一、背景:
在 B/S 系統中,登錄功基本都是依靠 Cookie 來實作的,用戶登錄成功之后主要需要客戶端和服務端完成以下兩項作業:
(1)服務端將登錄狀態記錄到 Session 中,或者簽發Token;
(2)客戶端利用Cookie保存于服務端對應的 Session ID 或 Token,之后每次請求都會帶上Cookie資訊(包含Session ID或者Token),當服務端收到請求后,通過驗證 Cookie 中的資訊來判斷用戶是否登錄 ,
單點登錄: 單點登錄(Single Sign On, SSO)是指在同一帳號平臺下的多個應用系統中,用戶只需登錄一次,即可訪問所有相互信任的應用系統,單點登錄的本質就是在多個應用系統中共享登錄狀態, SSO是目前比較流行的企業業務整合的解決方案之一,
如果用戶的登錄狀態是記錄在 Session 中的,要實作共享登錄狀態,就要先共享 Session,比如可以將 Session 序列化到 Redis 中,讓多個應用系統共享同一個 Redis,直接讀取 Redis 來獲取 Session,當然僅此是不夠的,因為不同的應用系統有著不同的域名,盡管 Session 共享了,但是由于 Session ID 是往往保存在瀏覽器 Cookie 中的,因此存在作用域的限制,無法跨域名傳遞,也就是說當用戶在 app1.com 中登錄后,Session ID 僅在瀏覽器訪問 app1.com 時才會自動在請求頭中攜帶,而當瀏覽器訪問 app2.com 時,Session ID 是不會被帶過去的,實作單點登錄的關鍵在于,如何讓 Session ID(或 Token)在多個域中共享,
目前而言,主要有以下3種方式:
(1)父域 Cookie:例如:baike.baidu.com、wenku.baidu.com、zhida.baidu.com可以將認證的cookie放入baidu.com這個父級域名中,從而實作登錄資訊的共享,此種實作方式比較簡單,但不支持跨主域名,
(2)認證中心:我們可以部署一個認證中心,認證中心就是一個專門負責處理登錄請求的獨立的 Web 服務,用戶統一在認證中心進行登錄,登錄成功后,認證中心記錄用戶的登錄狀態,并將 Token 寫入 Cookie,(注意這個 Cookie 是認證中心的,應用系統是訪問不到的,)
應用系統檢查當前請求有沒有 Token,如果沒有,說明用戶在當前系統中尚未登錄,那么就將頁面跳轉至認證中心,由于這個操作會將認證中心的 Cookie 自動帶過去,因此,認證中心能夠根據 Cookie 知道用戶是否已經登錄過了,如果認證中心發現用戶尚未登錄,則回傳登錄頁面,等待用戶登錄,如果發現用戶已經登錄過了,就不會讓用戶再次登錄了,而是會跳轉回目標 URL ,并在跳轉前生成一個 Token,拼接在目標 URL 的后面,回傳給目標應用系統,
應用系統拿到 Token 之后,還需要向認證中心確認下 Token 的合法性,防止用戶偽造,確認無誤后,應用系統記錄用戶的登錄狀態,并將 Token 寫入 Cookie,然后給本次訪問放行,(注意這個 Cookie 是當前應用系統的,其他應用系統是訪問不到的,)當用戶再次訪問當前應用系統時,就會自動帶上這個 Token,應用系統驗證 Token 發現用戶已登錄,于是就不會有認證中心什么事了,
目前被廣泛使用的方案主要是Apereo CAS ,Apereo CAS 是一個企業級單點登錄系統,其中 CAS 的意思是”Central Authentication Service“,它最初是耶魯大學實驗室的專案,后來轉讓給了 JASIG 組織,專案更名為 JASIG CAS,后來該組織并入了 Apereo 基金會,專案也隨之更名為 Apereo CAS,
(3)LocalStorage 跨域:在前后端分離的情況下,完全可以不使用 Cookie,我們可以選擇將 Session ID (或 Token )保存到瀏覽器的 LocalStorage 中,讓前端在每次向后端發送請求時,主動將 LocalStorage 的資料傳遞給服務端,這些都是由前端來控制的,后端需要做的僅僅是在用戶登錄成功后,將 Session ID (或 Token )放在回應體中傳遞給前端,在這樣的場景下,單點登錄完全可以在前端實作,前端拿到 Session ID (或 Token )后,除了將它寫入自己的 LocalStorage 中之外,還可以通過特殊手段將它寫入多個其他域下的 LocalStorage 中,
二、JWT介紹
JWT概念說明
從分布式認證流程中,我們不難發現,這中間起最關鍵作用的就是token,token的安全與否,直接關系到系統的健壯性,這里我們選擇使用JWT來實作token的生成和校驗,JWT,全稱JSON Web Token,官網地址https://jwt.io,是一款出色的分布式身份校驗方案,可以生成token,也可以決議檢驗token,
JWT生成的token由三部分組成:
該物件為一個很長的字串,字符之間通過"."分隔符分為三個子串, 每一個子串表示了一個功能塊,總共有以下三個部分:JWT 頭、有效載荷和簽名,
頭部:JWT 頭部分是一個描述 JWT 元資料的 JSON 物件,主要設定一些規范資訊,簽名部分的編碼格式就在頭部中宣告,
載荷:token中存放有效資訊的部分,是 JWT 的主體內容部分,是一個 JSON 物件,包含需要傳遞的資料,比如用戶名,用戶角色,過期時間等,但是不要放密碼,會泄露!
