首页 > 代码库 > Spring Security:核心组件说明

Spring Security:核心组件说明

2024-07-19 13:32:39   225人阅读

理解了Spring Security核心组件说明,Spring Security的后续学习和使用将不再是难题。

1、Spring Security 核心

 

SecurityContextHolder、SecurityContext、Authentication、GrantedAuthority、UserDetails

 

Authentication:代表了Spring Security中的当事人。

SecurityContext:拥有了Authentication、请求相关的信息。

SecurityContextHodler:用于获取SecurityContext。

GrantedAuthority:代表在应用程序中给当事人授予的权限。

UserDetails:用户详细信息。其实就是一个JavaBean。

UserDetailsService:UserDetails相关的业务处理。

 

这几个是Spring Security的核心,其它的API都是围绕这些API展开的,都是为它们服务的。

 

 

 

2、身份认证Authentication

 

2.1、一般的身份认证

从Spring Security核心部分,对Spring Security有一个笼统概念了,那该怎么理解上面说的呢?

 

通常情况下,我们的系统都是这样的:

1、用户输入用户名、密码登录

2、系统对用户名、密码进行验证

3、获取用户上下文信息(角色列表等等)

4、获取相关操作权限

 

对于上面说的前三条,用Spring Security来处理,就是:

1、用户名、密码组合生成一个Authentication对象(也就是UsernamePasswordAuthenticationToken对象)。

2、生成的这个token对象会传递给一个AuthenticationManager对象用于验证。

3、当成功认证后,AuthenticationManager返回一个Authentication对象。

4、接下来,就可以调用

SecurityContextHodler.getContext().setAuthentication(…)。

 

 

为了更好的理解,下面就写一个例子:

 

package com.springsecurity.java.test; import java.io.BufferedReader;import java.io.InputStreamReader;import java.util.ArrayList;import java.util.List; import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.authentication.BadCredentialsException;import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;import org.springframework.security.core.Authentication;import org.springframework.security.core.AuthenticationException;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.context.SecurityContextHolder; public class AuthenticationExample {   private static SimpleAuthenticationManager samgr = new SimpleAuthenticationManager();    public static void main(String[] args) {      try {// 用户输入用户名、密码:        BufferedReader in = new BufferedReader(new InputStreamReader(              System.in));        System.out.println("Please enter your username:");        String name = in.readLine();        System.out.println("Please enter your password:");        String password = in.readLine();// 接下来是系统进行身份认证的过程://1、将用户名、密码封装成一个token        Authentication token = new UsernamePasswordAuthenticationToken(              name, password);//2、将token传给AuthenticationManager进行身份认证//3、认证完毕,返回一个认证后的身份:        Authentication result = samgr.authenticate(token);// 认证后,存储到SecurityContext里 :    SecurityContextHolder.getContext().setAuthentication(result);      } catch (Exception ex) {        System.out.println("认证失败");      } // 从SecurityContext读取认证的身份:System.out.println(SecurityContextHolder.getContext()           .getAuthentication());   }} class SimpleAuthenticationManager implements AuthenticationManager {   static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();   static {      AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));   }    public Authentication authenticate(Authentication auth)        throws AuthenticationException {      if (auth.getName().equals(auth.getCredentials())) {        return new UsernamePasswordAuthenticationToken(auth.getName(),              auth.getCredentials(),AUTHORITIES);      }      throw new BadCredentialsException("Bad Credentials");   } }
View Code

 

2.2、Web Application中如何进行身份认证呢?

1、用户在首页上点击某个链接

2、后台处理时,先判断是否是要访问一个受保护的资源

3、如果是受保护的资源,判断用户是否登录,是否有这个资源的访问权限

4、如果用户没有登录,返回一个登录页面给用户

5、用户输入username、password,然后登录

6、接下来开始上面的身份认证过程

 

在Web Application环境下,将上述1-4过程由AuthenticationEntryPoint来处理。

 

 

如何存储已认证的用户呢?

    用户要访问另外的资源时,肯定要判断是否有该资源的访问权限,在判断是否有访问权限前,一般要用户先登录系统(要对用户的身份进行认证)的。如果用户已经成功登录,只需要判断是否有访问权即可。

    在一般的Web Application中(不使用Spring Security),我们通常会将用户信息存储到HttpSession中。

    如果在Web Application系统中,加上了Spring Security呢?

做法没什么两样,还是将这个信息存储在HttpSession中。但对于无状态的RESTful Web Service不是这样做的。

 

 

3、授权Authorization(Access Control)

 

身份认证Authentication保证了用户可访问系统。权限认证(授权保证了用户可以访问系统中的资源)。

    在用户的一次资源访问中,这两个过程是不可少的。Access Control就是决定你这个请求是否被允许,它是在身份认证之后,访问资源之前进行的。

 

用户请求-->身份认证-->授权-->资源访问-->响应

 

身份认证过程由AuthenticationManager来处理,授权决定则是由AccessDecisionManager来处理的。

void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException;

 

Spring在进行授权时,充分利用了Spring的核心之一:AOP。通过前段时间关于AOP的研究,AOP在程序中一般体现为Filter或者是Interceptor,其中更多的是使用Interceptor。 

