对于最新的稳定版本,请使用 Spring Security 6.4.1! |
Servlet 身份验证体系结构
本讨论扩展了 Servlet 安全性:大局 来描述 Servlet 身份验证中使用的 Spring Security 的主要体系结构组件。 如果您需要具体的流程来解释这些部分如何组合在一起,请查看 身份验证机制 特定部分。
-
SecurityContextHolder - 这是 Spring Security 存储经过身份验证者的详细信息的地方。
SecurityContextHolder
-
SecurityContext - 从 获取并包含当前经过身份验证的用户。
SecurityContextHolder
Authentication
-
身份验证 - 可以是输入,用于提供用户提供的用于身份验证的凭据或当前用户。
AuthenticationManager
SecurityContext
-
GrantedAuthority - 授予委托人(即角色、范围等)的授权
Authentication
-
AuthenticationManager - 定义 Spring Security 的过滤器如何执行身份验证的 API。
-
ProviderManager - 最常见的 .
AuthenticationManager
-
AuthenticationProvider - 用于执行特定类型的身份验证。
ProviderManager
-
使用
AuthenticationEntryPoint
请求凭据 - 用于从客户端请求凭据(即重定向到登录页面、发送响应等)WWW-Authenticate
-
AbstractAuthenticationProcessingFilter - 用于身份验证的基础。 这也很好地说明了高级身份验证流程以及各个部分如何协同工作。
Filter
SecurityContextHolder
Spring Security 身份验证模型的核心是 .
它包含 SecurityContext。SecurityContextHolder
这是 Spring Security 存储谁经过身份验证的详细信息的地方。
Spring Security 不关心 是如何填充的。
如果它包含值,则将其用作当前经过身份验证的用户。SecurityContextHolder
SecurityContextHolder
指示用户已通过身份验证的最简单方法是直接设置SecurityContextHolder
SecurityContextHolder
-
Java
-
Kotlin
SecurityContext context = SecurityContextHolder.createEmptyContext(); (1)
Authentication authentication =
new TestingAuthenticationToken("username", "password", "ROLE_USER"); (2)
context.setAuthentication(authentication);
SecurityContextHolder.setContext(context); (3)
val context: SecurityContext = SecurityContextHolder.createEmptyContext() (1)
val authentication: Authentication = TestingAuthenticationToken("username", "password", "ROLE_USER") (2)
context.authentication = authentication
SecurityContextHolder.setContext(context) (3)
1 | 我们首先创建一个空的 .
创建新实例而不是 using 以避免跨多个线程的争用条件非常重要。SecurityContext SecurityContext SecurityContextHolder.getContext().setAuthentication(authentication) |
2 | 接下来,我们创建一个新的 Authentication 对象。
Spring Security 并不关心在 .
这里我们使用,因为它非常简单。
更常见的生产场景是 。Authentication SecurityContext TestingAuthenticationToken UsernamePasswordAuthenticationToken(userDetails, password, authorities) |
3 | 最后,我们将 .
