Spring Security应用详解(集成SpringBoot)

Spring Security应用详解

集成SpringBoot
工作原理
认证流程
授权流程

集成SpringBoot

1.Spring Boot介绍
Spring Boot是一套Spring的快速开发框架，基于Spring4.0设计，使用Spring Boot开发可以避免一些繁琐的工程搭建和配置，同时它集成了大量的常用框架，快速导入依赖包，避免依赖包的冲突。基本上常用的开发框架都支持Spring Boot开发，例如：Mybatis、Dubbo等，Spring家族更是如此，例如：Spring cloud、Spring mvc、Spring Security等，使用Spring Boot开发可以大大得提高生产率，所以Spring Boot的使用率非常高。

2.创建maven工程
1》创建maven工程spring-boot-security，工程结构如下：

2》引入以下依赖：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.5.5</version><relativePath/> <!-- lookup parent from repository --></parent><groupId>com.mu</groupId><artifactId>spring-boot-security</artifactId><version>0.0.1-SNAPSHOT</version><name>spring-boot-security</name><description>Demo project for Spring Boot</description><properties><java.version>1.8</java.version></properties><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><!--jsp页面使用jstl标签--><dependency><groupId>javax.servlet</groupId><artifactId>jstl</artifactId><version>1.2</version></dependency><!--用于编译jsp--><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-jasper</artifactId></dependency></dependencies><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId><configuration><excludes><exclude><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId></exclude></excludes></configuration></plugin></plugins></build></project>

3.Spring容器配置
Springboot工程启动会自动扫描启动类所在包下的所有Bean，加载到Spring容器。
1》Spring Boot配置文件
在resources下添加application.properties，内容如下：

server.port=8080
server.servlet.context-path=/springboot-security
spring.application.name=springboot-security

2》Spring Boot启动类

@SpringBootApplication
public class SpringBootSecurityApplication {public static void main(String[] args) {SpringApplication.run(SpringBootSecurityApplication.class, args);}}

4.Servlet Context配置
由于Spring boot starter自动配置机制，这里无需使用@EnableWebMvc与@ComponentScan，WebConfig如下：

/*** 相当于springmvc。xml文件*/
@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}
}

视图解析器配置在application.properties中

spring.mvc.view.prefix=/WEB-INF/views/
spring.mvc.view.suffix=.jsp

5.安全配置
由于Spring boot starter自动装配机制，这里无需使用@EnableWebSecurity，WebSecurityConfig内容如下：

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {/*** 定义用户信息服务(查询用户信息)*/@Bean@Overridepublic UserDetailsService userDetailsService(){InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());return manager;}/*** 密码编码器*/@Beanpublic PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}/*** 安全拦截机制（最重要）*/@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/r/r1").hasAuthority("p1").antMatchers("/r/r2").hasAuthority("p2").antMatchers("/r/**").authenticated()  //所有/r/**的请求必须认证通过.anyRequest().permitAll()  //除了/r/**，其它的请求可以访问.and().formLogin() //允许表单登录.successForwardUrl("/login-success");  //自定义登录成功的页面地址}}

6.测试

工作原理

1.结构总览
Spring Security所解决的问题就是安全访问控制，而安全访问控制功能其实就是对所有进入系统的请求进行拦截，校验每个请求是否能够访问它所期望的资源。根据前边知识的学习，可以通过Filter或AOP等技术来实现，Spring Security对Web资源的保护是靠Filter实现的，所以从这个Filter来入手，逐步深入Spring Security原理。

当初始化Spring Security时，会创建一个名为SpringSecurityFilterChain的Servlet过滤器，类型为org.springframework.security.web.FilterChainProxy，它实现了javax.servlet.Filter，因此外部的请求会经过此类，下面是Spring Security过滤链结构图：

FilterChainProxy是一个代理，真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter，同时这些Filter作为Bean被Spring管理，它们是Spring Security核心，各有各的职责，但他们并不直接处理用户的认证，也不直接处理用户的授权，而是把它们交给了认证管理器(AuthenticatonManger)和决策管理器(AccessDecisionManger)进行处理，下图是FilterChainProxy相关类的UML图示。

Spring Security功能的实现主要是由一系列过滤器链相互配合完成。

下面介绍过滤器链中主要的几个过滤器及其作用：
SecurityContextPersistenceFilter这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截器)，会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext，然后把它设置给SecurityContextHolder。在请求完成后将SecurityContextHolder持有的SecurityContext再保存到配置好的SecurityContextRepository，同时清楚SecurityContextHolder所持有的SecurityContext；

UsernamePasswordAuthenticationFilter用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码，其内部还有登录成功或失败后进行处理的AuthenticationSuccessHandler 和 AuthenticationFailureHandler，这些都可以根据需求做相关改变；

