置类的 configure(AuthenticationManagerBuilder auth) 函数中, 使用 AuthenticationManagerBuilder 对象的 authenticationProvider() 方法注册.
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
CustomAuthenticationProvider customAuthProvider; @Override
public void configure(AuthenticationManagerBuilder auth)
throws Exception { //注册一个自定义的 AuthenticationProvider
auth.authenticationProvider(customAuthProvider); //再注册一个基于内存的 AuthenticationProvider
auth.inMemoryAuthentication()
.withUser("memuser")
.password(encoder().encode("pass"))
.roles("USER");
}
--------------------------------------
UserDetails 和 UserDetailsService
--------------------------------------
UserDetails 包含着 Authentication 需要的用户信息(用户名/密码/操作权限), 这些信息往往是从 Jdbc 或其他数据源获取到的.
UserDetailsService 是用来获取指定username 对应的 UserDetails 的接口.
--------------------------------------
常用 Java 代码
--------------------------------------
在 controller 接口函数中, 获取用户身份信息
1. 使用 @AuthenticationPrincipal 注解参数的方式:
@RequestMapping("/foo")
public String foo(@AuthenticationPrincipal User user) {
... // do stuff with user
}
2. 使用 HttpServletRequest 中 Principal 对象的方式:
注意这时的 Principal 对应的是 Spring Security 的 Authentication 对象.
@RequestMapping("/foo")
public String foo(Principal principal) {
Authentication authentication = (Authentication) principal;
User = (User) authentication.getPrincipal();
... // do stuff with user
}
3. 注销的写法
@RequestMapping(value="/logout", method = RequestMethod.GET)
public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null){
new SecurityContextLogoutHandler().logout(request, response, auth);
}
return "redirect:/login?logout";
}
4. 使用 SecurityContextHolder 获取 Authentication 对象
SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
5. 获取 principal 的通用方法
private String getPrincipal(){
String userName = null;
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
userName = ((UserDetails)principal).getUsername();
} else {
userName = principal.toString();
}
return userName;
}
===================================
认证过程中的 Handler
===================================
一: AuthenticationSuccessHandler 接口, 用来设置验证成功后的处理动作, 有下面几个实现类, 分别是:
ForwardAuthenticationSuccessHandler, SimpleUrlAuthenticationSuccessHandler, SavedRequestAwareAuthenticationSuccessHandler
二: LogoutHandler 接口,设置 logout 过程中必须处理动作, logout后的重定向建议使用 LogoutSuccessHandler, 有下面几个实现类:
AbstractRememberMeServices, CompositeLogoutHandler, CookieClearingLogoutHandler, CsrfLogoutHandler, PersistentTokenBasedRememberMeServices, SecurityContextLogoutHandler, TokenBasedRememberMeServices
三: LogoutSuccessHandler 接口, 设置 logout完成后需要处理动作, LogoutSuccessHandler 是在 LogoutHandler 之后被执行, LogoutHandler 完成必要的动作(该过程不应该抛异常), LogoutSuccessHandler 定位是处理后续更多的步骤, 比如重定向等, 它有下面几个实现类:
DelegatingLogoutSuccessHandler, HttpStatusReturningLogoutSuccessHandler, SimpleUrlLogoutSuccessHandler
四: AuthenticationFailureHandler 接口, 用来设置用户验证失败后的处理动作, 有下面几个实现类, 分别是:
1. SimpleUrlAuthenticationFailureHandler, Spring Security 缺省使用该Handler, 处理的机制是: 如果指定了 failureUrl 则跳转到该url, 如果未指定, 则返回 401 错误代码
2. ForwardAuthenticationFailureHandler, 不管是报哪种 AuthenticationException 类型, 总是重定向到指定的 url.
3. DelegatingAuthenticationFailureHandler, 这是一个代理类, 可以根据不同的AuthenticationException 类型, 设置不同的 AuthenticationFailureHandlers
4. ExceptionMappingAuthenticationFailureHandler, 可以根据不同的AuthenticationException 类型,设置不同的跳转 url.
五: AccessDeniedHandler 接口, 用来设置访问拒绝后的处理动作, 有下面几个实现类, 分别是:
AccessDeniedHandlerImpl, DelegatingAccessDeniedHandler, InvalidSessionAccessDeniedHandler
参考 http://www.mkyong.com/spring-security/customize-http-403-access-denied-page-in-spring-security/
===================================
Granted Authority 和 Role 的概念
===================================
在Spring security 中, 有 Granted Authority 和 role 两个概念. 我们既可以使用 Granted Authority 控制权限, 也可以通过 role 控制权限.