指定七個默認欄位供選擇,iss:發行人exp:到期時間sub:主題aud:用戶nbf:在此之前不可用iat:發布時間jti:JWT ID 用于標識該 JWT除以上默認欄位外,我們還可以自定義私有欄位,如下例:{"sub": "11111","name": "Atom","admin": true}
簽名:將頭部與載荷分別采用base64編碼后,用“.”相連,再加入鹽,最后使用頭部宣告的編碼型別進行編碼,就得到了簽名,通過指定的演算法生成哈希,以確保資料不會被篡改, 首先,需要指定一個密碼(secret),該密碼僅僅為保存在服務器中,并且不能向用戶公 開,然后,使用標頭中指定的簽名演算法(默認情況下為 HMAC SHA256)根據以下公式生成簽名, HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret) 在計算出簽名哈希后,JWT 頭,有效載荷和簽名哈希的三個部分組合成一個字串,每個部分用"."分隔,就構成整個 JWT 物件,
JWT生成token的安全性分析
從JWT生成的token組成上來看,要想避免token被偽造,主要就得看簽名部分了,而簽名部分又有三部分組成,其中頭部和載荷的base64編碼,幾乎是透明的,毫無安全性可言,那么最終守護token安全的重擔就落在了加入的鹽上面了!試想:如果生成token所用的鹽與決議token時加入的鹽是一樣的,豈不是類似于中國人民銀行把人民幣防偽技術公開了?大家可以用這個鹽來決議token,就能用來偽造token,這時,我們就需要對鹽采用非對稱加密的方式進行加密,以達到生成token與校驗token方所用的鹽不一致的安全效果!
非對稱加密RSA介紹
基本原理:同時生成兩把密鑰:私鑰和公鑰,私鑰隱秘保存,公鑰可以下發給信任客戶端私鑰加密,持有私鑰或公鑰才可以解密公鑰加密,持有私鑰才可解密 優點:安全,難以破解 缺點:演算法比較耗時,為了安全,可以接受 歷史:三位數學家Rivest、Shamir 和 Adleman 設計了一種演算法,可以實作非對稱加密,這種演算法用他們三個人的名字縮寫:RSA,
三、具體代碼實作
集中式認證流程:
- 用戶認證: 使用UsernamePasswordAuthenticationFilter過濾器中attemptAuthentication方法實作認證功能,該過濾器父類中successfulAuthentication方法實作認證成功后的操作,
身份校驗: 使用BasicAuthenticationFilter過濾器中doFilterInternal方法驗證是否登錄,以決定能否進入后續過濾器,
分布式認證流程:
用戶認證:由于分布式專案,多數是前后端分離的架構設計,我們要滿足可以接受異步post的認證請求引數,需要修改UsernamePasswordAuthenticationFilter過濾器中attemptAuthentication方法,讓其能夠接收請求體,另外,默認successfulAuthentication方法在認證通過后,是把用戶資訊直接放入session就完事了,現在我們需要修改這個方法,在認證通過后生成token并回傳給用戶,身份校驗: 原來BasicAuthenticationFilter過濾器中doFilterInternal方法校驗用戶是否登錄,就是看session中是否有用戶資訊,我們要修改為,驗證用戶攜帶的token是否合法,并決議出用戶資訊,交給SpringSecurity,以便于后續的授權功能可以正常使用,
3.1引入依賴
<!--spring security 安全框架-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--JWT工具依賴-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>3.2撰寫核心配置類
Spring Security 的核心配置就是繼承 WebSecurityConfigurerAdapter 并注解@EnableWebSecurity 的配置,這個配置指明了用戶名密碼的處理方式、請求路徑、登錄、登出控制等和安全相關的配置,
package com.oyc.security.config;
import com.oyc.security.filter.TokenAuthenticationFilter;
import com.oyc.security.filter.TokenLoginFilter;
import com.oyc.security.handler.UnauthorizedEntryPoint;
import com.oyc.security.util.DefaultPasswordEncoder;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
/**
* @ClassName: TokenWebSecurityConfig
* @Description: TokenWebSecurityConfig
* @Author oyc
* @Date 2021/1/18 10:57
* @Version 1.0
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 密碼管理工具類
*/
@Autowired
private DefaultPasswordEncoder defaultPasswordEncoder;
/**
* 用戶服務類
*/
@Autowired
private UserDetailsService userDetailsService;
/**
* 配置設定,設定退出的地址和token
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.exceptionHandling()
//未授權處理
.authenticationEntryPoint(new UnauthorizedEntryPoint())
.and().authorizeRequests()
.anyRequest().authenticated()
.and().csrf().disable()
.logout().logoutUrl("/logout")
.and()
//.addLogoutHandler(new TokenLogoutHandler(tokenManager))
.addFilter(new TokenLoginFilter(authenticationManager()))
.addFilter(new TokenAuthenticationFilter(authenticationManager())).httpBasic();
}
/**
* 密碼處理
*/
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(defaultPasswordEncoder);
}
/**
* 配置哪些請求不攔截
*/
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/index**", "/api/**", "/swagger-ui.html/**");
}
}
3.3 創建認證授權相關的工具類
(1)DefaultPasswordEncoder:密碼處理的方法
package com.oyc.security.util;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;
/**
* @ClassName: DefaultPasswordEncoder
* @Description: DefaultPasswordEncoder
* @Author oyc
* @Date 2021/1/18 10:58
* @Version 1.0
*/
