框架介绍
Spring Security是Spring全家桶的成员,官方对它的介绍是:
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。
它是保护基于 Spring 的应用程序的事实标准。
Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。
与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。
从介绍里可以看出,Spring Security是一个可定制扩展的框架,它主要提供了身份验证和访问控制功能。而这两个功能也是基于框架的扩展机制开发的,下面让我们一起了解一下Spring Security的基本概念和扩展机制的实现原理。
基本概念
要了解Spring Security内部的运行机制,要先了解它包含的基本概念,以及对应的功能。下面是Spring Security主要的概念:
- 安全过滤器:Spring Security通过向Servlet注册一个Filter来拦截请求,所以Spring Security要提供自己的过滤器。
- 安全过滤器配置类:为安全过滤器提供统一的配置管理,配置类是
WebSecurity。 - 过滤器链:过滤器链是为了支持应用在不同业务场景有不同的安全规则需求。一个应用可以注册多个过滤器链,一个过滤器链包含多个过滤器,一个请求会经过所有的过滤器链。
- 过滤器链配置类:为过滤器链提供统一的配置管理,并支持DSL的方式来描述配置,配置类是
HttpSecurity。 - 业务过滤器:业务过滤器会注册到过滤器链,实现功能的插拔。
- 业务过滤器配置类:用来初始化和注册业务过滤器,也可直接注册业务过滤器。
- 认证:是指验证用户的身份是否合法。Spring Security 提供了多种认证方式,如基于用户名和密码的认证、基于证书的认证、LDAP 认证、OpenID 认证等。
- 授权:是指根据用户的身份和角色,决定其是否有权访问应用程序的资源。Spring Security 支持基于角色的授权、基于表达式的授权等多种授权方式。
扩展原理
Spring Security的功能是基于Filter来实现,当一个请求进来,会通过全局的安全过滤器判断,当前请求Spring Security是否需要拦截。如果需要拦截,那么请求会流入过滤器链,交给过滤链的过滤器来处理。
业务过滤器可以选择跳过请求、执行操作、结束请求、将请求交给下一个过滤器。不同的过滤器就实现了不同的功能,我们以认证功能为例,简单介绍它们的实现原理。
Spring Security默认提供了基于用户名和密码的认证的功能,实现这个功能的Filter是UsernamePasswordAuthenticationFilter,从名字就可以看出它的功能。Spring Security会判断当前请求是不是登录的请求,是的话UsernamePasswordAuthenticationFilter会在请求体里拿到用户名和密码,走一遍校验的流程,得到一个Authentication 对象来记录用户名和认证结果,并且会把信息存到安全上下文里。
后面访问其它接口时,校验权限的Filter里判断当前Authentication 对象能否访问资源。如果没有权限,就会抛出AccessDeniedException 异常。异常处理的Filter会处理Spring Security抛出的异常,给用户合适的反馈。
所以,Spring Security的认证功能是通过认证(AuthenticationFilter)、授权(AuthorizationFilter)、异常处理(ExceptionTranslationFilter)三个Filter配合实现。通过组合不同的Filter,还能实现session管理、CSRF拦截等功能。
框架包含的功能
Spring Security框架默认提供了一些Filter,来实现对应用程序的安全保护。下面简单介绍一下各个Filter的功能:
- DisableEncodeUrlFilter:禁止对URL进行编码,为了禁止在URL里包含session id。在某些无法使用cookie的情况,会将session id放在URL里。
- WebAsyncManagerIntegrationFilter:提供异步请求的支持。
- SecurityContextHolderFilter:获取安全上下文。
- HeaderWriterFilter:在响应头上加些安全的头标识。
- CsrfFilter:提供CSRF保护。
- LogoutFilter:提供认证登出逻辑。
- UsernamePasswordAuthenticationFilter:提供基于用户名和密码的认证方式。
- DefaultLoginPageGeneratingFilter:生成默认登录页。
- DefaultLogoutPageGeneratingFilter:生成默认登出页。
- BasicAuthenticationFilter:提供基于Basic的认证方式。
- RequestCacheAwareFilter:提供请求缓存功能,用户请求出发登录认证,在认证成功之后,继续处理之前的请求,所以要保存之前请求的数据。
- SecurityContextHolderAwareRequestFilter:通过Spring Security实现HttpServletRequest里Servlet3.0新增的authenticate()、login()、logout()这些方法。
- AnonymousAuthenticationFilter:提供匿名请求的处理逻辑。
- ExceptionTranslationFilter:提供异常处理逻辑。
- AuthorizationFilter:提供授权相关的逻辑。
安全配置
Spring Security允许用户为框架提供配置信息,来定制安全策略。一般情况,我们只需关注两个配置对象:
- WebSecurity
- HttpSecurity
Spring Security6.0版本在配置方式上做了很大改动,支持用户通过提供Bean来设置配置,删除了基于WebSecurityConfigurerAdapter的配置方式。
WebSecurity
WebSecurity用来配置安全过滤器,配置对所有请求都生效。Spring Security6.0推荐的配置方式是注册一个WebSecurityCustomizer的Bean。
@Configuration
public class SecurityConfiguration {
@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
}
}
下面这种方式已经失效!下面这种方式已经失效!下面这种方式已经失效!
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/ignore1", "/ignore2");
}
}
HttpSecurity
HttpSecurity用来配置过滤链,配置对当前过滤链里的请求生效。Spring Security6.0推荐的配置方式是注册一个SecurityFilterChain的Bean。
@Configuration
public class SecurityConfiguration {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults());
return http.build();
}
}
下面这种方式已经失效!下面这种方式已经失效!下面这种方式已经失效!
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults());
}
}
总结
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。