Role 是 coarse-grained 的权限管控机制, 比较典型的角色有 ROLE_ADMIN/ROLE_USER 等.
Granted Authority 是 fine-grained 的权限管控机制, 比较典型的权限有: OP_DELETE_ACCOUNT/OP_CREATE_USER/OP_RUN_BATCH_JOB 等.
从另一个角度看, Role 应该是面向业务的, 而 Granted Authority 应该是面向实现的.
需要注意的是, 在Spring security 中, 如果在 hasRole 等函数中使用到 role 名称, 不能加上 ROLE_ 前缀, spring security 会自动强制加上该前缀. 而对于 hasAuthority 等函数, spring security 并不会为权限名加任何前缀.
在一般的项目中, 我认为没有必要区分 role 和 Granted Authority, 可以将它们认为等同起来, 统一认为它们都是角色, 以减少概念的混淆.
@PreAuthorize("hasAuthority('OP_DELETE_ACCOUNT')")
@PreAuthorize("hasRole('ADMIN')")
https://*.com/questions/19525380/difference-between-role-and-grantedauthority-in-spring-security
https://www.baeldung.com/spring-security-granted-authority-vs-role
===================================
SpringBoot 集成 spring security
===================================
项目需加上 security starter 包,
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
SpringBoot 使用 SecurityAutoConfiguration 导入 DefaultConfigurerAdapter 配置类, 该配置类完成了缺省的用户认证/和鉴权工作, 这包括:
1. 自动配置一个内存用户, 账号为 user, 密码在程序启动后动态生成并打印出来.
2. 忽略 /css/**, /js/**, /images/**, **/favicon.ico 静态文件的拦截
3. 向 servletContext 注册 securityFilterChain
另外, 在application.properties 文件中, 可以设置相关的配置项
ecurity.user.name=user #默认用户的账号名
security.user.password= #默认用户的密码, 不设定的话就动态生成
security.user.role=USER #默认的用户的角色
security.enable-csrf=false #是否开启"跨站请求伪造", 默认关闭
security.ignored= #用逗号隔开的无需拦截的路径
SpringBoot 已经为我们做了很多与Spring Security的集成工作, 在实际项目中, DefaultConfigurerAdapter 肯定是不够的, 需要我们做的是, 像 DefaultConfigurerAdapter 一样开发一个配置类(比如名为 WebSecurityConfig), 该类也继承自 WebSecurityConfigurerAdapter 即可, 并分别实现两个configure 方法, 分别完成用户级的认证和http请求级的验证.
下面就是一个空的 WebSecurityConfigurerAdapter 框架.
@Configuration
// @EnableWebSecurity //@EnableWebSecurity 可以省略
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
@Override
//设置用户级的认证机制
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
} @Override
//设置http请求级的验证
protected void configure(HttpSecurity http) throws Exception {
}
}
===================================
Authentication 用户认证
===================================
用户认证的方法签名如下:
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
}
------------------------
1.1 内存用户验证
------------------------
@Configuration
// @EnableWebSecurity //@EnableWebSecurity 可以省略
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//链式写法
auth.inMemoryAuthentication()
.withUser("user1").password("password1").roles("ADMIN")
.and()
.withUser("user2").password("password2").roles("USER"); //常规写法
auth.inMemoryAuthentication()
.withUser("user3").password("password3").roles("ADMIN");
auth.inMemoryAuthentication()
.withUser("user4").password("password4").roles("USER");
} @SuppressWarnings("deprecation")
@Bean
public NoOpPasswordEncoder passwordEncoder() {
return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
} // @Bean
// public BCryptPasswordEncoder passwordEncoder() {
// return new BCryptPasswordEncoder();
// }
} //end of class
auth.inMemoryAuthentication()用来创建一个基于内存的用户清单(包括账号名/密码/角色), 两个用户之间使用 .add() 链式方法连接.
需要注意的是:
1. spring security 角色名称会自动在角色名前加上 ROLE_ 前缀, 所以代码中的角色名不能以 ROLE_ 开头.
2. 推荐的角色名全部为大写字母.
