Spring Security 之基本概念

Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证.

不得不说, Spring Security 是一个非常庞大的框架, 非常值得花时间好好学习.

===================================
参考文档
===================================
Spring Security 4 官方文档翻译 
Spring Security 架构概述 
Spring Security JWT Authentication architecture 

 

===================================
核心类
===================================

--------------------------------------
SecurityContextHolder
--------------------------------------
为了方便我们访问 SecurityContext 对象, Spring Security 提供了 SecurityContextHolder 类, 通过 SecurityContextHolder.getContext() 即可获取 SecurityContext 对象. SecurityContextHolder 采用 ThreadLocal 方式存储 SecurityContext 对象, 这样就能保证我们调用 SecurityContextHolder.getContext() 得到的永远是当前用户的 SecurityContext.


--------------------------------------
SecurityContext
--------------------------------------
SecurityContext 是 Spring Security 的核心, 保存着当前用户是谁, 该用户是否被认证, 具有哪些角色.

获取 SecurityContext 对象是代码为:
SecurityContext context= SecurityContextHolder.getContext();

 


--------------------------------------
Authentication
--------------------------------------
Authentication 接口是 SecurityContext 中的核心, 包含着 sessionId/IP 、用户 UserDetails 信息、用户的角色等等, 它有很多实现类(主要是 AbstractAuthenticationToken 的子类), 每种类都对应着一个认证方式.

获取 Authentication 对象是代码为:
Authentication auth=SecurityContextHolder.getContext().getAuthentication();

Authentication 类成员有:
Collection<? extends GrantedAuthority> getAuthorities() 用来获取操作权限清单
Object getCredentials() 用来获取密码信息. 为了防止密码泄漏, 在认证通过后, 密码通常会被移除.
Object getPrincipal() 获取用户身份信息, 大部分返回的是 UserDetails 接口类型.
boolean isAuthenticated() 判断是否已经通过验证.
Object getDetails() 细节信息, 比如, 对于web应用, 返回类型通常是 WebAuthenticationDetails 接口类型, 包含 IP 和 sessionId.

 

--------------------------------------
AbstractAuthenticationToken 的子类
--------------------------------------
AnonymousAuthenticationToken 和 AbstractAuthenticationToken 的很多子类(类名都已Token) 都实现了 Authentication 接口, 每一个子类都代表着一个具体的认证方式, 主要的子类有:
UsernamePasswordAuthenticationToken
RunAsUserToken
RememberMeAuthenticationToken
JwtAuthenticationToken
OAuth2LoginAuthenticationToken
CasAuthenticationToken

 

--------------------------------------
GenericFilterBean Filter 类
--------------------------------------
用来拦截认证的 filter, 可以在这个filter上注册认证成功的handler, 认证失败的handler.
子类有 OncePerRequestFilter, CasAuthenticationFilter, OpenIDAuthenticationFilter, UsernamePasswordAuthenticationFilter, LogoutFilter 等等.

一般情况下, 我们不需要为 http 请求增加新的filter, 直接基于已有的 filter 做一些定制化既能满足绝大多数需求(比如定制化 Handler). 增加 filter 的方式是, 在 Security Config 类的 configure(HttpSecurity http) 方法加入, 如下代码:

@override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(myAuthFilter(), UsernamePasswordAuthenticationFilter.class)
}

 

--------------------------------------
AuthenticationManager 和 AuthenticationProvider
--------------------------------------
用户访问网页, Spring Security 将通过 SecurityFilter 来调用 AuthenticationManager 进行验证, 缺省情况下, AuthenticationManager 将验证工作交给 ProviderManager 去做, 而 ProviderManager 会通过一系列 AuthenticationProvider 完成具体的验证.

调用链是:
AuthenticationManager --委托--> ProviderManager --委托--> 几个 AuthenticationProvider ----> 调用 AbstractAuthenticationToken.Authenticate()

AuthenticationProvider 和 AbstractAuthenticationToken 子类是一一对应的, 每种 AuthenticationProvider 都需要 一个 AbstractAuthenticationToken 来支持, AuthenticationProvider 接口是对 AbstractAuthenticationToken 类的一个二次封装, 保留了 AbstractAuthenticationToken.Authenticate() 方法, 另外增加了一个检测函数用来反映是否支持传入的认证token.

和 AbstractAuthenticationToken 一样, AuthenticationProvider 也有很多很多实现类, 比如:
DaoAuthenticationProvider
RunAsImplAuthenticationProvider
LdapAuthenticationProvider
ActiveDirectoryLdapAuthenticationProvider
CasAuthenticationProvider

ProviderManager 可以设置1个或0个 Parent Provider, 当所有成员 Provider 都不支持当前 Authentication 请求对象, 由 Parent Provider 提供缺省验证.