Spring Security 将使用此信息进行授权。SecurityContext SecurityContextHolder |
如果您希望获取有关经过身份验证的主体的信息,可以通过访问 .SecurityContextHolder
-
Java
-
Kotlin
SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
String username = authentication.getName();
Object principal = authentication.getPrincipal();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
val context = SecurityContextHolder.getContext()
val authentication = context.authentication
val username = authentication.name
val principal = authentication.principal
val authorities = authentication.authorities
默认情况下,它使用 a 来存储这些详细信息,这意味着 for the 始终可用于同一线程中的方法,即使 for 没有作为参数显式传递给这些方法。
如果在处理当前主体的请求后小心清除线程,则以这种方式使用 a 是非常安全的。
Spring Security 的FilterChainProxy确保始终清除。SecurityContextHolder
ThreadLocal
SecurityContext
SecurityContext
ThreadLocal
SecurityContext
由于某些应用程序处理线程的特定方式,它们并不完全适合使用 。
例如,Swing 客户端可能希望 Java 虚拟机中的所有线程都使用相同的安全上下文。 可以在启动时配置策略,以指定您希望如何存储上下文。
对于独立应用程序,您将使用该策略。
其他应用程序可能希望安全线程生成的线程也采用相同的安全身份。
这是通过使用 来实现的。
您可以通过两种方式更改默认模式。
第一个是设置系统属性,第二个是在 上调用静态方法。
大多数应用程序不需要更改默认值,但如果需要,请查看 Javadoc 以了解更多信息。ThreadLocal
SecurityContextHolder
SecurityContextHolder.MODE_GLOBAL
SecurityContextHolder.MODE_INHERITABLETHREADLOCAL
SecurityContextHolder.MODE_THREADLOCAL
SecurityContextHolder
SecurityContextHolder
SecurityContext
SecurityContext
是从SecurityContextHolder获取的。
它包含一个 Authentication 对象。SecurityContext
认证
身份验证
在 Spring Security 中有两个主要目的:
-
AuthenticationManager
的输入,用于提供用户提供的用于身份验证的凭证。 在此方案中使用时,返回 。isAuthenticated()
false
-
表示当前经过身份验证的用户。 current 可以从 SecurityContext 获取。
Authentication
包含:Authentication
-
principal
- 标识用户。 使用用户名/密码进行身份验证时,这通常是UserDetails
的实例。 -
credentials
- 通常是密码。 在许多情况下,这将在用户进行身份验证后被清除,以确保它不会被泄露。 -
authorities
-GrantedAuthority
是授予用户的高级权限。 几个示例是角色或范围。
授予权限
GrantedAuthority
是授予用户的高级权限。几个示例是角色或范围。
GrantedAuthority
可以从 Authentication.getAuthorities()
方法获取。
此方法提供 of 对象。
毫不奇怪,A 是授予委托人的授权。
此类颁发机构通常是“角色”,例如 或 。
这些角色稍后将配置为 Web 授权、方法授权和域对象授权。
Spring Security 的其他部分能够解释这些权限,并期望它们存在。
使用基于用户名/密码的身份验证时,通常由 UserDetailsService
加载。Collection
GrantedAuthority
GrantedAuthority
ROLE_ADMINISTRATOR
ROLE_HR_SUPERVISOR
GrantedAuthority
通常,对象是应用程序范围的权限。
它们并不特定于给定的域对象。
因此,您不太可能拥有表示对象编号 54 的权限,因为如果有数千个这样的权限,您很快就会耗尽内存(或者,至少会导致应用程序花费很长时间来验证用户)。
当然,Spring Security 是专门为处理这个常见需求而设计的,但您更愿意使用项目的域对象安全功能来实现此目的。GrantedAuthority
GrantedAuthority
Employee
身份验证管理器
AuthenticationManager
是定义 Spring Security 的过滤器如何执行身份验证的 API。
然后,由调用.