@Component
@Slf4j
public class DefaultPasswordEncoder extends BCryptPasswordEncoder {
@Override
public String encode(CharSequence rawPassword) {
return rawPassword.toString();
}
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
if (rawPassword == null) {
throw new IllegalArgumentException("rawPassword cannot be null");
}
if (encodedPassword == null || encodedPassword.length() == 0) {
log.error("Empty encoded password");
throw new IllegalArgumentException("encodedPassword is null");
}
return encodedPassword.equals(rawPassword);
}
}
(2)JwtTokenUtil:token 操作的工具類
package com.oyc.security.util;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.CompressionCodecs;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
/**
* @ClassName: TokenManager
* @Description: TokenManager
* @Author oyc
* @Date 2021/1/18 10:58
* @Version 1.0
*/
public class JwtTokenUtil {
private static long tokenExpiration = 24 * 60 * 60 * 1000;
private static String tokenSignKey = "123456";
private static String userRoleKey = "userRole";
public String createToken(String userName) {
String token = Jwts.builder().setSubject(userName)
.setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
.signWith(SignatureAlgorithm.HS512, tokenSignKey).compressWith(CompressionCodecs.GZIP).compact();
return token;
}
public static String createToken(String userName, String role) {
String token = Jwts.builder().setSubject(userName)
.claim(userRoleKey, role)
.setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
.signWith(SignatureAlgorithm.HS512, tokenSignKey).compressWith(CompressionCodecs.GZIP).compact();
return token;
}
public static String getUserNameFromToken(String token) {
String userName = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token).getBody().getSubject();
return userName;
}
public static String getUserRoleFromToken(String token) {
Claims claims = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token).getBody();
return claims.get(userRoleKey).toString();
}
}
(3)ResponseUtil :介面回應工具類
package com.oyc.security.util;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
/**
* @ClassName: ResponseUtil
* @Description: ResponseUtil
* @Author oyc
* @Date 2020/12/29 20:14
* @Version 1.0
*/
public class ResponseUtil {
public static void out(HttpServletResponse response, Result result) {
ObjectMapper mapper = new ObjectMapper();
PrintWriter writer = null;
response.setStatus(HttpStatus.OK.value());
response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
try {
writer = response.getWriter();
mapper.writeValue(writer, result);
writer.flush();
} catch (IOException e) {
e.printStackTrace();
} finally {
if (writer != null) {
writer.flush();
writer.close();
}
}
}
}
3.4 創建認證和授權的 filter
(1)TokenLoginFilter:認證的 filter
package com.oyc.security.filter;
import com.oyc.security.util.JwtTokenUtil;
import com.oyc.security.util.ResponseUtil;
import com.oyc.security.util.Result;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.util.StringUtils;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Collection;
/**
* @ClassName: TokenAuthenticationFilter
* @Description: TokenAuthenticationFilter
* @Author oyc
* @Date 2021/1/18 10:59
* @Version 1.0
*/
public class TokenAuthenticationFilter extends BasicAuthenticationFilter {
public TokenAuthenticationFilter(AuthenticationManager authManager) {
super(authManager);
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