Authentication authenticate() 函数的执行过程是:
ProviderManager 会依次让成员 AuthenticationProvider 去验证, 如果第一个 AuthenticationProvider 不支持这个 Authentication 具体对象, 将使用第二个 AuthenticationProvider 验证, 如果全部的 AuthenticationProvider 都不支持, 再看是否设置了 Parent Provider, 如果 Parent Provider 的验证方法返回了 null, 最终会抛出 AuthenticationException 异常.

向 ProviderManager 注册一个 AuthenticationProvider 的方式是, 在 SecurityConfig 配置类的 configure(AuthenticationManagerBuilder auth) 函数中, 使用 AuthenticationManagerBuilder 对象的 authenticationProvider() 方法注册.

@EnableWebSecurity
public class SecurityConfig  extends WebSecurityConfigurerAdapter {
    @Autowired
    CustomAuthenticationProvider customAuthProvider;
 
    @Override
    public void configure(AuthenticationManagerBuilder auth) 
      throws Exception {
 
        //注册一个自定义的 AuthenticationProvider
        auth.authenticationProvider(customAuthProvider);
        
        //再注册一个基于内存的 AuthenticationProvider
        auth.inMemoryAuthentication()
            .withUser("memuser")
            .password(encoder().encode("pass"))
            .roles("USER");
    }


--------------------------------------
UserDetails 和 UserDetailsService
--------------------------------------
UserDetails 包含着 Authentication 需要的用户信息(用户名/密码/操作权限), 这些信息往往是从 Jdbc 或其他数据源获取到的.

UserDetailsService 是用来获取指定username 对应的 UserDetails 的接口.

 

--------------------------------------
常用 Java 代码
--------------------------------------
在 controller 接口函数中, 获取用户身份信息

1. 使用 @AuthenticationPrincipal 注解参数的方式:

@RequestMapping("/foo")
public String foo(@AuthenticationPrincipal User user) {
  ... // do stuff with user
}


2. 使用 HttpServletRequest 中 Principal 对象的方式:
注意这时的 Principal 对应的是 Spring Security 的 Authentication 对象.

@RequestMapping("/foo")
public String foo(Principal principal) {
  Authentication authentication = (Authentication) principal;
  User = (User) authentication.getPrincipal();
  ... // do stuff with user
}

3. 注销的写法

@RequestMapping(value="/logout", method = RequestMethod.GET)
public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    if (auth != null){    
        new SecurityContextLogoutHandler().logout(request, response, auth);
    }
    return "redirect:/login?logout";
}

4. 使用 SecurityContextHolder 获取 Authentication 对象

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();

5. 获取 principal 的通用方法

private String getPrincipal(){
    String userName = null;
    Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

    if (principal instanceof UserDetails) {
        userName = ((UserDetails)principal).getUsername();
    } else {
        userName = principal.toString();
    }
    return userName;
}

===================================
认证过程中的 Handler
===================================
一: AuthenticationSuccessHandler 接口, 用来设置验证成功后的处理动作, 有下面几个实现类, 分别是:
ForwardAuthenticationSuccessHandler, SimpleUrlAuthenticationSuccessHandler, SavedRequestAwareAuthenticationSuccessHandler

二: LogoutHandler 接口,设置 logout 过程中必须处理动作, logout后的重定向建议使用 LogoutSuccessHandler, 有下面几个实现类:
AbstractRememberMeServices, CompositeLogoutHandler, CookieClearingLogoutHandler, CsrfLogoutHandler, PersistentTokenBasedRememberMeServices, SecurityContextLogoutHandler, TokenBasedRememberMeServices

三: LogoutSuccessHandler 接口, 设置 logout完成后需要处理动作, LogoutSuccessHandler 是在 LogoutHandler 之后被执行, LogoutHandler 完成必要的动作(该过程不应该抛异常), LogoutSuccessHandler 定位是处理后续更多的步骤, 比如重定向等, 它有下面几个实现类:
DelegatingLogoutSuccessHandler, HttpStatusReturningLogoutSuccessHandler, SimpleUrlLogoutSuccessHandler

四: AuthenticationFailureHandler 接口, 用来设置用户验证失败后的处理动作, 有下面几个实现类, 分别是:
1. SimpleUrlAuthenticationFailureHandler, Spring Security 缺省使用该Handler, 处理的机制是: 如果指定了 failureUrl 则跳转到该url, 如果未指定, 则返回 401 错误代码
2. ForwardAuthenticationFailureHandler, 不管是报哪种 AuthenticationException 类型, 总是重定向到指定的 url.
3. DelegatingAuthenticationFailureHandler, 这是一个代理类, 可以根据不同的AuthenticationException 类型, 设置不同的 AuthenticationFailureHandlers
4. ExceptionMappingAuthenticationFailureHandler, 可以根据不同的AuthenticationException 类型,设置不同的跳转 url.