如果您未与 Spring Security 的
Filters
集成,则可以直接设置 ,并且不需要使用 .AuthenticationManager
SecurityContextHolder
AuthenticationManager
虽然 的实现可以是任何东西,但最常见的实现是 ProviderManager
。AuthenticationManager
提供者管理器
ProviderManager
是 AuthenticationManager
最常用的实现。 委托给 AuthenticationProvider
的 a。
每个都有机会指示身份验证应该成功、失败或指示它无法做出决定并允许下游做出决定。
如果配置的所有 都无法进行身份验证,则身份验证将失败,并显示 a 这是一个特殊信息,表示未配置为支持传入其中的类型。ProviderManager
List
AuthenticationProvider
AuthenticationProvider
AuthenticationProvider
ProviderNotFoundException
AuthenticationException
ProviderManager
Authentication
在实践中,每个 Wizard 都知道如何执行特定类型的身份验证。
例如,一个用户可能能够验证用户名/密码,而另一个用户可能能够验证 SAML 断言。
这允许每个 bean 执行非常特定类型的身份验证,同时支持多种类型的身份验证,并且只公开单个 bean。AuthenticationProvider
AuthenticationProvider
AuthenticationProvider
AuthenticationManager
ProviderManager
还允许配置一个可选的父级,在 No Can 执行身份验证时查询该父级。
父级可以是 的任何类型的 ,但它通常是 的实例。AuthenticationManager
AuthenticationProvider
AuthenticationManager
ProviderManager
实际上,多个实例可能共享同一 parent 。
这在有多个 SecurityFilterChain
实例具有一些共同的身份验证(共享父级)但具有不同的身份验证机制(不同的实例)的情况下有些常见。ProviderManager
AuthenticationManager
AuthenticationManager
ProviderManager
默认情况下,将尝试从成功身份验证请求返回的对象中清除任何敏感的凭据信息。
这可以防止密码等信息在 .ProviderManager
Authentication
HttpSession
这可能会导致问题,例如,当您使用用户对象的缓存时,为了提高无状态应用程序的性能。
如果 s 包含对缓存中对象的引用(例如实例),并且已删除其凭据,则无法再对缓存的值进行身份验证。
如果您使用的是缓存,则需要考虑到这一点。
一个明显的解决方案是首先在缓存实现中或在创建返回对象的 中复制对象。
或者,您也可以禁用 上的属性。
有关更多信息,请参阅 Javadoc。Authentication
UserDetails
AuthenticationProvider
Authentication
eraseCredentialsAfterAuthentication
ProviderManager
AuthenticationProvider 认证
可以将多个 AuthenticationProvider
注入 ProviderManager
。
每个 VPN 都执行特定类型的身份验证。
例如,DaoAuthenticationProvider
支持基于用户名/密码的身份验证,同时支持对 JWT 令牌进行身份验证。AuthenticationProvider
JwtAuthenticationProvider
请求凭证AuthenticationEntryPoint
AuthenticationEntryPoint
用于发送从客户端请求凭据的 HTTP 响应。
有时,客户端会主动包含用户名/密码等凭据来请求资源。 在这些情况下, Spring Security 不需要提供从 Client 端请求凭据的 HTTP 响应,因为它们已经包含在内。
在其他情况下,客户端将向他们无权访问的资源发出未经身份验证的请求。
在这种情况下,使用 的实现从客户端请求凭证。
该实现可能会执行重定向到登录页面、使用 WWW-Authenticate 标头进行响应等。AuthenticationEntryPoint
AuthenticationEntryPoint
AbstractAuthenticationProcessingFilter
AbstractAuthenticationProcessingFilter
用作验证用户凭据的基础。
在对凭据进行身份验证之前, Spring Security 通常使用AuthenticationEntryPoint
请求凭据。Filter
接下来,可以对提交给它的任何身份验证请求进行身份验证。AbstractAuthenticationProcessingFilter
当用户提交其凭证时,将从 中创建一个 身份验证
。
创建的类型取决于 的子类。
例如,UsernamePasswordAuthenticationFilter
会创建一个 from 在 . AbstractAuthenticationProcessingFilter
HttpServletRequest
Authentication
AbstractAuthenticationProcessingFilter
UsernamePasswordAuthenticationToken
HttpServletRequest
接下来,将 Authentication
传递到 AuthenticationManager
中进行身份验证。
如果身份验证失败,则失败
-
RememberMeServices.loginFail
被调用。 如果未配置 Remember me,则为 no-op。 -
AuthenticationFailureHandler
被调用。
如果身份验证成功,则为 Success。
-
SessionAuthenticationStrategy
收到新登录的通知。 -
Authentication在SecurityContextHolder上设置。 稍后 将 保存到 。
SecurityContextPersistenceFilter
SecurityContext
HttpSession
-
RememberMeServices.loginSuccess
被调用。 如果未配置 Remember me,则为 no-op。 -
ApplicationEventPublisher
发布一个 .InteractiveAuthenticationSuccessEvent
-
AuthenticationSuccessHandler
被调用。