Spring Security的实现原理

spring security是基于spring AOP和servlet过滤器的安全框架，在web请求级和方法调用级处理身份确认和授权。

spring security借助了一系列的Servlet Filter，当添加了@EnableWebSecurity注解之后，Spring会创建一个名字为SpringSecurityFilterChain的Bean，其类型为DelegatingFilterProxy，这是一个特殊的ServletFilter，将工作委托给一个javax.servlet.Filter的实现类，这个实现类作为一个Bean注册在Spring的应用的上下文中，这个类保存了那一系列的Filter，也就是说，对于一个请求其处理顺序是：

DelegatingFilterProxy --> FilterChainProxy --> 一系列的Filter --> ...... --> Controller

启用spring security：

        除了添加一个@EnableWebSecurity注解之外，一般都会同时提供一个继承自WebSecurityConfigurerAdapter 的配置类：

@Configuration
@EnableWebSecurity
public class daf extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    /**
     * 请求路径的安全性控制
     * @param httpSecurity
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception{
        httpSecurity.authorizeRequests()
                .antMatchers("/super/**").hasAnyAuthority("roleAuth")   // url带有super的必须具有roleAuth权限且是https请求的
                .antMatchers("/test/**").authenticated()  // url带有test开头的必须登录才能访问
                .anyRequest().permitAll()
                .and()
                .formLogin()
                .and()
                .rememberMe()   // 启用网站常见的记住登录用户的功能
                .and()
                .requiresChannel().antMatchers("/admin/**").requiresSecure();
    }

    /**
     * 基于数据库的权限认证
     * @param authenticationManagerBuilder
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception{
        authenticationManagerBuilder.jdbcAuthentication().dataSource(dataSource);
    }
}

@Secured、@PreAuthorize和@PostAuthorize等可以做到方法级别的控制:

@Secured("roleAuth")   // 必须拥有roleAuth权限才能访问此方法
// @PreAuthorize内接受的是SpEL表达式，可以做到强大灵活的控制，具有roleAuth权限或者传入的username等于当前登录用户的username才能访问方法。
@PreAuthorize("hasAuthority('roleAuth') or #reqVo.sysUser.username == #userDetails.username")

原理：

WebSecurityConfiguration这个类创建了名为springSecurityFilterChain的Bean，在创建这个Bean的过程中，连带创建了那一系列的Filter，通过调试代码我们可以看到，是HttpSecurityBuilder这个接口的实现类负责创建的。

认证过程

1. 用户使用用户名和密码进行登录
2. Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的 UsernamePasswordAuthenticationToken
3. 将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证
4. AuthenticationManager 认证成功后将会返回一个封装了用户权限等信息的 Authentication 对象
5. 通过调用 SecurityContextHolder.getContext().setAuthentication(...) 将 AuthenticationManager 返回的 Authentication 对象赋予给当前的 SecurityContext

参考：
bug绝缘体-知乎
链接：https://zhuanlan.zhihu.com/p/72305502