spring security是基于spring AOP和servlet过滤器的安全框架,在web请求级和方法调用级处理身份确认和授权。
spring security借助了一系列的Servlet Filter,当添加了@EnableWebSecurity注解之后,Spring会创建一个名字为SpringSecurityFilterChain的Bean,其类型为DelegatingFilterProxy,这是一个特殊的ServletFilter,将工作委托给一个javax.servlet.Filter的实现类,这个实现类作为一个Bean注册在Spring的应用的上下文中,这个类保存了那一系列的Filter,也就是说,对于一个请求其处理顺序是:
DelegatingFilterProxy --> FilterChainProxy --> 一系列的Filter --> ...... --> Controller
启用spring security:除了添加一个@EnableWebSecurity注解之外,一般都会同时提供一个继承自WebSecurityConfigurerAdapter 的配置类:
@Configuration
@EnableWebSecurity
public class daf extends WebSecurityConfigurerAdapter {
@Autowired
private DataSource dataSource;
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception{
httpSecurity.authorizeRequests()
.antMatchers("/super
@Override
protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception{
authenticationManagerBuilder.jdbcAuthentication().dataSource(dataSource);
}
}
@Secured、@PreAuthorize和@PostAuthorize等可以做到方法级别的控制:
@Secured("roleAuth") // 必须拥有roleAuth权限才能访问此方法
// @PreAuthorize内接受的是SpEL表达式,可以做到强大灵活的控制,具有roleAuth权限或者传入的username等于当前登录用户的username才能访问方法。
@PreAuthorize("hasAuthority('roleAuth') or #reqVo.sysUser.username == #userDetails.username")
原理:
WebSecurityConfiguration这个类创建了名为springSecurityFilterChain的Bean,在创建这个Bean的过程中,连带创建了那一系列的Filter,通过调试代码我们可以看到,是HttpSecurityBuilder这个接口的实现类负责创建的。
认证过程
- 用户使用用户名和密码进行登录
- Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的 UsernamePasswordAuthenticationToken
- 将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证
- AuthenticationManager 认证成功后将会返回一个封装了用户权限等信息的 Authentication 对象
- 通过调用 SecurityContextHolder.getContext().setAuthentication(...) 将 AuthenticationManager 返回的 Authentication 对象赋予给当前的 SecurityContext
参考:
bug绝缘体-知乎
链接:https://zhuanlan.zhihu.com/p/72305502
