1、Spring Security 概述

Spring Security 是能够为Spring 企业应用提供声明式的安全访问控制解决方案的安全框架，为应用系统提供声明式的安全访问控制功能，减少为企业系统安全访问控制编写大量重复的代码。

1.1 Spring Security项目核心模块

spring-security
├── 核心 - spring-security-core.jar
├── Remoting - spring-security-remoting.jar
├── Web - spring-security-web.jar
├── 配置 - spring-security-config.jar
├── LDAP - spring-security-ldap.jar
├── OAuth 2.0核心 - spring-security-oauth2-core.jar
├── OAuth 2.0客户端 - spring-security-oauth2-client.jar
├── OAuth 2.0 JOSE - spring-security-oauth2-jose.jar
├── ACL - spring-security-acl.jar
├── CAS - spring-security-cas.jar
├── OpenID - spring-security-openid.jar
└── 测试 - spring-security-test.jar

核心详细描述参考中文官网

1.2 Spring Security 简单集成

Spring Security 支持Maven和Gradle集成，本文主要使用Spring Boot与Maven：
pom.xml


    
    
        org.springframework.boot
        spring-boot-starter-security

1.2.1 使用Security安全功能

增加配置类，使用注解@EnableWebSecurity开启Web安全功能
实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)，增加Security安全配置。

代码清单：

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests((authorize) -> authorize
            .antMatchers("/css/**", "/index").permitAll()
            .antMatchers("/user/**").hasRole("USER")
        )
        .formLogin((formLogin) -> formLogin
            .loginPage("/login")
            .failureUrl("/login-error")
        );
  }
  @Bean
  public UserDetailsService userDetailsService() {
    UserDetails userDetails = User.withDefaultPasswordEncoder()
        .username("user")
        .password("password")
        .roles("USER")
        .build();
    return new InMemoryUserDetailsManager(userDetails);
  }
}

当添加了SecurityConfig 之后我们的应用就具备如下功能：

要求对应用程序中的除了/css/**", "/index每个URL进行身份验证

要求对应用程序中的/user/**的URL访问都需要USER角色才能访问

指定“/login”该路径为登录页面，当未认证的用户尝试访问任何受保护的资源时，都会跳转到“/login”。

默认指定“/logout”为注销页面

配置一个内存中的用户认证器，使用admin/admin作为用户名和密码，具有USER角色。

CSRF攻击预防

会话固定保护

安全标头集成

用于安全请求的 HTTP严格传输安全性

X-Content-Type-Options集成

缓存控制（稍后可由应用程序覆盖以允许缓存静态资源）

X-XSS-Protection集成

X-Frame-Options集成有助于防止Clickjacking

与以下Servlet API方法集成

HttpServletRequest的＃getRemoteUser（）

HttpServletRequest.html＃getUserPrincipal（）

HttpServletRequest.html＃的isUserInRole（java.lang.String中）

HttpServletRequest.html＃login（java.lang.String，java.lang.String）

HttpServletRequest.html＃注销（）

2、源码分析-Security安全认证实现

2.1 Security安全认证过程类图

类图

2.2 Security安全认证自动化配置

2.2.1 @EnableWebSecurity

从类关系图可以清楚@EnableWebSecurity注解是开启Security安全功能的核心注解，EnableWebSecurity源码清单：

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
@Import({ WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class,
        HttpSecurityConfiguration.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

    /**
     * Controls debugging support for Spring Security. Default is false.
     * @return if true, enables debug support with Spring Security
     */
    boolean debug() default false;

}

@EnableWebSecurity是组合注解，引入了Impost注解包含的外部配置以及激活了@EnableGlobalAuthentication注解，而@EnableGlobalAuthentication注解激活了AuthenticationConfiguration认证配置类。

2.2.2 WebSecurityConfiguration

WebSecurityConfiguration 是web安全配置核心类，WebSecurityConfiguration最主要的功能就是创建了springSecurityFilterChain Bean，springSecurityFilterChain 是spring security的核心过滤器，是整个认证的入口。WebSecurityConfiguration中完成了声明springSecurityFilterChain的作用，并且最终交给DelegatingFilterProxy这个代理类，负责拦截请求（注意DelegatingFilterProxy这个类不是spring security包中的，而是存在于web包中，spring使用了代理模式来实现安全过滤的解耦）。WebSecurityConfiguration源码清单：