logger.info("=================" + request.getRequestURI());
//不需要鑒權
if (request.getRequestURI().indexOf("index") != -1) {
chain.doFilter(request, response);
}
UsernamePasswordAuthenticationToken authentication = null;
try {
authentication = getAuthentication(request);
} catch (Exception e) {
ResponseUtil.out(response, Result.error(e.getMessage()));
}
if (authentication != null) {
SecurityContextHolder.getContext().setAuthentication(authentication);
} else {
ResponseUtil.out(response, Result.error("鑒權失敗"));
}
chain.doFilter(request, response);
}
private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
// 獲取Token字串,token 置于 header 里
String token = request.getHeader("token");
if (!StringUtils.hasText(token)) {
token = request.getParameter("token");
}
if (token != null && !"".equals(token.trim())) {
// 從Token中解密獲取用戶名
String userName = JwtTokenUtil.getUserNameFromToken(token);
if (userName != null) {
// 從Token中解密獲取用戶角色
String role = JwtTokenUtil.getUserRoleFromToken(token);
// 將ROLE_XXX,ROLE_YYY格式的角色字串轉換為陣列
String[] roles = role.split(",");
Collection<SimpleGrantedAuthority> authorities = new ArrayList<>();
for (String s : roles) {
authorities.add(new SimpleGrantedAuthority(s));
}
return new UsernamePasswordAuthenticationToken(userName, token, authorities);
}
return null;
}
return null;
}
}
(2)TokenAuthenticationFilter:授權 filter
package com.oyc.security.filter;
import com.oyc.security.util.JwtTokenUtil;
import com.oyc.security.util.ResponseUtil;
import com.oyc.security.util.Result;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.util.StringUtils;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Collection;
/**
* @ClassName: TokenAuthenticationFilter
* @Description: TokenAuthenticationFilter
* @Author oyc
* @Date 2021/1/18 10:59
* @Version 1.0
*/
public class TokenAuthenticationFilter extends BasicAuthenticationFilter {
public TokenAuthenticationFilter(AuthenticationManager authManager) {
super(authManager);
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
logger.info("=================" + request.getRequestURI());
//不需要鑒權
if (request.getRequestURI().indexOf("index") != -1) {
chain.doFilter(request, response);
}
UsernamePasswordAuthenticationToken authentication = null;
try {
authentication = getAuthentication(request);
} catch (Exception e) {
ResponseUtil.out(response, Result.error(e.getMessage()));
}
if (authentication != null) {
SecurityContextHolder.getContext().setAuthentication(authentication);
} else {
ResponseUtil.out(response, Result.error("鑒權失敗"));
}
chain.doFilter(request, response);
}
private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
// 獲取Token字串,token 置于 header 里
String token = request.getHeader("token");
if (!StringUtils.hasText(token)) {
token = request.getParameter("token");
}
if (token != null && !"".equals(token.trim())) {
// 從Token中解密獲取用戶名
String userName = JwtTokenUtil.getUserNameFromToken(token);
if (userName != null) {
// 從Token中解密獲取用戶角色
String role = JwtTokenUtil.getUserRoleFromToken(token);
// 將ROLE_XXX,ROLE_YYY格式的角色字串轉換為陣列
String[] roles = role.split(",");
Collection<SimpleGrantedAuthority> authorities = new ArrayList<>();
for (String s : roles) {
authorities.add(new SimpleGrantedAuthority(s));
}
return new UsernamePasswordAuthenticationToken(userName, token, authorities);
}
return null;
}
return null;
}
}
3.5 UnauthorizedEntryPoint:未授權統一處理handler
public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