五: AccessDeniedHandler 接口, 用来设置访问拒绝后的处理动作, 有下面几个实现类, 分别是:
AccessDeniedHandlerImpl, DelegatingAccessDeniedHandler, InvalidSessionAccessDeniedHandler
   参考 http://www.mkyong.com/spring-security/customize-http-403-access-denied-page-in-spring-security/

 


===================================
Granted Authority 和 Role 的概念
===================================
在Spring security 中, 有 Granted Authority 和 role 两个概念. 我们既可以使用 Granted Authority 控制权限, 也可以通过 role 控制权限.

Role 是 coarse-grained 的权限管控机制, 比较典型的角色有 ROLE_ADMIN/ROLE_USER 等.
Granted Authority 是 fine-grained 的权限管控机制, 比较典型的权限有: OP_DELETE_ACCOUNT/OP_CREATE_USER/OP_RUN_BATCH_JOB 等.
从另一个角度看, Role 应该是面向业务的, 而 Granted Authority 应该是面向实现的.

需要注意的是, 在Spring security 中, 如果在 hasRole 等函数中使用到 role 名称, 不能加上 ROLE_ 前缀, spring security 会自动强制加上该前缀. 而对于 hasAuthority 等函数, spring security 并不会为权限名加任何前缀.

在一般的项目中, 我认为没有必要区分 role 和 Granted Authority, 可以将它们认为等同起来, 统一认为它们都是角色, 以减少概念的混淆.

@PreAuthorize("hasAuthority('OP_DELETE_ACCOUNT')")
@PreAuthorize("hasRole('ADMIN')")

https://stackoverflow.com/questions/19525380/difference-between-role-and-grantedauthority-in-spring-security
https://www.baeldung.com/spring-security-granted-authority-vs-role

 


===================================
SpringBoot 集成 spring security
===================================
项目需加上 security starter 包,

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

SpringBoot 使用 SecurityAutoConfiguration 导入 DefaultConfigurerAdapter 配置类, 该配置类完成了缺省的用户认证/和鉴权工作, 这包括:
1. 自动配置一个内存用户, 账号为 user, 密码在程序启动后动态生成并打印出来.
2. 忽略 /css/**, /js/**, /images/**, **/favicon.ico 静态文件的拦截
3. 向 servletContext 注册 securityFilterChain
另外, 在application.properties 文件中, 可以设置相关的配置项

ecurity.user.name=user  #默认用户的账号名
security.user.password=  #默认用户的密码, 不设定的话就动态生成
security.user.role=USER  #默认的用户的角色
security.enable-csrf=false #是否开启"跨站请求伪造", 默认关闭
security.ignored= #用逗号隔开的无需拦截的路径

SpringBoot 已经为我们做了很多与Spring Security的集成工作, 在实际项目中, DefaultConfigurerAdapter 肯定是不够的, 需要我们做的是, 像 DefaultConfigurerAdapter 一样开发一个配置类(比如名为 WebSecurityConfig), 该类也继承自 WebSecurityConfigurerAdapter 即可, 并分别实现两个configure 方法, 分别完成用户级的认证和http请求级的验证.


下面就是一个空的 WebSecurityConfigurerAdapter 框架.

@Configuration
// @EnableWebSecurity //@EnableWebSecurity 可以省略
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    //设置用户级的认证机制
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    }
    
    @Override
    //设置http请求级的验证
    protected void configure(HttpSecurity http) throws Exception {
    }
}


===================================
Authentication 用户认证
===================================
用户认证的方法签名如下:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
}

 

------------------------

1.1 内存用户验证
------------------------

@Configuration
// @EnableWebSecurity //@EnableWebSecurity 可以省略
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //链式写法
        auth.inMemoryAuthentication()
        .withUser("user1").password("password1").roles("ADMIN")
        .and()
        .withUser("user2").password("password2").roles("USER");

        //常规写法
        auth.inMemoryAuthentication()
        .withUser("user3").password("password3").roles("ADMIN");
        auth.inMemoryAuthentication()
        .withUser("user4").password("password4").roles("USER");
}

    @SuppressWarnings("deprecation")
    @Bean
    public NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

