Spring Security认证系统浅析

Spring Security认证系统浅析-龙果学院 Spring Security认证系统浅析

标签:安全发布于 2017-05-26 12:42:47

Spring Security是个安全框架众所周知,同时也提供了一整套基于Web的认证机制和安全服务,当然如果你要通过其他协议的来实现安全服务,你也可以使用SpringSecurity来帮助你。

今天主要是讲解基于web端的安全认证机制,其他的留着以后有空再整理成博文。

首先SpringSecurity Web是基于它所提供的一整套Filter链来实现的,我们来看下它所提供的有哪些Filter:

在列表中可以看到,这些Filter链是有序的,而且自身所提供的Filter是无法更改顺序的,so what???当然,你都能任意更改顺序了,那我怎么能保证在不同的filter中拿到正确的数据呢,是吧?这些filter是SpringSecurity在启动时会默认注入到容器中的,你可以根据自身业务的需要在这些filter的before或after插入自己设计的filter。

那每一个Filter具体是做了什么工作,大家自行去查阅,这不是今天讲的重点,今天着重讲基于web的认证机制。

先来看看SpringSecurity中认证时的几个关键类:

org.springframework.security.web.context.SecurityContextRepository

org.springframework.security.web.context.SecurityContextPersistenceFilter

org.springframework.security.core.context.SecurityContextHolder

org.springframework.security.core.context.SecurityContextHolderStrategy

org.springframework.security.core.Authentication

首先来看下作为用户在login时的交互图,这个图确实太大了,已经尽量缩小了,但还是很大。

从图中我们可以看到,用户在请求服务时,首先会经过图中的SecurityContextPersistenceFilter(其实这个类在Filter链中是第二个被处理的),这个类是干嘛的呢,主要就是用于设置SecurityContext到SecurityContextHolder中,具体的我们通过图和源码一点点分析

首先看看SecurityContextPersistenceFilter.class

Java代码

publicSecurityContextPersistenceFilter() {

this(newHttpSessionSecurityContextRepository());

}

publicSecurityContextPersistenceFilter(SecurityContextRepository repo) {

this.repo = repo;

}

我们可以看到这个类的构造方法是需要设置SecurityContextRepository的,默认会设置为HttpSessionSecurityContextRepository.class,这个东西是拿来干嘛的?是用于设置SecurityContext的存储机制的,这个类对于你每次使用SecurityContextHolder在getContext时是否能拿到正确的context起到了关键性的作用。可以看到默认使用HttpSession来实现SecutiryContext的存储。

接下来我们看看doFilter中干了些什么事:

Java代码

HttpRequestResponseHolder holder =newHttpRequestResponseHolder(request,response);

// 这里可以看到从repo中取得SecurityContext,默认是从HttpSession里获取

SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

try{

// 同时在这里将创建好的SecurityContext设置到SecurityContextHolder中            SecurityContextHolder.setContext(contextBeforeChainExecution);

chain.doFilter(holder.getRequest(), holder.getResponse());

}

再来看一下repo.loadCotext的实现。

Java代码

// 先从Session里去读取是否存在SecurityContext

SecurityContext context = readSecurityContextFromSession(httpSession);

// 如果不存在将创建一个空的SecurityContext

if(context ==null) {

context = generateNewContext();

}

returncontext;

protectedSecurityContext generateNewContext() {

returnSecurityContextHolder.createEmptyContext();

}

privateSecurityContext readSecurityContextFromSession(HttpSession httpSession) {

Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);

}

在这里可以看到如果Session是一个新的话,这里的ScurityContext会从SecurityContextHolder中去创建,在SecurityContextHolder中可以看到默认会通过ThreadLocalSecurityContextHolderStrategy创建一个基于ThreadLocal存储线程安全的SecurityContext,那当前线程中所拿到的SecurityContext均是同一个实例。

现在知道了SecurityContext是如何创建了之后,再回头来看SecurityContextPersistenceFilter中的doFilter实现

Java代码

try{

// 在这里将创建好的SecurityContext设置到SecurityContextHolder中

SecurityContextHolder.setContext(contextBeforeChainExecution);

chain.doFilter(holder.getRequest(), holder.getResponse());

}

现在已经在chain.doFilter()之前已经完成了对SecurityContext的设置,接下来过滤器链继续执行,如果你在配置SecurityConfig中使用了UsernamePasswordAuthenticationFilter.class来实现对用户的认证,那我们将会进入到UsernamePasswordAuthenticationFilter的doFilter来实现认证

Java代码

Authentication authResult;

try{

authResult = attemptAuthentication(request, response);

if(authResult ==null) {

// return immediately as subclass has indicated that it hasn't completed

// authentication

return;

}

sessionStrategy.onAuthentication(authResult, request, response);

}

successfulAuthentication(request, response, chain, authResult);

protectedvoidsuccessfulAuthentication(HttpServletRequest request,

HttpServletResponse response, FilterChain chain, Authentication authResult)

throwsIOException, ServletException {

if(logger.isDebugEnabled()) {

logger.debug("Authentication success. Updating SecurityContextHolder to contain: "

+ authResult);

}

SecurityContextHolder.getContext().setAuthentication(authResult);

rememberMeServices.loginSuccess(request, response, authResult);

// Fire event

if(this.eventPublisher !=null) {

eventPublisher.publishEvent(newInteractiveAuthenticationSuccessEvent(

authResult,this.getClass()));

}

successHandler.onAuthenticationSuccess(request, response, authResult);

}

Usernamepasswordauthenticationfilter代码

public Authentication attemptAuthentication(HttpServletRequest request,

HttpServletResponse response) throws AuthenticationException {

if (postOnly && !request.getMethod().equals("POST")) {

throw new AuthenticationServiceException(

"Authentication method not supported: "+ request.getMethod());

}

String username = obtainUsername(request);

String password = obtainPassword(request);

if (username == null) {

username ="";

}

if (password == null) {

password ="";

}

username = username.trim();

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(

username, password);

// Allow subclasses to set the"details"property

setDetails(request, authRequest);

return this.getAuthenticationManager().authenticate(authRequest);

}

一旦attemptAuthentication认证通过之后,可以在successfulAuthentication方法中可以看到调用了SecurityContextHolder.getContext().setAuthentication(authResult)来完成对用户的认证,到这里已经完成了基于SpringSecurity所提供的一套web完整的认证过程。

在这里就不对UsernamePasswordAuthenticationFilter里的认证机制做详细的阐述了,大家有兴趣的话自己去翻源码查看吧。还是比较简单里,里面设计到了AuthenticationManager、AuthenticationProvider、UserDetailsService等相关的类。

如果你使用的restful接口来实现认证的话,你也可以在验证之后构造一个Authentication实例,再通过SecurityContextHolder.getContext().setAuthentication( authentication )来实现对SpringSecurity的认证。

原文请参考:Spring Security认证系统浅析-龙果学院  http://www.roncoo.com/article/detail/128454

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容