Spring Security原理與應用_ZenDei技術網路在線

Spring Security是什麼 Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean（註：包括認證與許可權獲取、配置、處理相關實例），充分利用了Spring IoC，DI（控制 ...

Spring Security是什麼

Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean（註：包括認證與許可權獲取、配置、處理相關實例），充分利用了Spring IoC，DI（控制反轉Inversion of Control ,DI:Dependency Injection 依賴註入）和AOP（面向切麵編程）（註：代理增強類）功能，為應用系統提供聲明式的安全訪問控制功能，減少了為企業系統安全控制編寫大量重覆代碼的工作。

核心類庫與認證流程

核心驗證器

AuthenticationManager

該對象提供了認證方法的入口，接收一個Authentiaton對象作為參數;

public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;
}

驗證邏輯

AuthenticationManager 接收 Authentication 對象作為參數，並通過 authenticate(Authentication) 方法對其進行驗證；AuthenticationProvider實現類用來支撐對 Authentication 對象的驗證動作；UsernamePasswordAuthenticationToken實現了 Authentication主要是將用戶輸入的用戶名和密碼進行封裝，並供給 AuthenticationManager 進行驗證；驗證完成以後將返回一個認證成功的 Authentication 對象；

ProviderManager

它是 AuthenticationManager 的一個實現類，提供了基本的認證邏輯和方法；它包含了一個 List<AuthenticationProvider> 對象，通過 AuthenticationProvider 介面來擴展出不同的認證提供者(當Spring Security預設提供的實現類不能滿足需求的時候可以擴展AuthenticationProvider 覆蓋supports(Class<?> authentication) 方法)；

實現邏輯

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		//#1.獲取當前的Authentication的認證類型
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();
		//#2.遍歷所有的providers使用supports方法判斷該provider是否支持當前的認證類型，不支持的話繼續遍歷
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				#3.支持的話調用provider的authenticat方法認證
				result = provider.authenticate(authentication);

				if (result != null) {
					#4.認證通過的話重新生成Authentication對應的Token
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				#5.如果#1 沒有驗證通過，則使用父類型AuthenticationManager進行驗證
				result = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}
		#6. 是否擦除敏感信息
		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			eventPublisher.publishAuthenticationSuccess(result);
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		prepareException(lastException, authentication);

		throw lastException;
	}
說明：

遍歷所有的 Providers，然後依次執行該 Provider 的驗證方法
- 如果某一個 Provider 驗證成功，則跳出迴圈不再執行後續的驗證；
- 如果驗證成功，會將返回的 result 既 Authentication 對象進一步封裝為 Authentication Token；比如 UsernamePasswordAuthenticationToken、RememberMeAuthenticationToken 等；這些 Authentication Token 也都繼承自 Authentication 對象；
如果 #1 沒有任何一個 Provider 驗證成功，則試圖使用其 parent Authentication Manager 進行驗證；
是否需要擦除密碼等敏感信息；

Authentication

Authentication對象中的主要方法

public interface Authentication extends Principal, Serializable {
	//#1.許可權集合，可使用AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_ADMIN")返回字元串許可權集合
	Collection<? extends GrantedAuthority> getAuthorities();
	//#2.用戶名密碼認證時可以理解為密碼
	Object getCredentials();
	//#3.認證時包含的一些信息。
	Object getDetails();
	//#4.用戶名密碼認證時可理解時用戶名
	Object getPrincipal();
	#5.是否被認證，認證為true	
	boolean isAuthenticated();
	#6.設置是否能被認證
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

AuthenticationProvider

ProviderManager 通過 AuthenticationProvider 擴展出更多的驗證提供的方式；而 AuthenticationProvider 本身也就是一個介面，從類圖中我們可以看出它的實現類AbstractUserDetailsAuthenticationProvider 和AbstractUserDetailsAuthenticationProvider的子類DaoAuthenticationProvider 。DaoAuthenticationProvider 是Spring Security中一個核心的Provider,對所有的資料庫提供了基本方法和入口。

AbstractUserDetailsAuthenticationProvider

AbstractUserDetailsAuthenticationProvider為DaoAuthenticationProvider提供了基本的認證方法；

實現邏輯

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
				#1.獲取用戶信息由子類實現即DaoAuthenticationProvider
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			#2.前檢查由DefaultPreAuthenticationChecks類實現（主要判斷當前用戶是否鎖定，過期，凍結User介面）
			preAuthenticationChecks.check(user);
			#3.子類實現
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}
		#4.檢測用戶密碼是否過期對應#2 的User介面
		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

說明：

AbstractUserDetailsAuthenticationProvider主要實現了AuthenticationProvider的介面方法authenticate 並提供了相關的驗證邏輯；

獲取用戶返回UserDetailsAbstractUserDetailsAuthenticationProvider定義了一個抽象的方法

protected abstract UserDetails retrieveUser(String username,
  UsernamePasswordAuthenticationToken authentication)
  throws AuthenticationException;

三步驗證工作
1. preAuthenticationChecks
2. additionalAuthenticationChecks（抽象方法，子類實現）
3. postAuthenticationChecks

