今天跟大家聊聊 Spring Security 的前世今生
最近有小伙伴问我 Spring Security 相关知识,索性我就写点这方面的文章给大家,希望大家看了会有点收获。
前世今生
Spring Security的前身并非称呼为Spring Security,而是叫Acegi Security;但这并不意味着它与Spring毫无关系,它仍然是为Spring提供安全支持的。
Acegi Security搭上了Spring的便车,摇身一变成为Spring Security,但即便如此其还是继承了Acegi Security的臃肿繁琐的配置,学习成本相对还是十分的高。
直到有一天,Spring Boot横空出世,提出约定优于配置等理念,极大的简化了繁琐的配置;Spring Security也收益于此,一飞冲天。
功能介绍
安全这个话题绕不开 认证
和 授权
这两个方面,Spring Security也是如此,其作为一个权限管理框架,最核心的功能有:
认证(你是谁?)
授权(你能做什么?)
攻击防护(防止伪造身份)
Spring Security提供了很多的认证和授权方案,但作为一个优秀的开放框架,它的优点更在于“扩展性”,当其提供的认证或授权方案无法满足我们的需求时,我们可以自定义认证或授权逻辑。例如后续会讲解到的《认证(三):验证码认证登录模式》。
实现原理
Spring Security底层是通过一组过滤器链来实现的,过滤器链上的每个 Filter
各司其职,但同时又相互关联;因此了解 Filter
的顺序就显得十分的重要,下面会介绍几个比较核心的Filter
。
如图所示,一个请求在到达API之前会经过Spring Security的过滤器链进行校验,只有"合法规范"的请求才能被API所接收。
荧光绿的都属认证过滤器,我们可以配置其是否生效,也可以自定义认证过滤器添加到过滤器链上,可控性相对比较高;其他的深蓝色ExceptionTranslationFilter
和橘色FilterSecurityinterecptor
则没法随意的控制。
备注:为避免引入过多的概念,该过滤器链并非完整的链路图,只是截图了部分过滤器。
1. 表单登录过滤器
UsernamePasswordAuthenticationFilter
是表单登录过滤器,表单登录也是我们最常见的登录方式;对于表单登录过滤器来说,它的主要职责为:
检查请求是否为登录请求&检查请求中是否含有自身需要的认证信息(username、password)。
如果不满足则放行让下一个过滤器进行校验,如符合自身认证要求则进行认证。
2. Basic认证过滤器
BasicAuthenticationFilter
过滤器是用来处理Http
请求中的Basic Authorization
头部;当一个 Http
请求头(Reqeust Header
)中包含Authorization
,并且其值为 Basic xxx
的时候,BasicAuthenticationFilter
就会生效。
主要职责:
尝试解析
Http basic authorization
获取相应的认证信息(username、password)。如果不满足则放行让下一个过滤器进行校验,如符合则自身进行认证。
3. 异常转换过滤器
ExceptionTranslationFilter
是一个异常过滤器,用来处理 认证
或 授权
过程中抛出的异常,这个很好理解;正如我们自身项目会有异常处理一般,Spring Security
也有对应的异常处理机制。
该过滤器的主要职责是对在 FilterChain
范围内抛出的AccessDeniedException(授权异常基类)
和 AuthenticationException(认证异常基类)
,转换为对应的HTTP
错误码返回或者返回对应的页面。
4. FilterSecurityInterceptor过滤器
FilterSecurityInterceptor
过滤器位于过滤器链上的最后一环,其主要负责的是:权限的校验;判断请求的用户是否有权限访问该API。保护web Uri 并且在访问被拒绝时抛出异常。
总结
本篇文章为 Spring Security
系列文章的概述篇,主要介绍了Spring Security
的前世今生、提供的主要功能、以及其实现原理的粗略探讨。后面我继续跟大家深入讲解。
-END-
近期热门推荐? 1.为什么建议大家使用 Linux 开发?爽(外加七个感叹号)
2.为什么 Java 中“1000==1000”为false,而”100==100“为true?
2.我去头条面试,面试官问我如何设计好API,看看我是如何吊打面试官的!
4.一个依赖搞定 Spring Boot 反爬虫,防止接口盗刷!
5.Springboot启动扩展点超详细总结,再也不怕面试官问了
如有文章对你有帮助,
在看和转发是对我最大的支持!
关注Java开发宝典
每天学习技术干货
点赞是最大的支持