FilterSecurityInterceptor能用于保护web资源的，使用AccessDecisionManager对当前用户进行授权访问，前面已经详细介绍过了；

ExceptionTranslationFilter能够蒱获来自FilterChain所有的异常，并进行处理。但是它只会处理两类异常；AuthenticationException 和 AccessDeniedException，其它的异常它会继续抛出。

认证流程

1.认证流程

让我们仔细分析认证过程
1》用户提交用户名、密码被SecurityFilterChain中的UsernamePasswordAuthenticationFilter过滤器获取到，封装为请求Authentication，通常情况下是UsernamePasswordAuthenticationToken这个实现类。
2》然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证
3》认证成功后，AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息、身份信息、细节信息，但密码通常会被移除)Authentication实例。
4》SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication，通过SecurityContextHolder.getContext().setAuthentication(…)方法设置到其中。
可以看出AuthenticationManager接口(认证管理器)是认证相关的核心接口，也是发起认证的出发点，它的实现类为ProviderManager。而Spring Security支持多种认证方式，因此ProviderManager维护者一个List列表，存放多种认证方式，最终实际的认证工作是由AuthenticaitonProvider完成的。咱们知道web表单的对应的AuthenticationProvider实现类为DaoAuthenticationProvider，它的内部又维护着一个UserDetailService负责UserDetails的获取。最终AuthenticationProvider将UserDetials填充至Authentication。

2.AuthenticationProvider
通过前面的Spring Security认证流程我们得知，认证管理器(AuthenticaitonManager)委托AuthenticaitonProvider完成认证工作。
AuthenticationProvider是一个接口，定义如下：

public interface AuthenticationProvider {Authentication authenticate(Authentication var1) throws AuthenticationException;boolean supports(Class<?> var1);
}

authenticate()方法定义了认证的实现过程，它的参数是一个Authentication，里面包含了登录用户所提交的用户、密码等。而返回值也是一个Authenticaiton，这个Authentication则是在认证成功后，将用户的权限及其他信息重新组装后生成。

Spring Security中维护着一个List列表，存放多种认证方式，不同的认证方式使用不同的AuthenticationProvider。如使用用户名密码登录时，使用AuthenticationProvider1，短信登录时使用AuthenticationProvider2等等这样的例子很多。

每个AuthenticationProvider需要实现supports() 方法来表明自己支持的认证方式，如我们使用表单方式认证，在提交请求时Spring Security会生成UsernamePasswordAuthenticaitonToken，它是一个Authentication，里面封装着用户提交的用户名、密码信息。而对应的，哪个AutehticationProvide来处理它？

我们在DaoAuthenticationProvider的基类AbstractUserDetailAuthenticationProvider发现以下代码：

public boolean supports(Class<?> authentication) {return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
}

也就是说当web表单提交用户名密码时，Spring Security由DaoAuthenticationProvider处理。

最后，我们来看一下Authentication(认证信息)的结构，它是一个接口，我们之前提到的UsernamePasswordAuthenticationToken就是它的实现之一：

public interface Authentication extends Principal, Serializable {Collection<? extends GrantedAuthority> getAuthorities();Object getCredentials();Object getDetails();Object getPrincipal();boolean isAuthenticated();void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

1》Authentication是Sprge’ting Security包中的接口，直接继承Principal类，而Principal是位于java.security包中的。它是表示着一个抽象主体身份，任何主体都有一个名称，因此包含一个getName()方法。
2》getAuthorities(),权限信息列表；默认是GrantedAuthority接口的一些实现类，通常是代表权限信息的一系列字符串。
3》getCredentials(),凭证信息，用户输入的密码字符串，在认证过后通常会被移除，用于保障安全。
4》getDetails(), 细节信息，web应用中的实现接口通常为WebAuthenticationDetails，它记录了访问者的ip地址和session的值。
5》getPrincipal(), 身份信息，大部分情况下返回的是UserDetails接口的实现类，UserDetails代表用户的详细信息，那从Authentication中获取出来的UserDetails就是当前登录用户信息，它也是框架中的常用接口之一。

3.UserDetailService
1》认识UserDetailService
现在我们知道DaoAuthenticationProvider处理了web表单的认证逻辑，认证成功后既得到一个Authentication(UsernamePasswordAuthenticationToken实现)，里面包含了身份信息(Principal)。这个身份信息就是一个Object，大多数情况下它可以被强转为UserDetails对象。