　　 3.將已通過驗證的用戶信息封裝成 UsernamePasswordAuthenticationToken 對象並返回；該對象封裝了用戶的身份信息，以及相應的許可權信息，相關源碼如下：

　　　　protected Authentication createSuccessAuthentication(Object principal,

 　　　　Authentication authentication, UserDetails user) {

　　　　 UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken( principal, authentication.getCredentials(), authoritiesMapper.mapAuthorities(user.getAuthorities()));
 　　　　result.setDetails(authentication.getDetails()); 

　　　　 return result; }

DaoAuthenticationProvider

DaoAuthenticationProvider主要做了以下事情

對用戶身份進行加密操作；

 #1.可直接返回BCryptPasswordEncoder，也可以自己實現該介面使用自己的加密演算法
核心方法
String encode(CharSequence rawPassword);
和
boolean matches(CharSequence rawPassword, String encodedPassword);
private PasswordEncoder passwordEncoder;

實現了 AbstractUserDetailsAuthenticationProvider 兩個抽象方法，
1. 獲取用戶信息的擴展點
```
protected final UserDetails retrieveUser(String username,
     UsernamePasswordAuthenticationToken authentication)
     throws AuthenticationException {
 UserDetails loadedUser;

 try {
     loadedUser = this.getUserDetailsService().loadUserByUsername(username);
 }
```
  主要是通過註入UserDetailsService介面對象，並調用其介面方法 loadUserByUsername(String username) 獲取得到相關的用戶信息。UserDetailsService介面非常重要。
2. 實現 additionalAuthenticationChecks 的驗證方法(主要驗證密碼)；

UserDetailsService

UserDetailsService是一個介面，提供了一個方法

public interface UserDetailsService {
 UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

通過用戶名 username 調用方法 loadUserByUsername 返回了一個UserDetails介面對象（對應AbstractUserDetailsAuthenticationProvider的三步驗證方法）；

UserDetails

public interface UserDetails extends Serializable {
 #1.許可權集合
 Collection<? extends GrantedAuthority> getAuthorities();
 #2.密碼	
 String getPassword();
 #3.用戶民
 String getUsername();
 #4.用戶是否過期
 boolean isAccountNonExpired();
 #5.是否鎖定	
 boolean isAccountNonLocked();
 #6.用戶密碼是否過期	
 boolean isCredentialsNonExpired();
 #7.賬號是否可用（可理解為是否刪除）
 boolean isEnabled();
}

JdbcDaoImpl

Spring 為UserDetailsService預設提供了一個實現類 org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl

JdbcDaoImpl的子類（實現了UserDetailsManager）：

JdbcUserDetailsManager

該實現類主要是提供基於JDBC對 User 進行增、刪、查、改的方法

public class JdbcUserDetailsManager extends JdbcDaoImpl implements UserDetailsManager,
		GroupManager {
	// ~ Static fields/initializers
	// =====================================================================================

	// UserDetailsManager SQL
	#1.定義了一些列對資料庫操作的語句
	public static final String DEF_CREATE_USER_SQL = "insert into users (username, password, enabled) values (?,?,?)";
	public static final String DEF_DELETE_USER_SQL = "delete from users where username = ?";
	public static final String DEF_UPDATE_USER_SQL = "update users set password = ?, enabled = ? where username = ?";
	public static final String DEF_INSERT_AUTHORITY_SQL = "insert into authorities (username, authority) values (?,?)";
	public static final String DEF_DELETE_USER_AUTHORITIES_SQL = "delete from authorities where username = ?";
	public static final String DEF_USER_EXISTS_SQL = "select username from users where username = ?";
	public static final String DEF_CHANGE_PASSWORD_SQL = "update users set password = ? where username = ?";

說明：

UserDetailsService介面作為橋梁，是DaoAuthenticationProvier與特定用戶信息來源進行解耦的地方，UserDetailsService由UserDetails和UserDetailsManager所構成；UserDetails和UserDetailsManager各司其責，一個是對基本用戶信息進行封裝，一個是對基本用戶信息進行管理；

特別註意，UserDetailsService、UserDetails以及UserDetailsManager都是可被用戶自定義的擴展點，我們可以繼承這些介面提供自己的讀取用戶來源和管理用戶的方法，比如我們可以自己實現一個與特定 ORM 框架，比如 Mybatis 或者 Hibernate，相關的UserDetailsService和UserDetailsManager；

UserDetailsManager的另一個實現類：

InMemoryUserDetailsManager

該實現類主要是提供基於記憶體對 User 進行增、刪、查、改的方法

public class InMemoryUserDetailsManager implements UserDetailsManager { 
　　protected final Log logger = LogFactory.getLog(getClass());
　　private final Map<String, MutableUserDetails> users = new HashMap<String, MutableUserDetails>();

　　private AuthenticationManager authenticationManager;

　　public InMemoryUserDetailsManager() {
　　}

　　public InMemoryUserDetailsManager(Collection<UserDetails> users) {
	　　for (UserDetails user : users) {
		createUser(user);
	　　}
　　}`