 

 

上面的decide方法需要三个参数:

·Authentication就是已经通过认证的Authentication对象。上面的学习已经可以理解。

·Object obj  是代表方法调用(MethodInvocation)或者请求处理(Action的Handler),在接下来的AbstractSecurityInterceptor中说明。

·configAttributes则是相关的特性配置。下面会有说明。

 

AbstractSecurityInterceptor

 

Security中关于授权部分使用了AOP,所以就不得不了解一下AbstractSecurityInterceptor。

 

Interceptor一般都会提供invoke方法。这个类是抽象类,没有提供,使用时用的是它的子类,在子类中提供了invoke方法。而在AccessDecisionManager的decide方法中的第二个参数,就是invoke方法的参数MethodInvocation对象。

 

ConfigAttribute

    其实就是对某个拦截器配置一些访问属性。举个例子:

某个拦截器interceptor,配置访问属性有ROLE_A, ROLE_B,如果一个用户经过认证后他有一个Authentication为ROLE_A,那么他的这个请求就会被拦截器interceptor处理。

 

再说的通俗点就是:设置某个拦截器能够处理哪些身份的用户的请求。

 

AbstractSecurityInterceptor的执行流程

 

1、查找有哪些configAttributes与当前的请求相关联。

2、提交secure object(就是前面说的MethodInvocation对象)、当前的Authentication(就是已经认证好的身份)、以及1中找到的那些configAttributes,提交给AccessDecisionManager用于授权。

3、选择性的改变用户的身份去进行验证。这是因为用户身份的多样性的需要。

4、Secure Object(methodInvocation 对象执行),也就是执行我们在action中写的Handler。

5、如果配置了AfterInvocationManager,那么AfterInvocationManager也会执行的。

 

这个流程是官方文档中说明的,已经很清楚了。为了更清新的了解这个过程,还是查看一下源码吧:

在AbstractSecurityInterceptor的子类MethodSecurityInterceptor中:

public Object invoke(MethodInvocation mi) throws Throwable {// 预先处理        InterceptorStatusToken token = super.beforeInvocation(mi);         Object result;        try {// 真实方法调用,也就是我们写的action调用            result = mi.proceed();        } finally {            super.finallyInvocation(token);        }// afterInvocationManager处理        return super.afterInvocation(token, result);    }

 


这段代码与上面的流程说明对应起来,那就应该是上面说的流程中的1、2、3对应了这段代码中的 预先处理部分。就来看看beforeInvocation: 

// 参数object就是方法调用protected InterceptorStatusToken beforeInvocation(Object object) {        Assert.notNull(object, "Object was null");        final boolean debug = logger.isDebugEnabled();         if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {            throw new IllegalArgumentException("Security invocation attempted for object "                    + object.getClass().getName()                    + " but AbstractSecurityInterceptor only configured to support secure objects of type: "                    + getSecureObjectClass());        }// 收集与方法调用相关的特性配置        Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);         if (attributes == null || attributes.isEmpty()) {            if (rejectPublicInvocations) {                throw new IllegalArgumentException("Secure object invocation " + object +                        " was denied as public invocations are not allowed via this interceptor. "                                + "This indicates a configuration error because the "                                + "rejectPublicInvocations property is set to ‘true‘");            }             if (debug) {                logger.debug("Public object - authentication not attempted");            }             publishEvent(new PublicInvocationEvent(object));             return null; // no further work post-invocation        }         if (debug) {            logger.debug("Secure object: " + object + "; Attributes: " + attributes);        }         if (SecurityContextHolder.getContext().getAuthentication() == null) {            credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",                    "An Authentication object was not found in the SecurityContext"), object, attributes);        }// 取得该用户已验证的身份        Authentication authenticated = authenticateIfRequired();         // Attempt authorization        try {           // 进行用户授权this.accessDecisionManager.decide(authenticated, object, attributes);        }        catch (AccessDeniedException accessDeniedException) {            publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, accessDeniedException));             throw accessDeniedException;        }         if (debug) {            logger.debug("Authorization successful");        }         if (publishAuthorizationSuccess) {            publishEvent(new AuthorizedEvent(object, attributes, authenticated));        }// 切换为其他身份        // Attempt to run as a different user        Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attributes);         if (runAs == null) {            if (debug) {                logger.debug("RunAsManager did not change Authentication object");            }             // no further work post-invocation            return new InterceptorStatusToken(SecurityContextHolder.getContext(), false, attributes, object);        } else {            if (debug) {                logger.debug("Switching to RunAs Authentication: " + runAs);            }            SecurityContext origCtx = SecurityContextHolder.getContext();            SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());            SecurityContextHolder.getContext().setAuthentication(runAs);             // need to revert to token.Authenticated post-invocation            return new InterceptorStatusToken(origCtx, true, attributes, object);        }    }

 

4、Localization异常消息的国际化 

 

Spring Security分为了身份认证和授权两个过程,上面已经讲明 。在这两个过程中,发生异常是在所难免的。Spring为此提供了异常消息的国际化支持。

 

Spring Security:核心组件说明


联系
我们