Spring 系列
- IoC 容器
- AOP
- SpringMVC
- Spring 事务
- Spring 源码故事(瞎编版)
- Spring 整体脉络
- Spring 类解析
- Spring 自定义标签解析
- Spring Scan 包扫描
- Spring 注解工具类
- Spring 别名注册
- Spring 标签解析类
- Spring ApplicationListener
- Spring messageSource
- Spring 自定义属性解析器
- Spring 排序工具
- Spring-import 注解
- Spring-定时任务
- Spring StopWatch
- Spring 元数据
- Spring 条件接口
- Spring MultiValueMap
- Spring MethodOverride
- Spring BeanDefinitionReaderUtils
- Spring PropertyPlaceholderHelper
- Spring-AnnotationFormatterFactory
- Spring-Formatter
- Spring-Parser
- Spring-Printer
- Spring5 新特性
- Spring RMI
- Spring Message
- SpringBoot
- SpringBootBatch
- Spring Cloud
- SpringSecurity
MyBatis
- 基础支持层
- 核心处理层
- 类解析
Netty
- 网络 IO 技术基础
- JDK1.8 NIO 包 核心组件源码剖析
- Netty 粘拆包及解决方案
- Netty 多协议开发
- 基于 Netty 开发服务端及客户端
- Netty 主要组件的源码分析
- Netty 高级特性
- Netty 技术细节源码分析
Dubbo
- 架构设计
- SPI 机制
- 注册中心
- 远程通信
- RPC
- 集群
Tomcat
- Servlet 与 Servlet 容器
- Web 容器
Redis
Nacos
Sentinel
RocketMQ
- RocketMQ NameServer 与 Broker 的通信
- RocketMQ 生产者启动流程
- RocketMQ 消息发送流程
- RocketMQ 消息发送存储流程
- RocketMQ MappedFile 内存映射文件详解
- RocketMQ ConsumeQueue 详解
- RocketMQ CommitLog 详解
- RocketMQ IndexFile 详解
- RocketMQ 消费者启动流程
- RocketMQ 消息拉取流程
- RocketMQ Broker 处理拉取消息请求流程
- RocketMQ 消息消费流程
番外篇(JDK 1.8)
- 基础类库
- 集合
- 并发编程
学习心得
SpringSecurity 请求全过程解析
Spring Security 请求全过程解析
Spring Security 是一款基于 Spring 的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架 Apache Shiro 相比,它拥有更为强大的功能。Spring Security 也可以轻松的自定义扩展以满足各种需求,并且对常见的 Web 安全攻击提供了防护支持。如果你的 Web 框架选择的是 Spring,那么在安全方面 Spring Security 会是一个不错的选择。
这里我们使用 Spring Boot 来集成 Spring Security,Spring Boot 版本为2.5.3,Spring Security 版本为5.5.1。
开启 Spring Security
使用 IDEA 创建一个 Spring Boot 项目,然后引入spring-boot-starter-security:
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-security'
implementation 'org.springframework.boot:spring-boot-starter-web'
implementation 'org.projectlombok:lombok:1.18.8'
annotationProcessor 'org.projectlombok:lombok:1.18.8'
providedRuntime 'org.springframework.boot:spring-boot-starter-tomcat'
testImplementation 'org.springframework.boot:spring-boot-starter-test'
testImplementation 'org.springframework.security:spring-security-test'
}
接下来我们创建一个HelloController,对外提供一个/hello服务:
@RestController
public class HelloController {
@GetMapping("hello")
public String hello() {
return "hello world";
}
}
这时候我们直接启动项目,访问http://localhost:8080/hello,可以看到页面跳转到一个登陆页面:
默认的用户名为 user,密码由 Sping Security 自动生成,回到 IDEA 的控制台,可以找到密码信息:
Using generated security password: 4f06ba04-37e9-4bdd-a085-3305260da0d6
输入用户名 user,密码 4f06ba04-37e9-4bdd-a085-3305260da0d6 后,我们便可以成功访问/hello接口。
基本原理
Spring Security 默认为我们开启了一个简单的安全配置,下面让我们来了解其原理。
当 Spring Boot 项目配置了 Spring Security 后,Spring Security 的整个加载过程如下图所示:
而当我们访问http://localhost:8080/hello时,代码的整个执行过程如下图所示:
如上图所示,Spring Security 包含了众多的过滤器,这些过滤器形成了一条链,所有请求都必须通过这些过滤器后才能成功访问到资源。