DaoAuthenticationProvider中包含了一个UserDetailsService实例，它负责根据用户名提取用户信息UserDetails(包含密码)，而后DaoAuthenticationProvider会去对比UserDetailsService提取的用户密码与用户提交的密码是否匹配作为认证成功的关键依据，因此可以通过将自定义的UserDetailsService公开为Spring Bean来自定义身份验证。

public interface UserDetailsService {UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

很多人把DaoAuthenticationProvider和UserDetailsService的职责搞混淆，其实UserDetailsService是从特定的地方(通常是数据库)加载用户信息，仅此而已。而DaoAuthenticationProvider的职责更大，它完成整体的认证流程，同时会把UserDetails填充至Authentication。

上面提到UserDetails是用户信息，内容如下：

public interface UserDetails extends Serializable {Collection<? extends GrantedAuthority> getAuthorities();String getPassword();String getUsername();boolean isAccountNonExpired();boolean isAccountNonLocked();boolean isCredentialsNonExpired();boolean isEnabled();
}

它和Authentication接口很类似，比如它们都拥有username，authorities。Authenticaiton的getCredentials()与UserDetails中的getPassword()需要被区分对待，前者是用户提交的密码凭证，后者是用户实际存储的密码，认证其实就是对这两者的比对。Authentication中的getAuthorities()实际是由UserDetials的getAuthorities()传递而形成的。还记得Authentication接口中getDetails()方法吗？其中的UserDetials用户详细信息便是经过了AuthenticationProvider认证之后被填充的。

通过实现UserDetailsService和UserDetails，我们可以完成对用户信息获取方式以及用户信息字段的扩展。

Spring Security提供的InMemoryUserDetailsManager(内存认证),JdbcUserDetailsManager(jdbc认证)就是UserDetailsService的实现类，主要区别无非就是从内存还是从数据库加载用户。

2》自定义UserDetailsService

@Service
public class SpringDataUserDetailsService implements UserDetailsService {/*** 根据账号查询用户信息* @param username* @return* @throws UsernameNotFoundException*/@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//登录账号System.out.println("username" + username);//TODO 根据账号去数据库查询。。。//这里暂时使用静态数据UserDetails userDetails = User.withUsername(username).password("123").authorities("p1").build();return userDetails;}}

4.PasswordEncoder
1》认识PasswordEncoder
DaoAurthenticationProvider认证处理器通过UserDetailsService获取到UserDetails后，它是如何与请求Authentication中的密码做对比呢？

在这里Spring Security为了适应多种多样的加密类型，又做了抽象，DaoAuthenticaionProvider通过PasswordEncoder接口的matches方法进行密码的对比，而具体的密码对比细节取决于实现：

public interface PasswordEncoder {String encode(CharSequence var1);boolean matches(CharSequence var1, String var2);default boolean upgradeEncoding(String encodedPassword) {return false;}
}

而Spring Security提供很多内置的PasswordEncoder，能够开箱即用，使用某种PasswordEncoder只需要进行如下声明即可，如下：

@Bean
public PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();
}

NoOpPasswordEncoder采用字符串匹配方法，不对密码进行加密比较处理，密码比较流程如下：
1》用户输入密码(明文)
2》DaoAuthenticationProvider获取UserDetails(其中存储了用户的正确密码)
3》DaoAuthenticationProvider使用PasswordEncoder对输入的密码和正确的密码进行校验，密码一致则校验通过，否则校验失败。

NoOpPasswordEncoder的校验规则拿输入的密码和UserDetails中的正确密码进行字符串比较，字符串内容一致则校验通过，否则校验失败。

实际项目中推荐使用BCryptPasswordEncoder，Pbkdf2PasswordEncoder，SCryptPasswordEncoder等，感兴趣时大家可以看看这些PasswordEncoder的具体实现。

(1)使用BCryptPasswordEncoder
1》配置BCryptPasswordEncoder
在安全配置类中定义：

@Bean
public PasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();
}

2》测试BCrypt
通过下边的代码测试BCrypt加密及校验的方法
添加依赖：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope>
</dependency>

编写测试方法：

@RunWith(SpringRunner.class)
public class BCryptTest {@Testpublic void test1(){//对原始密码加密String hashpw = BCrypt.hashpw("123", BCrypt.gensalt());System.out.println(hashpw);//校验原始密码和BCrypt密码是否一致boolean checkpw = BCrypt.checkpw("123", "$2a$10$f3.kXo1azpguqHMUweF17u6UhZt.uiXlY.qGqk7QYaWZJ1iyiRsT.");System.out.println(checkpw);}
}

授权流程

1.授权流程
通过快速上手我们知道，Spring Security可以通过http.authorizeRequests()对web请求进行授权保护。Spring Security使用标准Filter建立了对web请求的拦截，最终实现对资源的授权访问。

Spring Security的授权流程如下：

分析授权流程：
1》拦截请求, 已认证用户访问受保护的web资源将被SecurityFilterChain中的FilterSecurityInterceptor的子类拦截。
2》获取资源访问策略，FilterSecurityInterceptor会从SecurityMetadataSource的子类DefaultFilterInvocationSecurityMetadataSource获取要访问当前资源所需要的权限Collection。

SecurityMetadataSource其实就是读取访问策略的抽象，而读取的内容，其实就是我们配置的访问规则，读取访问策略如：

http.authorizeRequests().antMatchers("/r/r1").hasAuthority("p1").antMatchers("/r/r2").hasAuthority("p2")...