//    @Bean
//    public BCryptPasswordEncoder passwordEncoder() {
//        return new BCryptPasswordEncoder();
//    }
}  //end of class

auth.inMemoryAuthentication()用来创建一个基于内存的用户清单(包括账号名/密码/角色), 两个用户之间使用 .add() 链式方法连接.
需要注意的是:
1. spring security 角色名称会自动在角色名前加上 ROLE_ 前缀, 所以代码中的角色名不能以 ROLE_ 开头.
2. 推荐的角色名全部为大写字母.
3. 内存用户清单必须再提供一个 PasswordEncoder bean, 程序将使用该bean 进行密码验证, 这里使用了 NoOpPasswordEncoder, 还有 Md5PasswordEncoder, 在生产环境推荐使用 BCryptPasswordEncoder.
使用BCryptPasswordEncoder后, 如果代码中是明文密码, 需要先做一下encode, 因为 Spring security 将使用encoding 后的密码进行验证. auth.inMemoryAuthentication().withUser("user1").password(passwordEncoder().encode("user1Pass")).roles("USER")


------------------------
1.2 JDBC用户验证
------------------------

@Configuration
// @EnableWebSecurity //@EnableWebSecurity 可以省略
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Autowired
    DataSource dataSource;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        String userQuery = "select username, password, enable from "
                + "( select 'user1' username, 'password1' password, true enable ) t " + "where username=?";

        String roleQuery = "select username, rolename authority from"
                + "(select 'user1' username,'ADMIN' rolename ) t" + " where username=?";
        auth.jdbcAuthentication().dataSource(dataSource).usersByUsernameQuery(userQuery)
                .authoritiesByUsernameQuery(roleQuery);
    }
    
    @SuppressWarnings("deprecation")
    @Bean
    public NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }                
} //end of class

auth.jdbcAuthentication()用来创建一个基于JDBC数据库用户验证, 需要提供两个查询, 一个是账号/密码查询(使用 usersByUsernameQuery 方法), 另一个是角色查询(使用 authoritiesByUsernameQuery 方法).


------------------------
1.3 通用用户验证
------------------------
实际项目中基本上是采用通用用户验证, 这种方式需要定义一个能完成用户检索的类, 该类需实现 UserDetailsService 接口, 只要实现一个 loadUserByUsername() 方法即可, 该方法的返回类型是 UserDetails 接口, 我们没有必要再定义一个专门的类去实现 UserDetails 接口, Spring Securtiy 已经提供了一个这样的类, 类名全称为 org.springframework.security.core.userdetails.User.

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用自定义的 UserDetailsService 接口认证
        auth.userDetailsService(new MyUserDetailsService()); 
    }

    @SuppressWarnings("deprecation")
    @Bean
    public NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }
} //end of class

class MyUserDetailsService implements UserDetailsService {
    private Map<String, User> userRepository = new HashMap<String, User>();
    
    //模拟真实的用户清单    
    public MyUserDetailsService() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("Admin"));
        authorities.add(new SimpleGrantedAuthority("User"));
        User user1 = new User("user1", "password1", authorities);
        userRepository.put("user1", user1);
    }

    // 需要实现的方法  
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.get(username);
        return user;
    }
}

===================================
理解http 请求级验证代码中的链式调用
===================================

// @formatter:off
protected void configure(HttpSecurity http) throws Exception {
    /*
     * HttpSecurity对象支持来复合链式调用写法.
     * 比如 http.authorizeRequests() 可以加任意多二级 antMatchers()链式调用, 每一个 antMatchers() 以授权函数结尾,
     *                               二级 antMatchers() 之间无需 and() 连接.
     * 和 authorizeRequests() 同层次的还有 httpBasic()/sessionManagement()等, 多个一级函数的链式调用需使用 and() 连接.
     * */

    //一级函数
    //http.authorizeRequests();  //url 模式赋权
    //http.formLogin();          //登陆 form
    //http.httpBasic();          //Basic Authentication 设置
    //http.sessionManagement();  //session 管理
    //http.cors();               //cors 跨源资源共享
    //http.csrf()                //Cross Site Request Forgery 跨站域请求伪造
    
    //关于路径的配置,
    //应该是先配置具体的路径, 然后再配置宽泛的路径
    //antMatchers()

    http
       .authorizeRequests()
           // 对于/api 路径下的访问需要有 ROLE_ADMIN 的权限
          .antMatchers("/api/**").hasRole("ADMIN")
          // 对于/api2 路径下的访问需要有 ROLE_ADMIN或ROLE_DBA或ROLE_USER 的权限
          .antMatchers("/api2/**").access("hasRole('USER') or hasRole('ADMIN') or hasRole('DBA')")
           // 对于/guest 路径开放访问
          .antMatchers("/guest/**").permitAll()
           // 其他url路径之需要登陆即可.
           .anyRequest().authenticated()
           .and()
       //启用 basic authentication
      .httpBasic().realmName(REALM).authenticationEntryPoint(getBasicAuthenticationEntryPoint())
           .and()
       //不创建 session
      .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
// @formatter:on

 

posted @ 2018-11-13 14:23  harrychinese  阅读(8651)  评论(1编辑  收藏  举报