ResponseUtil.out(response, Result.error("未授權統一處理"));
}
}3.6 測驗控制類
package com.oyc.security.controller;
import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
/**
* @ClassName: TestController
* @Description: TestController
* @Author oyc
* @Date 2021/1/18 11:06
* @Version 1.0
*/
@RestController
public class TestController {
@GetMapping(value = {"", "welcome"})
public String welcome() {
return "Welcome!!!";
}
@GetMapping("index")
public String index() {
return "index!!!";
}
@GetMapping("admin")
public String admin() {
return "admin!!!";
}
@GetMapping("user")
public String user() {
return "user!!!";
}
@GetMapping("customer")
public String customer() {
return "customer!!!";
}
/**
* 方法執行前鑒權
*
* @return
*/
@GetMapping("roleAdmin")
@Secured("ROLE_ADMIN")
public String roleAdmin() {
return "roleAdmin!!!";
}
/**
* 方法執行前鑒權
*
* @return
*/
@GetMapping("preAuthorize")
@PostAuthorize("hasAnyRole('ROLE_ADMIN')")
public String preAuthorize() {
System.out.println("preAuthorize…………");
return "preAuthorize!!!";
}
/**
* 方法執行完再鑒權
*
* @return
*/
@GetMapping("postAuthorize")
@PostAuthorize("hasAnyRole('ROLE_USER')")
public String postAuthorize() {
System.out.println("postAuthorize…………");
return "PostAuthorize!!!";
}
}
3.7 測驗
登錄回傳token:
校驗登錄狀態:
四、SpringSecurity 原理總結
4.1 SpringSecurity
的過濾器介紹
SpringSecurity 采用的是責任鏈的設計模式,它有一條很長的過濾器鏈,現在對這條過濾器鏈的 15 個過濾器進行說明:
(1) WebAsyncManagerIntegrationFilter:將 Security 背景關系與 Spring Web 中用于處理異步請求映射的 WebAsyncManager 進行集成,
(2) SecurityContextPersistenceFilter:在每次請求處理之前將該請求相關的安全背景關系資訊加載到 SecurityContextHolder 中,然后在該次請求處理完成之后,將SecurityContextHolder 中關于這次請求的資訊存盤到一個“倉儲”中,然后將SecurityContextHolder 中的資訊清除,例如在 Session 中維護一個用戶的安全信 息就是這個過濾器處理的,
(3) HeaderWriterFilter:用于將頭資訊加入回應中,
(4) CsrfFilter:用于處理跨站請求偽造,
(5)LogoutFilter:用于處理退出登錄,
(6)UsernamePasswordAuthenticationFilter:用于處理基于表單的登錄請求,從表單中獲取用戶名和密碼,默認情況下處理來自 /login 的請求,從表單中獲取用戶名和密碼時,默認使用的表單 name 值為 username 和 password,這兩個值可以通過設定這個過濾器的 usernameParameter 和 passwordParameter 兩個引數的值進行修改,
(7)DefaultLoginPageGeneratingFilter:如果沒有配置登錄頁面,那系統初始化時就會配置這個過濾器,并且用于在需要進行登錄時生成一個登錄表單頁面,
(8)BasicAuthenticationFilter:檢測和處理 http basic 認證,
(9)RequestCacheAwareFilter:用來處理請求的快取,
(10)SecurityContextHolderAwareRequestFilter:主要是包裝請求物件 request,
(11)AnonymousAuthenticationFilter:檢測 SecurityContextHolder 中是否存在
Authentication 物件,如果不存在為其提供一個匿名 Authentication,
(12)SessionManagementFilter:管理 session 的過濾器
(13)ExceptionTranslationFilter:處理 AccessDeniedException 和
AuthenticationException 例外,
(14)FilterSecurityInterceptor:可以看做過濾器鏈的出口,
(15)RememberMeAuthenticationFilter:當用戶沒有登錄而直接訪問資源時, 從 cookie里找出用戶的資訊, 如果 Spring Security 能夠識別出用戶提供的 remember me cookie, 用戶將不必填寫用戶名和密碼, 而是直接登錄進入系統,該過濾器默認不開啟,
4.2 SpringSecurity 基本流程
Spring Security
采取過濾鏈實作認證與授權,只有當前過濾器通過,才能進入下一個
過濾器:
綠色部分是認證過濾器,需要我們自己配置,可以配置多個認證過濾器,認證過濾器可以使用 Spring Security 提供的認證過濾器,也可以自定義過濾器(例如:短信驗證),認證過濾器要在 configure(HttpSecurity http)方法中配置,沒有配置不生效,下面會重點介紹以下三個過濾器:
UsernamePasswordAuthenticationFilter 過濾器:該過濾器會攔截前端提交的 POST 方式的登錄表單請求,并進行身份認證,
ExceptionTranslationFilter
過濾器:該過濾器不需要我們配置,對于前端提交的請求會直接放行,捕獲后續拋出的例外并進行處理(例如:權限訪問限制),
FilterSecurityInterceptor
過濾器:該過濾器是過濾器鏈的最后一個過濾器,根據資源權限配置來判斷當前請求是否有權限訪問對應的資源,如果訪問受限會拋出相關例外,并由 ExceptionTranslationFilter
過濾器進行捕獲和處理,
4.3 SpringSecurity 認證流程
認證流程是在
UsernamePasswordAuthenticationFilter
過濾器中處理的,具體流程如下
所示:
對應原始碼:https://github.com/oycyqr/springboot-learning-demo/tree/master/springboot-security-token
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/250636.html
標籤:其他