Spring Security系列:基本原理

五月YY
306 阅读7分钟

Spring Security是一个功能强大的安全框架,用于在Spring应用程序中提供全面的身份认证(Authentication)和授权(Authorization)功能。

核心功能和特点

  1. 身份认证(Authentication):Spring Security提供了各种身份认证的方式,包括基于用户名和密码的表单认证、LDAP认证、OAuth认证、OpenID认证等。它可以轻松集成到Spring应用程序中,确保只有经过认证的用户可以访问受保护的资源。
  2. 授权(Authorization):Spring Security允许开发人员定义细粒度的访问控制策略,基于角色(Roles)、权限(Permissions)或其他自定义规则进行授权决策。这样,只有授权的用户才能执行特定的操作或访问受限资源。
  3. Web安全性:Spring Security专注于保护Web应用程序的安全性。它可以处理常见的Web安全问题,如跨站点请求伪造(CSRF)、点击劫持(Clickjacking)等。
  4. 方法级安全性:除了保护Web资源,Spring Security还支持方法级别的安全性。通过注解或配置,你可以限制某些方法只允许特定的用户或角色访问。
  5. 集成性:Spring Security与Spring框架无缝集成,可以方便地与其他Spring模块和功能一起使用,如Spring Boot、Spring MVC等。
  6. 多种认证方式:Spring Security支持多种认证方式,包括用户名密码认证、Remember Me认证、Session Fixation保护、OAuth认证、OpenID Connect认证等。
  7. 定制性:Spring Security提供了丰富的扩展点和定制选项,允许开发人员根据应用程序的需求进行定制。你可以实现自定义的用户认证、用户授权、登录处理、注销处理等功能。
  8. 防止常见的安全漏洞:Spring Security旨在防止常见的安全漏洞,如SQL注入、XSS(跨站点脚本攻击)、CSRF等。
  9. 会话管理:Spring Security可以管理用户会话,确保会话安全性,包括控制会话过期、单点登录(SSO)等功能。
  10. **集成第三方安全服务:**Spring Security可以与其他安全服务集成,如LDAP、CAS等,从而提供更广泛的认证和授权方式

架构和组件

  1. SecurityContextHolder:用于存储当前用户的安全上下文信息,如认证对象、角色等。它提供了一个 ThreadLocal 类型的变量,用于存储当前线程的安全上下文(SecurityContext),其中包含了当前用户的认证信息(Authentication)
  2. AuthenticationManager:用于管理认证过程,可以有多个实现,如ProviderManager
  3. AuthenticationProvider:用于执行具体的认证逻辑,可以有多个实现,如DaoAuthenticationProvider、LdapAuthenticationProvider等
  4. UserDetailsService:用于加载用户的详细信息,如用户名、密码、权限等,可以有多个实现,如JdbcUserDetailsService、InMemoryUserDetailsService等
  5. PasswordEncoder:用于对用户密码进行加密和匹配,可以有多个实现,如BCryptPasswordEncoder、Pbkdf2PasswordEncoder等
  6. FilterChainProxy:用于管理Spring Security过滤器链,负责拦截请求并调用相应的过滤器处理
  7. SecurityFilter:用于执行具体的安全逻辑,如认证、授权、异常处理等,可以有多个实现,如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、ExceptionTranslationFilter等
  8. AccessDecisionManager:用于管理授权决策过程,可以有多个实现,如AffirmativeBased、ConsensusBased等
  9. AccessDecisionVoter:用于执行具体的授权逻辑,可以有多个实现,如RoleVoter、AuthenticatedVoter等
  10. SecurityExpressionHandler:用于解析和评估安全表达式,可以有多个实现,如WebSecurityExpressionHandler、MethodSecurityExpressionHandler等

依赖和配置

  1. 在项目中引入spring-security-core、spring-security-web、spring-security-config等依赖模块。如果是Spring Boot,可以在项目的pom.xml文件中添加spring-boot-starter-security依赖,这会自动引入那三个依赖。
  2. 在项目中创建一个继承自WebSecurityConfigurerAdapter的配置类,并使用@EnableWebSecurity注解开启Web安全功能
  3. 在配置类中重写configure方法,分别配置HttpSecurity、WebSecurity和AuthenticationManagerBuilder对象,以定义安全规则、过滤器链和认证方式等
  4. 在配置类中也可以定义自定义的Bean对象,如UserDetailsService、PasswordEncoder、AuthenticationProvider等,并注入到相应的地方使用

Spring Security认证流程

认证是指验证用户的身份,通常通过用户名和密码的方式进行。认证的流程大致如下:

