文章目录
- 前言
- 一、SpringSecurity简介
- 二、Shiro和Security的对比
- 2.1 Shiro的特点
- 2.2 Security的特点
- 2.3 二者的相同点
- 三、Security实现权限
- 四、用户认证流程
- 4.1 认证接口分析
前言
Web应用的开发,安全是至关重要的,选择使用SpringSecurity是目前来说较为正确的选择。SpringSecurity框架起源于2003年年底acegi系统,起因是 Spring开发者邮件列表中的一个问题,有人提问是否考虑提供一个基于Spring的安全实现。
基于SpringBoot+MP+Redis+Vue实现的前后端分离的权限管理系统:
https://gitee.com/xwrich/authority
一、SpringSecurity简介
Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是其中的一员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
关于安全方面的两个核心功能是“认证
”和“授权
”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
(1)用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。
(2)用户授权:验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。
二、Shiro和Security的对比
2.1 Shiro的特点
- 轻量级。主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。
- 通用性。不局限于 Web 环境,可以脱离 Web 环境使用。
- 依赖性低。不需要任何框架和容器,可以独立运行
- 配置和使用比较简单
Shiro的三个核心组件:Subject、SecurityManager 和 Realms。
2.2 Security的特点
- 全面的权限控制。
- 专门为 Web 开发而设计。
- Spring Security 依赖Spring容器
- 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。
2.3 二者的相同点
- 认证功能
- 授权功能
- 加密功能
- 会话管理
- 缓存支持
- rememberMe功能
基于以上,一般来说,常见的安全管理技术栈的组合是这样的:
• SSM + Shiro
• Spring Boot/Spring Cloud + Spring Security
三、Security实现权限
若要对Web资源进行保护,最好的办法是使用Filter对方法调用进行保护,当然也可以使用AOP的方式。
Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
一个请求想要访问到API就会从左到右经过蓝线框里的过滤器,其中绿色部分是负责认证的过滤器,蓝色部分是负责异常处理,橙色部分则是负责授权。进过一系列拦截最终访问到我们的API。
这里面我们只需要重点关注两个过滤器即可:UsernamePasswordAuthenticationFilter
负责登录认证,FilterSecurityInterceptor
负责权限授权。
说明:Spring Security的核心逻辑全在这一套过滤器中,过滤器里会调用各种组件完成功能,掌握了这些过滤器和组件就掌握了Spring Security!这个框架的使用方式就是对这些过滤器和组件进行扩展。
四、用户认证流程
当前登录用户在Spring Security中的体现就是 Authentication
,它存储了认证信息,代表当前登录用户。使用时通过 SecurityContext
来获取Authentication
,SecurityContext
就是我们的上下文对象!这个上下文对象则是交由 SecurityContextHolder 进行管理。你可以这样使用:
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
SecurityContextHolder原理非常简单,就是使用ThreadLocal来保证一个线程中传递同一个对象。
Spring Security中三个核心组件:
1、Authentication
:存储了认证信息,代表当前登录用户
2、SeucirtyContext
:上下文对象,用来获取Authentication
3、SecurityContextHolder
:上下文管理对象,用来在程序任何地方获取SecurityContext
Authentication
中的信息包含:
1、Principal
:用户信息,没有认证时一般是用户名,认证后一般是用户对象
2、Credentials
:用户凭证,一般是密码
3、Authorities
:用户权限
Spring Security用户认证关键代码
// 生成一个包含账号密码的认证信息
Authentication authenticationToken = new UsernamePasswordAuthenticationToken(username, passwrod);
// AuthenticationManager校验这个认证信息,返回一个已认证的Authentication
Authentication authentication = authenticationManager.authenticate(authenticationToken);
// 将返回的Authentication存到上下文中
SecurityContextHolder.getContext().setAuthentication(authentication);
4.1 认证接口分析
AuthenticationManager的校验逻辑:
根据用户名先查询出用户对象(没有查到则抛出异常),将用户对象的密码和传递过来的密码进行校验,密码不匹配则抛出异常。
根据用户名查询出用户对象交由UserDetialsService接口处理,该接口只有一个方法loadUserByUsername(String username)
,通过用户名查询用户对象,默认实现是在内存中查询。
查询出来的用户对象需要通过Spring Security中的用户数据UserDetails 实体类来体现,该接口中提供了账号、密码等通用属性。
对密码进行校验使用PasswordEncoder
组件,负责密码加密与校验。
看下AuthenticationManager校验逻辑的大概源码:
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
...省略其他代码
// 传递过来的用户名
String username = authentication.getName();
// 调用UserDetailService的方法,通过用户名查询出用户对象UserDetail(查询不出来UserDetailService则会抛出异常)
UserDetails userDetails = this.getUserDetailsService().loadUserByUsername(username);
String presentedPassword = authentication.getCredentials().toString();
// 传递过来的密码
String password = authentication.getCredentials().toString();
// 使用密码解析器PasswordEncoder传递过来的密码是否和真实的用户密码匹配
if (!passwordEncoder.matches(password, userDetails.getPassword())) {
// 密码错误则抛出异常
throw new BadCredentialsException("错误信息...");
}
// 这里返回的已认证Authentication,是将整个UserDetails放进去充当Principal
UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(userDetails,
authentication.getCredentials(), userDetails.getAuthorities());
return result;
...省略其他代码
}
UserDetialsService、UserDetails、PasswordEncoder,这三个组件Spring Security都有默认实现,但是满足不了我们的实际需求,所以需要我们自己来实现这些组件。