下面我们通过 debug 来验证这个过程:
首先,通过前面可以知道,当有请求来到时,最先由DelegatingFilterProxy负责接收,因此在DelegatingFilterProxy的doFilter()的首行打上断点:
接着DelegatingFilterProxy会将请求委派给FilterChainProxy进行处理,在FilterChainProxy的首行打上断点:
FilterChainProxy会在doFilterInternal()中生成一个内部类VirtualFilterChain的实例,以此来调用 Spring Security 的整条过滤器链,在VirtualFilterChain的doFilter()首行打上断点:
接下来VirtualFilterChain会通过currentPosition依次调用存在additionalFilters中的过滤器,其中比较重要的几个过滤器有:UsernamePasswordAuthenticationFilter、DefaultLoginPageGeneratingFilter、AnonymousAuthenticationFilter、ExceptionTranslationFilter、FilterSecurityInterceptor,我们依次在这些过滤器的doFilter()的首行打上断点:
准备完毕后,我们启动项目,然后访问http://localhost:8080/hello,程序首先跳转到DelegatingFilterProxy的断点上:
此时delegate还是 null 的,接下来依次执行代码,可以看到delegate最终被赋值一个FilterChainProxy的实例:
接下来程序依次跳转到FilterChainProxy的doFilter()和VirtualFilterChain的doFilter()中:
接着程序跳转到AbstractAuthenticationProcessingFilter(UsernamePasswordAuthenticationFilter的父类)的doFilter()中,通过requiresAuthentication()判定为 false(是否是 POST 请求):
接着程序跳转到DefaultLoginPageGeneratingFilter的doFilter()中,通过isLoginUrlRequest()判定为 false(请求路径是否是/login):
接着程序跳转到AnonymousAuthenticationFilter的doFilter()中,由于是首次请求,此时SecurityContextHolder.getContext().getAuthentication()为 null,因此会生成一个AnonymousAuthenticationToken的实例:
接着程序跳转到ExceptionTranslationFilter的doFilter()中,ExceptionTranslationFilter负责处理FilterSecurityInterceptor抛出的异常,我们在 catch 代码块的首行打上断点:
接着程序跳转到FilterSecurityInterceptor的doFilter()中,依次执行代码后程序停留在其父类(AbstractSecurityInterceptor)的attemptAuthorization()中:
accessDecisionManager是AccessDecisionManager(访问决策器)的实例,AccessDecisionManager主要有 3 个实现类:AffirmativeBased(一票通过),ConsensusBased(少数服从多数)、UnanimousBased(一票否决),此时AccessDecisionManager的的实现类是AffirmativeBased,我们可以看到程序进入AffirmativeBased的decide()中:
从上图可以看出,决策的关键在voter.vote(authentication, object, configAttributes)这句代码上,通过跟踪调试,程序最终进入AuthenticationTrustResolverImpl的isAnonymous()中:
isAssignableFrom()判断前者是否是后者的父类,而anonymousClass被固定为AnonymousAuthenticationToken.class,参数authentication由前面AnonymousAuthenticationFilter可以知道是AnonymousAuthenticationToken的实例,因此isAnonymous()返回 true,FilterSecurityInterceptor抛出AccessDeniedException异常,程序返回ExceptionTranslationFilter的 catch 块中:
接着程序会依次进入DelegatingAuthenticationEntryPoint、LoginUrlAuthenticationEntryPoint中,最后由LoginUrlAuthenticationEntryPoint的commence()决定重定向到/login:
后续对/login的请求同样会经过之前的执行流程,在DefaultLoginPageGeneratingFilter的doFilter()中,通过isLoginUrlRequest()判定为 true(请求路径是否是/login),直接返回login.html,也就是我们开头看到的登录页面。
当我们输入用户名和密码,点击Sign in,程序来到AbstractAuthenticationProcessingFilter的doFilter()中,通过requiresAuthentication()判定为 true(是否是 POST 请求),因此交给其子类UsernamePasswordAuthenticationFilter进行处理,UsernamePasswordAuthenticationFilter会将用户名和密码封装成一个UsernamePasswordAuthenticationToken的实例并进行校验,当校验通过后会将请求重定向到我们一开始请求的路径:/hello。
后续对/hello的请求经过过滤器链时就可以一路开绿灯直到最终交由HelloController返回"Hello World"。
参考
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论