今天跟大家聊聊 Spring Security 的前世今生

程序员私房菜

共 2176字,需浏览 5分钟

 ·

2020-09-16 19:36

最近有小伙伴问我 Spring Security 相关知识,索性我就写点这方面的文章给大家,希望大家看了会有点收获。

前世今生

Spring Security的前身并非称呼为Spring Security,而是叫Acegi Security;但这并不意味着它与Spring毫无关系,它仍然是为Spring提供安全支持的。

Acegi Security搭上了Spring的便车,摇身一变成为Spring Security,但即便如此其还是继承了Acegi Security的臃肿繁琐的配置,学习成本相对还是十分的高。

直到有一天,Spring Boot横空出世,提出约定优于配置等理念,极大的简化了繁琐的配置;Spring Security也收益于此,一飞冲天。

功能介绍

安全这个话题绕不开 认证授权 这两个方面,Spring Security也是如此,其作为一个权限管理框架,最核心的功能有:

  • 认证(你是谁?)

  • 授权(你能做什么?)

  • 攻击防护(防止伪造身份)

Spring Security提供了很多的认证和授权方案,但作为一个优秀的开放框架,它的优点更在于“扩展性”,当其提供的认证或授权方案无法满足我们的需求时,我们可以自定义认证或授权逻辑。例如后续会讲解到的《认证(三):验证码认证登录模式》。

实现原理

Spring Security底层是通过一组过滤器链来实现的,过滤器链上的每个 Filter 各司其职,但同时又相互关联;因此了解 Filter 的顺序就显得十分的重要,下面会介绍几个比较核心的Filter

过滤器链

如图所示,一个请求在到达API之前会经过Spring Security的过滤器链进行校验,只有"合法规范"的请求才能被API所接收。

荧光绿的都属认证过滤器,我们可以配置其是否生效,也可以自定义认证过滤器添加到过滤器链上,可控性相对比较高;其他的深蓝色ExceptionTranslationFilter和橘色FilterSecurityinterecptor则没法随意的控制。

备注:为避免引入过多的概念,该过滤器链并非完整的链路图,只是截图了部分过滤器。

1. 表单登录过滤器

UsernamePasswordAuthenticationFilter 是表单登录过滤器,表单登录也是我们最常见的登录方式;对于表单登录过滤器来说,它的主要职责为:

  • 检查请求是否为登录请求&检查请求中是否含有自身需要的认证信息(username、password)。

  • 如果不满足则放行让下一个过滤器进行校验,如符合自身认证要求则进行认证。

2. Basic认证过滤器

BasicAuthenticationFilter 过滤器是用来处理Http请求中的Basic Authorization头部;当一个 Http请求头(Reqeust Header)中包含Authorization,并且其值为 Basic xxx的时候,BasicAuthenticationFilter就会生效。

主要职责:

  • 尝试解析 Http basic authorization获取相应的认证信息(username、password)。

  • 如果不满足则放行让下一个过滤器进行校验,如符合则自身进行认证。

3. 异常转换过滤器

ExceptionTranslationFilter 是一个异常过滤器,用来处理 认证授权过程中抛出的异常,这个很好理解;正如我们自身项目会有异常处理一般,Spring Security也有对应的异常处理机制。

该过滤器的主要职责是对在 FilterChain 范围内抛出的AccessDeniedException(授权异常基类)AuthenticationException(认证异常基类),转换为对应的HTTP错误码返回或者返回对应的页面。

4. FilterSecurityInterceptor过滤器

FilterSecurityInterceptor过滤器位于过滤器链上的最后一环,其主要负责的是:权限的校验;判断请求的用户是否有权限访问该API。保护web Uri 并且在访问被拒绝时抛出异常。

总结

本篇文章为 Spring Security 系列文章的概述篇,主要介绍了Spring Security的前世今生、提供的主要功能、以及其实现原理的粗略探讨。后面我继续跟大家深入讲解。

过滤器链

-END-


近期热门推荐?

1.为什么建议大家使用 Linux 开发?爽(外加七个感叹号)

2.为什么 Java 中“1000==1000”为false,而”100==100“为true?

2.我去头条面试,面试官问我如何设计好API,看看我是如何吊打面试官的!

3.再见!Swagger、Knife4j!

4.一个依赖搞定 Spring Boot 反爬虫,防止接口盗刷!

5.Springboot启动扩展点超详细总结,再也不怕面试官问了


如有文章对你有帮助,

在看转发是对我最大的支持



关注Java开发宝典

每天学习技术干货



点赞是最大的支持 

浏览 30
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报