最近在学习Spring Security,于是就写了这篇Spring Security的博客来记录自己的学习中的一些总结,本文主要是一些简单的原理分析,没有涉及很深的源码分析。
1. Spring Security初体验未引入Spring Security前请求接口情况,接口可以随意定义一个controller测试
引入Spring Security后,接口的请求情况
如果使用浏览器模拟访问更加明显,会跳到一个登录页面,效果如下:
然后输入默认的用户名和密码,默认的用户名是:user,密码是会在控制台中显示,如下:
在登录页面输入后,就可以访问接口了,访问后的效果如下
我们都知道401状态码就是表示没有权限的意思,请求被拦截了。这就是Spring Security的作用,用于服务的认证与授权,这里体现的是认证的作用了。实际运用中我们不可能通过使用默认登录页面来进行认证的。
2. Spring Security的认证阶段 2.1 登录流程登录是每个系统的入口,经过登录校验后,后端服务才知道你是谁,你有哪些权限,所以我们来梳理一下现在在前后端分离的模式下,登录接口的常规流程,流程总结如下图:
2.2 Spring Security执行流程Spring Security的原理其实就是一个过滤器链,内部包含了各种功能的过滤器。示例如图
图中列举的名字是Spring Security过滤器链中的重要过滤器。以下是对这些重要过滤器的说明:
- UsernamePasswordAuthenticationFilter:负责处理在登录接口输入的用户名和密码的校验
- ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException,其中AccessDeniedException是授权异常,AuthenticationException是认证异常
- FilterSecurityInterceptor:是负责权限校验的过滤器,授权和资源权限的校验
以上是完整的一个流程简介,主要分为两个阶段,认证与授权。
2.2.1 Spring Security认证流程
认证是所有请求的第一步,认证通过后,才说明该请求是一个合法的请求。Spring Security的完整认证流程如下图所示:
图中涉及的接口与类的简单描述
- Authentication接口:它的实现类,表示当前访问系统的用户,封装了用户的相关信息
- AuthenticationManager接口:定义认证Authentication的方法
- UserDetailsService接口:用于加载用户特定数据的核心接口,里面定义了一个根据用户名查询用户信息的方法,loadUserByUsername。
- UserDetails接口:提供用户的核心信息,通过UserDetailsService的loadUserByUsername查询到的用户信息需要封装成UserDetails对象返回,然后讲这些信息封装到Authentication对象中
以上是认证的逻辑与流程,Spring Security还有一个重要的功能就是授权。
2.2.2 Spring Security授权
每个用户的权限都是不一样的,在不同的用户进行访问系统时,需要对用户进行授权。在Spring Security中,使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取用户的权限信息。然后判断用户是否拥有资源权限。所以就是需要在用户登录时,也需要查询出用户的权限信息,并将权限信息存储到Authentication对象中。
首先需要在配置类上开启注解控制权限,使用
@EnableGlobalMethodSecurity(prePostEnabled = true)
然后使用@PreAuthorize来定义接口需要使用的权限,例如:
@PreAuthorize("hasAuthority('test')")
这个就是需要test权限才可以访问资源!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)