spring security的三个核心
- 认证(你是谁)
- 授权(你能干什么)
- 攻击防护(防止伪造身份登录)
Spring security的基本原理
疑问???http.formLogin() 和 http.httpBasic()没有区别了吗?
一、SpringSecurity基本原理
image.png
请求和响应都要经过过滤器链
绿色(最核心):
用来认证用户的身份,一个方块代表一个过滤器,每一个过滤器负责处理一种认证方式;主要工作是检查当前的请求里面是不是有这个过滤器所需要的信息;对于UsernamePasswordAuthenticationFilter这个过滤器来说,首先检查当前的请求是不是一个登录请求,该请求中是否携带用户名和密码,如果带了,则该过滤器则尝试用用户名和密码作用户的登录,如果不带,则放行,到下一个过滤器。HTTPBasic过滤器会检查请求的请求头中是否有basic开头的Authentication信息,如果有,则会尝试拿出来作base64解码,然后取出用户名和密码尝试登录。按照此种方式一直往下走;任何一个过滤器成功完成了用户登录之后会在请求上做一个标记:当前用户已经认证成功了。
橙色(FilterSecurityInterceptor):
请求经过了绿色的过滤器之后,到达了该过滤器,该过滤器是整个过滤器链的最后一环,该过滤器决定了当前的请求能不能访问后面真正的服务。判断依据:
.anyRequest()//任何请求
.authenticated();//都需要身份认证
那么他就会判断当前的请求是否经过了前面某一个过滤器的身份认证,判断的结果就是过还是不过,如果过了,就到达服务;如果不过,会根据不同的原因抛出不同的异常。例如配置的是所哟请求都要经过身份认证,如果没有经过身份认证,则会抛一个没有身份认证的异常;如果配的是VIP用户才能访问,虽然经过了身份认证了,但是不是VIP用户,则会抛一个没权限的异常。会根据不能访问的原因来抛出不同的异常。
在异常抛出来以后,在该过滤器的前边还有一个过滤器Exception Translation Filter
蓝色(Exception Translation Filter):
该过滤器的作用是用来捕获后面的过滤器所抛出来的异常;会根据抛出来的异常作相应的处理,比如因为没有登录不能访问,则会根据绿色的过滤器的配置引导用户去登录,比如前面配的是UsernamePasswordAuthenticationFilter,则会把用户引导到一个登录页面中去;前面配的是Basic Authentication Filter,那么就会在浏览器弹出一个窗口,要用户输入用户名和密码。
注意:绿色的过滤器时可以通过配置来决定某一个过滤器是否生效的,其他的都是不能控制的,一定会在过滤器链并且在指定的位置上。
验证码登录、微信登录、QQ登录等都是在过滤器链上加绿色的过滤器来支持不同的身份认证方式。
实际中不止以上三种,还有很多过滤器。
Spring Security的处理逻辑用代码解释:
当我们访问localhost:8080/user时候,由于没有携带任何登录相关信息,会直接跳过前面的绿色过滤器,直接到最后的橘色FilterSecurityInterceptor拦截器中,因为我写的所有请求都要认证,所以在执行
image.png
这个beforeInvocation()的时候,抛出了一个异常,抛到了ExceptionTranslationFilter这个蓝色异常过滤器中的这段代码
image.png
实际上他做的处理就是重定向到前台的登录页面localhost:8080/login这个页面
image.png
填写用户名密码之后,来到UsernamePasswordAuthenticationFilter这个过滤器的这段代码
image.png
验证用户名密码之后又来到最后的拦截器FilterSecurityInterceptor
image.png
如果用户名密码正确,就不会抛异常,执行下边这个这个doFilter调后台服务
如果用户名密码不正确,则会抛出异常再次重定向到登录页。
网友评论