Spring Security的前世今生
前世今生
Spring Security的前身并非称呼为Spring Security,而是叫Acegi Security;但这并不意味着它与Spring毫无关系,它仍然是为Spring提供安全支持的。
Acegi Security搭上了Spring的便车,摇身一变成为Spring Security,但即便如此其还是继承了Acegi Security的臃肿繁琐的配置,学习成本相对还是十分的高。
直到有一天,Spring Boot横空出世,提出约定优于配置等理念,极大的简化了繁琐的配置;Spring Security也收益于此,一飞冲天。
功能介绍
安全这个话题绕不开 认证和 授权这两个方面,Spring Security也是如此,其作为一个权限管理框架,最核心的功能有:
-
认证(你是谁?)
-
授权(你能做什么?)
-
攻击防护(防止伪造身份)
Spring Security提供了很多的认证和授权方案,但作为一个优秀的开放框架,它的优点更在于“扩展性”,当其提供的认证或授权方案无法满足我们的需求时,我们可以自定义认证或授权逻辑。例如后续会讲解到的《认证(三):验证码认证登录模式》。
实现原理
Spring Security底层是通过一组过滤器链来实现的,过滤器链上的每个 Filter各司其职,但同时又相互关联;因此了解 Filter的顺序就显得十分的重要,下面会介绍几个比较核心的Filter。
如图所示,一个请求在到达API之前会经过Spring Security的过滤器链进行校验,只有"合法规范"的请求才能被API所接收。
荧光绿的都属认证过滤器,我们可以配置其是否生效,也可以自定义认证过滤器添加到过滤器链上,可控性相对比较高;其他的深蓝色ExceptionTranslationFilter和橘色FilterSecurityinterecptor则没法随意的控制。
备注:为避免引入过多的概念,该过滤器链并非完整的链路图,只是截图了部分过滤器。
表单登录过滤器
UsernamePasswordAuthenticationFilter是表单登录过滤器,表单登录也是我们最常见的登录方式;对于表单登录过滤器来说,它的主要职责为:
-
检查请求是否为登录请求&检查请求中是否含有自身需要的认证信息(username、password)。
-
如果不满足则放行让下一个过滤器进行校验,如符合自身认证要求则进行认证。
Basic认证过滤器
BasicAuthenticationFilter过滤器是用来处理Http请求中的Basic Authorization头部;当一个 Http请求头(Reqeust Header)中包含Authorization,并且其值为 Basic xxx的时候,BasicAuthenticationFilter就会生效。
主要职责:
-
尝试解析
Http basic authorization获取相应的认证信息(username、password)。 -
如果不满足则放行让下一个过滤器进行校验,如符合则自身进行认证。
异常转换过滤器
ExceptionTranslationFilter是一个异常过滤器,用来处理 认证或 授权过程中抛出的异常,这个很好理解;正如我们自身项目会有异常处理一般,Spring Security也有对应的异常处理机制。
该过滤器的主要职责是对在 FilterChain范围内抛出的AccessDeniedException(授权异常基类)和 AuthenticationException(认证异常基类),转换为对应的HTTP错误码返回或者返回对应的页面。
FilterSecurityInterceptor过滤器
FilterSecurityInterceptor过滤器位于过滤器链上的最后一环,其主要负责的是:权限的校验;判断请求的用户是否有权限访问该API。保护web Uri 并且在访问被拒绝时抛出异常。
总结
本篇文章为 Spring Security系列文章的概述篇,主要介绍了Spring Security的前世今生、提供的主要功能、以及其实现原理的粗略探讨。
文章内容到这就结束拉~ 欢迎大家扫码关注小奇的公众号!