3》最后，FilterSecurityInterceptor会调用AccessDecisionManager进行授权决策，若决策通过，则允许访问资源，否则将禁止访问。

AccessDecisionManager(访问决策管理器)的核心接口如下：

public interface AccessDecisionManager {/*** 通过传递的参数来决定用户是否有访问对应受保护资源的权限*/void decide(Authentication var1, Object var2, Collection<ConfigAttribute> var3) throws AccessDeniedException, InsufficientAuthenticationException;boolean supports(ConfigAttribute var1);boolean supports(Class<?> var1);
}

这里着重说明一下decide的参数：
authentication：要访问资源的访问者的身份
object：要访问的受保护资源，web请求对应FilterInvocation
configAttributes：是受保护资源的访问策略，通过SecurityMetadataSource获取。
decide接口就是用来鉴定当前用户是否有访问对应受保护资源的权限。

2.授权决策
AccessDecisionManager采用投票的方式来确定是否能够访问受保护资源。

通过上图可以看出，AccessDecisionManager中包含的一系列AccessDecisonVoter将会被用来对Authenticaion是否有权访问受保护对象进行投票，AccessDecisonManager根据投票结果，做出最终决策。

AccessDecisionVoter是一个接口，其中定义有三个方法，具体结构如下所示。

public interface AccessDecisionVoter<S> {int ACCESS_GRANTED = 1;int ACCESS_ABSTAIN = 0;int ACCESS_DENIED = -1;boolean supports(ConfigAttribute var1);boolean supports(Class<?> var1);int vote(Authentication var1, S var2, Collection<ConfigAttribute> var3);
}

vote()方法的返回结果会是AccessDecisionVoter中定义的三个常量之一。ACCESS_GRANTED表示同意，ACCESS_DENIED表示拒绝，ACCESS_ABSTAIN表示弃权。如果一个AccessDecisionVoter不能判定当前Authentication是否拥有访问对应受保护对象的权限，则其vote()方法的返回值应当为弃权ACCESS_ABSTAIN。

Spring Security内置了三个基于投票的AccessDecisonManager实现类如下，它们分别是AffirmativeBased、ConsensusBased和UnanimousBased。

AffirmativeBased的逻辑是：
1》只要有AccessDecisionVoter的投票为ACCESS_GRANTED则同意用户进行访问；
2》如果全部放弃也表示通过；
3》如果没有一个人投赞成票，但是有人投反对票，则将抛出AccessDeniedException。
Spring Security默认使用的是AffirmativeBased。

ConsensusBased的逻辑是：
1》如果赞成票多于反对票则表示通过。
2》反过来，如果反对票多于赞成票则将抛出AccessDeniedException。
3》如果赞成票与反对票相同且不等于0，并且属性allowlfEqualGrantedDeniedDecisions的值为true，则表示通过，否则将抛出异常AccessDeniedException。参数allowlfEqualGrantedDeniedDecisions的值默认为true。
4》如果所有的AccessDecisionVoter都弃权了，则将视参数allowlfAllAbstainDecisions的值而定，如果该值为true则表示通过，否则将抛出异常AccessDeniedException。参数allowlfAllAbstainDecisions的默认值为false。

UnanimousBased的逻辑与另外两种实现有点不一样，另外两种会一次性把受保护对象的配置属性全部传递给AccessDecisionVoter进行投票，而UnanimousBased会一次只传递一个ConfigAttribute给AccessDecisionVoter进行投票。这也就意味着如果我们的AccessDecisionVoter的逻辑是只要传递进来的ConfigAttribute中有一个能够匹配则投赞成票，但是放到UnanimousBased中其投票结果就不一定是赞成了。
UnanimousBased的逻辑具体来说是这样的：
1》如果没有反对票，但是有赞成票，则表示通过。
2》如果全部弃权了，则将视参数allowlfAllAbstainDecisions的值而定，true则通过，false则抛出AccessDeniedException。

Spring Security也内置一些投票者实现类如：RoleVoter、AuthenticatedVoter和WebExpressionVoter等。