spring security架构（一）

安全归根节点须要解决两个问题：

• 鉴权(authentication)--我是谁？
• 受权(authorization)--容许我作什么？

后者有些时候也被人们叫作“访问控制”（access control）。spring security 是一个将鉴权和受权分开的安全框架。包含策略，同时提供对二者的扩展能力。

Authencation Architecture

下图描绘了spring security在鉴权处理流程中涉及到的类和过滤器。

1.  外部的http请求访问内部受保护的Resful API以前，须要通过一系列的安全过滤器。这些被spring security设定的过滤器，用于鉴权和受权的目的。当用户的鉴权请求从外部进入时，将通过这条过滤器链，基于鉴权机制和模型，找到相应的Authentication Filter。好比说：
   • HTTP Basic authentication request 通过“过滤链”，直到它到达BasicAuthenticationFilter 过滤器进行处理。
   • HTTP Digest authentication request 通过“过滤链”，直到它到达DigestAuthenticationFilter 过滤器进行处理。
   • login form authentication request 通过“过滤链”，直到它到达UsernamePasswordAuthenticationFilter过滤器进行处理。
   • x509 authentication request 通过“过滤链”，直到它到达X509AuthenticationFilter 过滤器进行处理。
2. 一旦鉴权请求被相应的Authentication Filter接收，该过滤器将会从接收的请求中提取出用户名和密码，基于这些用户信息，建立一个  UsernamePasswordAuthenticationToken 对象，注意，该类实现了 Authentication 接口。
3. UsernamePasswordAuthenticationToken  对象建立成功后，被用来做为 AuthenticationManager 中 authenticate() 方法的入参。 AuthenticationManager 仅仅是一个接口:

   public interface AuthenticationManager{
     Authentication authenticate(Authentication authentication)throws AuthenticationException;
   }
   

   实际实现类是 ProviderManager 。该实现类包含了一系列配置的 AuthenticationProvider (s), 这些provider受ProvideManager委托，用于用户请求的鉴权。

4. 具体到实现细节， ProviderManager 会遍历每一个AuthenticationProvider，根据传入的Authentication对象（例如： UsernamePasswordAuthenticationToken ）尝试鉴权用户。AuthenticationProvider 接口以下所示：

   public interface AuthenticationProvider { 
       Authentication authenticate(Authentication authentication) throws AuthenticationException; 
       boolean supports(Class<?> authentication);
   }
   

   这里是一些Spring security框架提供的AuthenticationProvider：

   • CasAuthenticationProvider
   • JaasAuthenticationProvider
   • DaoAuthenticationProvider
   • OpenIDAuthenticationProvider
   • RememberMeAuthenticationProvider
   • LdapAuthenticationProvider
5. 有些AuthenticationProvider可能会使用 UserDetailsService ，用于获取用户的详细信息。好比说 DaoAuthenticationProvider 可能须要根据传入的用户名从数据库中获取该用户的详细信息。

   public interface UserDetailsService{
     UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
   }
   

    

6.  UserDetailsService 返回 UserDetails 。而 User 是 UserDetails 的具体实现类，固然用户也能够自行实现 UserDetails 接口。

7. 同6

8.  若是用户鉴权成功，则返回Authentication对象，相比于传入的未鉴权的对象，这个鉴权后的的对象更“丰满”，包含了用户的角色信息

　　　　

从上图能够看出，鉴权成功的Authentication对象（Fully populated Authentication Object）包含:

　　authenticated- true

　　grant authorities list ：关联的角色（角色和权限挂钩）

　　user credentials：用户凭证（仅仅包含用户名）

若是鉴权未经过，则抛出异常 AuthenticationException 。该异常属于运行时异常，不指望用户经过try/catch去处理，spring security提供了一种通用的方式。即经过AuthenticationEntryPoint 处理：

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .exceptionHandling()
            .authenticationEntryPoint(unauthorizedHandler);
    }

　　9. Authentication is done！ 鉴权成功后，AuthenticationManager返回包含完整信息的鉴权对象给相关的Authentication Filter。

 　10. 将返回的鉴权对象保存到SecurityContext，用于后续过滤器的使用。好比Authorization Filters 　　

SecurityContextHolder.getContext().setAuthentication(authentication);

　　

 Reference

https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/