  1. 用户向服务器发送一个请求 /login,包含用户名和密码等信息
  2. 请求被服务器的过滤器AuthenticationFilter(这里是UsernamePasswordAuthenticationFilter)拦截。AuthenticationFilter将请求中的用户名和密码等信息提取出来,构造一个未认证的 AuthenticationToken(这里是UsernamePasswordAuthenticationToken)
  3. AuthenticationFilter调用AuthenticationManager进行认证
  4. AuthenticationManager根据不同的认证方式,委托给相应的AuthenticationProvider进行认证逻辑
  5. AuthenticationProvider根据用户提供的信息,调用UserDetailsService加载用户的详细信息,如密码、权限等
  6. UserDetailsService 的 loadUserByUsername 方法会根据传入的用户名,从数据库或其他存储中查询用户的信息,并封装成一个 UserDetails
  7. UserDetailsService 将UserDetails对象返回给AuthenticationProvider
  8. AuthenticationProvider(这里是 DaoAuthenticationProvider)使用PasswordEncoder对用户输入的密码进行加密和匹配,如果匹配成功,则返回一个封装了用户信息和权限的Authentication对象
  9. AuthenticationManager收到Authentication对象后,将其存储在SecurityContextHolder中,表示认证成功
  10. 服务器返回给用户一个响应,根据配置和业务逻辑,可以是认证结果或相关信息。

img

Spring Security授权流程

在此之前,我们先了解授权流程涉及到的一些源码类

  1. AccessDecisionManager
  • AccessDecisionManager负责根据提供的授权策略进行授权决策。它接收来自FilterSecurityInterceptor的投票结果,根据投票器的策略(如AffirmativeBased、ConsensusBased、UnanimousBased)进行决策。
  • 在决策过程中,AccessDecisionManager会遍历所有的AccessDecisionVoter,并调用它们的vote()方法来进行投票,判断用户是否有权访问资源。
  • 最终,AccessDecisionManager会根据投票结果确定是否允许用户访问资源。
  1. AccessDecisionVoter
  • AccessDecisionVoter是用于投票决策的组件。它评估用户的角色、权限或其他属性,并基于这些属性来投票决定用户是否有权访问资源。
  • 当FilterSecurityInterceptor需要进行授权决策时,会遍历所有的AccessDecisionVoter,并调用它们的vote()方法。投票器会检查用户的属性并给出投票结果,通常是"同意"、"反对"或"弃权"。
  • 投票器的投票结果将被传递给AccessDecisionManager进行最终的授权决策。
  1. SecurityMetadataSource
  • SecurityMetadataSource负责提供访问控制的元数据,包括资源路径、所需角色、权限等。默认实现类是 DefaultFilterInvocationSecurityMetadataSource
  • FilterSecurityInterceptor在处理请求时,会调用SecurityMetadataSource的getAttributes()方法,根据请求的资源路径获取相应的授权属性(如所需角色或权限)。
  • SecurityMetadataSource提供的授权属性将用于后续的投票决策和授权检查。
  1. FilterSecurityInterceptor
  • FilterSecurityInterceptor是Spring Security中的一个过滤器,用于拦截请求并进行授权检查。
  • 当请求到达FilterSecurityInterceptor时,它会调用SecurityMetadataSource获取资源的授权属性,并将其传递给AccessDecisionManager。
  • AccessDecisionManager根据投票器的投票结果进行授权决策,最终决定是否允许用户访问资源

Spring Security 授权流程大致如下:

img

  1. 拦截请求:已认证用户访问受保护的 web 资源将被 SecurityFilterChain 中的 FilterSecurityInterceptor 的子类拦截。
  2. 获取资源访问策略:FilterSecurityInterceptor 会调用 SecurityMetadataSource 的实现类 DefaultFilterInvocationSecurityMetadataSource 来获取当前资源所需的权限集合 Collection 。 SecurityMetadataSource 是一个抽象接口,它负责读取我们配置的访问策略,这些策略可以通过 XML 或注解的方式来定义。
  • XML配置示例: 在Spring Security的XML配置文件中,可以使用**security:http元素配置安全规则,并通过security:intercept-url**元素指定资源路径和所需角色或权限。
<security:http>
  <security:intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
  <security:intercept-url pattern="/user/**" access="hasRole('ROLE_USER')" />
  <security:intercept-url pattern="/**" access="permitAll" />
  <!-- 其他配置项 -->
</security:http>
  • 注解配置示例
 http
            .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().permitAll();
  1. 最后,FilterSecurityInterceptor 会调用 AccessDecisionManager 进行授权决策,若决策通过,则允许访问资源,否则将禁止访问。
avatar
文章
阅读
粉丝