@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
//省略==========================================
    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public Filter springSecurityFilterChain() throws Exception {
        boolean hasConfigurers = this.webSecurityConfigurers != null && !this.webSecurityConfigurers.isEmpty();
        boolean hasFilterChain = !this.securityFilterChains.isEmpty();
        Assert.state(!(hasConfigurers && hasFilterChain),
                "Found WebSecurityConfigurerAdapter as well as SecurityFilterChain. Please select just one.");
        if (!hasConfigurers && !hasFilterChain) {
            WebSecurityConfigurerAdapter adapter = this.objectObjectPostProcessor
                    .postProcess(new WebSecurityConfigurerAdapter() {
                    });
            this.webSecurity.apply(adapter);
        }
        for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
            this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
            for (Filter filter : securityFilterChain.getFilters()) {
                if (filter instanceof FilterSecurityInterceptor) {
                    this.webSecurity.securityInterceptor((FilterSecurityInterceptor) filter);
                    break;
                }
            }
        }
        for (WebSecurityCustomizer customizer : this.webSecurityCustomizers) {
            customizer.customize(this.webSecurity);
        }
        return this.webSecurity.build();
    }

    //省略=====================

}

2.2.3 SpringWebMvcImportSelector

SpringWebMvcImportSelector主要作用是判断当前的环境是否包含springmvc，因为spring security可以在非spring环境下使用，为了避免DispatcherServlet的重复配置，所以使用了这个注解来区分。

2.2.4 OAuth2ImportSelector

OAuth2ImportSelector类是为了对 OAuth2.0 开放授权协议进行支持。ClientRegistration 如果被引用，具体点也就是 spring-security-oauth2 模块被启用（引入依赖jar）时。会启用 OAuth2 客户端配置 OAuth2ClientConfiguration

2.2.5 HttpSecurityConfiguration

HttpSecurityConfiguration配置类首先通过@Autowired去获取容器中的一个AuthenticationManager实例，如果没能获取到则使用依赖注入的AuthenticationConfiguration实例创建一个AuthenticationManager实例，这个实例其实就是ProviderManager。然后初始化httpSecurity。

2.2.5.1 HttpSecurity

通过HttpSecurity配置指明了Web Security 拦截什么URL、登录认证方式、设置什么权限等。

2.2.6 AuthenticationConfiguration

AuthenticationConfiguration 主要作用就是创建全局的身份认证管理者AuthenticationManager，AuthenticationManager便是最核心的身份认证管理器。
AuthenticationConfiguration源码清单：

@Configuration(proxyBeanMethods = false)
@Import(ObjectPostProcessorConfiguration.class)
public class AuthenticationConfiguration {

    //省略================

    @Bean
    public AuthenticationManagerBuilder authenticationManagerBuilder(ObjectPostProcessor

Spring Security（一）源码分析及认证流程

1、Spring Security 概述

1.1 Spring Security项目核心模块

1.2 Spring Security 简单集成

1.2.1 使用Security安全功能

2、源码分析-Security安全认证实现

2.1 Security安全认证过程类图

2.2 Security安全认证自动化配置

2.2.1 @EnableWebSecurity

2.2.2 WebSecurityConfiguration

2.2.3 SpringWebMvcImportSelector

2.2.4 OAuth2ImportSelector

2.2.5 HttpSecurityConfiguration

2.2.5.1 HttpSecurity

2.2.6 AuthenticationConfiguration

2.3 验证逻辑

2.3.1 AuthenticationManager

2.3.2 Authentication

2.3.3 ProviderManager

2.3.3 AuthenticationProvider

2.3.4 DaoAuthenticationProvider

2.3.4 AbstractUserDetailsAuthenticationProvider

2.3.4 UserDetailsService

2.3.4.1 UserDetailsService

2.4 认证流程图

你可能感兴趣的:(Spring Security（一）源码分析及认证流程)

Spring Security（一） 源码分析及认证流程

1、Spring Security 概述

1.1 Spring Security项目核心模块

1.2 Spring Security 简单集成

1.2.1 使用Security安全功能

2、源码分析-Security安全认证实现

2.1 Security安全认证过程类图

2.2 Security安全认证自动化配置

2.2.1 @EnableWebSecurity

2.2.2 WebSecurityConfiguration

2.2.3 SpringWebMvcImportSelector

2.2.4 OAuth2ImportSelector

2.2.5 HttpSecurityConfiguration

2.2.5.1 HttpSecurity

2.2.6 AuthenticationConfiguration

2.3 验证逻辑

2.3.1 AuthenticationManager

2.3.2 Authentication

2.3.3 ProviderManager

2.3.3 AuthenticationProvider

2.3.4 DaoAuthenticationProvider

2.3.4 AbstractUserDetailsAuthenticationProvider

2.3.4 UserDetailsService

2.3.4.1 UserDetailsService

2.4 认证流程图

你可能感兴趣的:(Spring Security（一） 源码分析及认证流程)

Spring Security（一）源码分析及认证流程

你可能感兴趣的:(Spring Security（一）源码分析及认证流程)