3. 内存用户清单必须再提供一个 PasswordEncoder bean, 程序将使用该bean 进行密码验证, 这里使用了 NoOpPasswordEncoder, 还有 Md5PasswordEncoder, 在生产环境推荐使用 BCryptPasswordEncoder.
使用BCryptPasswordEncoder后, 如果代码中是明文密码, 需要先做一下encode, 因为 Spring security 将使用encoding 后的密码进行验证. auth.inMemoryAuthentication().withUser("user1").password(passwordEncoder().encode("user1Pass")).roles("USER")
------------------------
1.2 JDBC用户验证
------------------------
@Configuration
// @EnableWebSecurity //@EnableWebSecurity 可以省略
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
DataSource dataSource; @Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
String userQuery = "select username, password, enable from "
+ "( select 'user1' username, 'password1' password, true enable ) t " + "where username=?"; String roleQuery = "select username, rolename authority from"
+ "(select 'user1' username,'ADMIN' rolename ) t" + " where username=?";
auth.jdbcAuthentication().dataSource(dataSource).usersByUsernameQuery(userQuery)
.authoritiesByUsernameQuery(roleQuery);
} @SuppressWarnings("deprecation")
@Bean
public NoOpPasswordEncoder passwordEncoder() {
return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
}
} //end of class
auth.jdbcAuthentication()用来创建一个基于JDBC数据库用户验证, 需要提供两个查询, 一个是账号/密码查询(使用 usersByUsernameQuery 方法), 另一个是角色查询(使用 authoritiesByUsernameQuery 方法).
------------------------
1.3 通用用户验证
------------------------
实际项目中基本上是采用通用用户验证, 这种方式需要定义一个能完成用户检索的类, 该类需实现 UserDetailsService 接口, 只要实现一个 loadUserByUsername() 方法即可, 该方法的返回类型是 UserDetails 接口, 我们没有必要再定义一个专门的类去实现 UserDetails 接口, Spring Securtiy 已经提供了一个这样的类, 类名全称为 org.springframework.security.core.userdetails.User.
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// 使用自定义的 UserDetailsService 接口认证
auth.userDetailsService(new MyUserDetailsService());
}
@SuppressWarnings("deprecation")
@Bean
public NoOpPasswordEncoder passwordEncoder() {
return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
}
} //end of class
class MyUserDetailsService implements UserDetailsService {
private Map<String, User> userRepository = new HashMap<String, User>();
//模拟真实的用户清单
public MyUserDetailsService() {
List<SimpleGrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority("Admin"));
authorities.add(new SimpleGrantedAuthority("User"));
User user1 = new User("user1", "password1", authorities);
userRepository.put("user1", user1);
}
// 需要实现的方法
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.get(username);
return user;
}
}
===================================
理解http 请求级验证代码中的链式调用
===================================
// @formatter:off
protected void configure(HttpSecurity http) throws Exception {
/*
* HttpSecurity对象支持来复合链式调用写法.
* 比如 http.authorizeRequests() 可以加任意多二级 antMatchers()链式调用, 每一个 antMatchers() 以授权函数结尾,
* 二级 antMatchers() 之间无需 and() 连接.
* 和 authorizeRequests() 同层次的还有 httpBasic()/sessionManagement()等, 多个一级函数的链式调用需使用 and() 连接.
* */ //一级函数
//http.authorizeRequests(); //url 模式赋权
//http.formLogin(); //登陆 form
//http.httpBasic(); //Basic Authentication 设置
//http.sessionManagement(); //session 管理
//http.cors(); //cors 跨源资源共享
//http.csrf() //Cross Site Request Forgery 跨站域请求伪造 //关于路径的配置,
//应该是先配置具体的路径, 然后再配置宽泛的路径
//antMatchers() http
.authorizeRequests()
// 对于/api 路径下的访问需要有 ROLE_ADMIN 的权限
.antMatchers("/api/**").hasRole("ADMIN")
// 对于/api2 路径下的访问需要有 ROLE_ADMIN或ROLE_DBA或ROLE_USER 的权限
.antMatchers("/api2/**").access("hasRole('USER') or hasRole('ADMIN') or hasRole('DBA')")
// 对于/guest 路径开放访问
.antMatchers("/guest/**").permitAll()
// 其他url路径之需要登陆即可.
.anyRequest().authenticated()
.and()
//启用 basic authentication
.httpBasic().realmName(REALM).authenticationEntryPoint(getBasicAuthenticationEntryPoint())
.and()
//不创建 session
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
// @formatter:on