Spring Security 认证授权流程以及过滤器链

一、Spring Security简介

---

Spring Security是一个安全框架，主要的核心功能认证和授权。

二、SecurityFilterChain 过滤器链

---

Spring Security 中，认证、授权都是基于 SecurityFilterChain(过滤器链) 完成的。一个请求认证或授权时都会先进入到 SecurityFilterChain 中，一个服务中有多个 SecurityFilterChain ，每个SecurityFilterChain 由 FilterChainProxy 管理，FilterChainProxy 根据不同请求url会 matches(匹配) 方法来确定满足条件 SecurityFilterChain 进入。FilterChainProxy 的生命周期方法会委托给DelegatingFilterProxy 来执行。而 DelegatingFilterProxy 的作用是将 Filter 容器化。

• WebSecurity和HttpSecurity都是建造者
• WebSecurity构建目标是FilterChainProxy对象
• HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。
• @EnableWebSecurity注解，导入了WebSecurityConfiguration类
• WebSecurityConfiguration中创建了建造者对象WebSecurity，和核心过滤器FilterChainProxy

三、认证授权

---

SpringSecurity 表单认证时序图

SpringSecurityOAuth2 认证流程图

Spring Security 中的认证工作主要由 AuthenticationManager 接口来负责，该接口中只有一个 authenticate 方法用来做认证，返回 Authentication 对象表示认证成功。AuthenticationManager 最主要的实现类是 ProviderManager，ProviderManager 管理了众多的 AuthenticationProvider，AuthenticationProvider 中不仅有 authenticate 方法，还多了一个 supports 方法用来判断是否支持给定的 Authentication 类型。

认证授权的流程：

1. SecurityContextPersistenceFilter：主要用来持久化 SecurityContext，请求进来时，首先取出已经持久化的SecurityContext对象（如果没有则为null），并将其设置到SecurityContextHolder对象中，等后续的过滤器执行完后再将其从SecurityContextHolder中清除。
2. UsernamePasswordAuthenticationFilter：账号密码认证方式，我们知道真实的认证是在AuthenticationProvider 接口中认证的，账号密码认证方式使用的 DaoAuthenticationProvider 来实现 AuthenticationProvider 接口的，DaoAuthenticationProvider 在认证中根据 username 拿到 UserDetails对象(接口)，该接口一般由我们自己去实现，里面存放的是用户的信息密码以及权限等，然后 调用 createSuccessAuthentication(UserDetails)方法获取一个已认证的 Authentication对象。这个对象会放在 SecurityContext 中在请求上下文中使用。
3. OAuth2AuthenticationProcessingFilter：使用OAuth2时，资源认证服务才会有此过滤器。验证token使用的是 ResourceServerTokenServices 对象接口 调用 loadAuthentication(token) 方法验证token的， ResourceServerTokenServices 是个接口实现类是RemoteTokenServices，该类实际上使用restTemplate远程调用认证服务器来校验token的，最后得到一个 Authentication 对象放到 SecurityContext 中。此处资源服和认证服务都是内服自己的服务时可以自己实现 ResourceServerTokenServices 接口，减少远程调用，增加token校验性能。
4. ExceptionTranslationFilter：用来转换整个链路中出现的异常，转换本身并不处理异常。一般只处理两大类异常：AccessDeniedException 访问异常和 AuthenticationException 认证异常
5. FilterSecurityInterceptor：过滤器链中最后一个过滤器，主要用鉴权。该过滤器调用 AccessDecisionManager 接口 decide 方法，鉴权不成功会直接抛异常，成功则返回一个InterceptorStatusToken