Spring Security里的Authentication
Spring Security里的Authentication
关于Spring Security里的Authentication,官方文档( http://docs.spring.io/spring-security/reference/servlet/authentication/architecture.html )总结的不错。理解这些classes的作用与关系是正确使用Spring Security Authentication的前提。
认证的方式不同,认证逻辑就不同,这样每个认证方式都会有对应的fitler实现。执行认证的大致流程以 AbstractAuthenticationProcessingFilter 为例描述一下。不同类别的 Authentication Filter 的处理略有差异,但大体逻辑差不多:
- Authentication Filter 接收请求 http request。
- 从request中获取凭证(credential)等数据,封装在Authentication对象中,比如:OAuth2LoginAuthenticationToken, UsernamePasswordAuthenticationToken等。
- 用AuthenticationManager向对其传入的Authentication 进行实际的认证工作。
- 认证成功的处理,比如保存设置了授权信息的Authentication到SecurityContext中。
- 失败进行处理。
1. Authentication Filter 接收请求
当用户发送了http request进行认证,将被负责authentication的filter处理。这些filters实际的认证工作大多数(不是全部)都是由 AuthenticationManager 完成的。比如,像AbstractPreAuthenticatedProcessingFilter这些类本身就是接收的是第三方已经认证的请求,所以无需AuthenticationManager。另外像AnonymousAuthenticationFilter也无需AuthenticationManager的参与。 所以虽然都是认证,但是因为不同场景处理的逻辑不同,所以与AuthenticationFilter相关类的父类并不相同。大致可以分成以下三类。
1)继承自 AbstractAuthenticationProcessingFilter 的authentication fitler class 有3个。
public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter
public class OAuth2LoginAuthenticationFilter extends AbstractAuthenticationProcessingFilter
public class Saml2WebSsoAuthenticationFilter extends AbstractAuthenticationProcessingFilter
2)继承自 AbstractPreAuthenticatedProcessingFilter 的类有5个。
3)其它分别直接继承 OncePerRequestFilter 和 GenericFilterBean,比如:OncePerRequestFilter 较 GenericFilterBean可以保证只被filters处理一次。
public class BearerTokenAuthenticationFilter extends OncePerRequestFilter
public class BasicAuthenticationFilter extends OncePerRequestFilter
public class AnonymousAuthenticationFilter extends GenericFilterBean
public class RememberMeAuthenticationFilter extends GenericFilterBean2. Request to Authentication
Authentication这个类在认证前主要用于承载认证需要的凭证信息,比如用户名密码。authentication 对象也就等同于一个authentication request的event,并包含请求者进行认证所必须的信息。
3. AuthenticationManager
authentication对象会传递给AuthenticationManager 的方法authenticate()做认证。
AuthenticationManager是个interface,它的实现类如下图片所示。
在认证后,principal的授权信息会被写在authentication对象的authorities字段。下图摘自《Spring Security in Action》,使用username password做认证。
如上图所示的,具体的认证工作是委托给AuthenticationProvider完成的。在Spring Security的代码实现中,也并不是由AuthenticationManager直接包含一组AuthenticationProvider的方式完成,中间还有一个叫做ProviderManager的类,下面列出它的两个关键字段体会下。
public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
private List<AuthenticationProvider> providers = Collections.emptyList();
private AuthenticationManager parent;
... ...
}可以看到ProviderManager包含的不是一个provider而是a list of providers。通过提供一组providers就向用户提供了更多灵活控制的可能性。当然随之而来的就是这里就需要明确定义providers的认证结果以谁为准的规则。源码authenticate()的doc说得很明白: Attempts to authenticate the passed Authentication object. The list of AuthenticationProviders will be successively tried until an AuthenticationProvider indicates it is capable of authenticating the type of Authentication object passed. Authentication will then be attempted with that AuthenticationProvider. If more than one AuthenticationProvider supports the passed Authentication object, the first one able to successfully authenticate the Authentication object determines the result, overriding any possible AuthenticationException thrown by earlier supporting AuthenticationProviders. On successful authentication, no subsequent AuthenticationProviders will be tried. If authentication was not successful by any supporting AuthenticationProvider the last thrown AuthenticationException will be rethrown.
让我们对比一下AuthenticationManger和AuthenticationProvider这两个interface的定义。看了下面的定义,你会不会问一个问题:既然两个接口有一个一摸一样的方法authentication(),为什么不让AuthenticationProvider继承AuthenticationManager?我想或许是为了明确两个类的职责是原因之一吧。
以图形的方式看看它们的关系:
如果我们要实现某个特殊的在Spring里没有的认证方式,我们就需要实现自定的AuthenticationProvider并通过覆盖WebSecurityConfigurerAdapter里的configure()方法实现。
@Configuration
public class ProjectConfig extends WebSecurityConfigurerAdapter {
@Autowired
private AuthenticationProvider authenticationProvider;
@Override
protected void configure(AuthenticationManagerBuilder auth) {
auth.authenticationProvider(authenticationProvider);
}不过这个类已经被官方API文档标为Deprecated,并推荐使用HttpSecurity定义SecurityFilterChain的方式或者通过WebSecurityCustomizer来配置WebSecurity。参考源码:
到这里我们应该已经知道具体的认证逻辑都在AuthenticationProvider里。想知道Spring Security提供了哪些开箱即用的provider吗?见下图,一共17个:
再捋一下与认证相关的类,就结束这篇吧。虽然没有涉及过多细节,相信理解了这些脉略应该也能在copy-past代码的时候点点头了。。。 SecurityContextHolder:保存SecurityContext的地方。 SecurityContextHolderStrategy:定义SecurityContext在线程中共享的策略模式。如果要跨线越Spring管理的线程,请参考 。。。。 SecurityContext - 认证成功后Authentication对象就放在这里。 Authentication - 存放要认证的信息以及被 AuthenticationManager 认证后的结果,认证成功后被放入SecurityContext。 GrantedAuthority - 请求认证的principal认证成功后被赋予的权限(i.e. roles, scopes, etc.) AuthenticationManager - authentication相关的filter调用这个对象做认证。 AbstractAuthenticationProcessingFilter:各个认证相关filter的父类。 ProviderManager - AuthenticationManager的一个实现. AuthenticationProvider - 由ProviderManager 用来做具体的认证。 AuthenticationEntryPoint: 用于询问并接收用户的credentials,可以是重定向到一个网页或者发送http WWW-Authenticate response。
我想现在我们看到下面这些类时,就应该能够大致知道/理解他们在Spring Security Authentication类图里的位置了吧? UserDetails, User UserDetailsService, UserDetailsManager, JdbcUserDetailsManager PasswordEncoder 如果没有,一定是我还没描述清楚。
References: [1]: https://docs.spring.io/spring-security/reference/servlet/authentication/architecture.html [2]: 《Spring Security in Action》