Spring Security在架構上將認證與授權分離,并提供了擴展點。它是一個輕量級的安全框架,它確保基于Spring的應用程序提供身份驗證和授權支持。它與Spring MVC有很好地集成 ,并配備了流行的安全算法實現捆綁在一起。
1.客戶端發起一個請求,進入 Security 過濾器鏈。
2.當到 LogoutFilter 的時候判斷是否是登出路徑,如果是登出路徑則到 logoutHandler ,如果登出成功則到 logoutSuccessHandler 登出成功處理,如果登出失敗則由 ExceptionTranslationFilter ;如果不是登出路徑則直接進入下一個過濾器。
3.當到 UsernamePasswordAuthenticationFilter 的時候判斷是否為登錄路徑,如果是,則進入該過濾器進行登錄操作,如果登錄失敗則到 AuthenticationFailureHandler 登錄失敗處理器處理,如果登錄成功則到 AuthenticationSuccessHandler 登錄成功處理器處理,如果不是登錄請求則不進入該過濾器。
4.當到 FilterSecurityInterceptor 的時候會拿到 uri ,根據 uri 去找對應的鑒權管理器,鑒權管理器做鑒權工作,鑒權成功則到 Controller 層否則到 AccessDeniedHandler 鑒權失敗處理器處理。
1)Shiro比Spring Security更容易使用,也就是實現上簡單一些,同時基本的授權認證Shiro也基本夠用
2)Spring Security社區支持度更高,Spring社區的親兒子,支持力度和更新維護上有優勢,同時和Spring這一套的結合較好。
3)Shiro功能強大、且 簡單、靈活。是Apache 下的項目比較可靠,且不跟任何的框架或者容器綁定,可以獨立運行。
SpringSecurity中提供了專業的方式來解決預檢請求所面臨的問題:
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
? ? @Override
? ? protected void configure(HttpSecurity http) throws Exception {
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? ? ? .anyRequest().authenticated()
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .httpBasic()
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? // 開啟跨域配置
? ? ? ? ? ? ? ? .cors()
? ? ? ? ? ? ? ? .configurationSource(corsConfigurationSource())
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .csrf().disable();
? ? }
? ? CorsConfigurationSource corsConfigurationSource() {
? ? ? ? // 提供CorsConfiguration實例,并配置跨域信息
? ? ? ? CorsConfiguration corsConfiguration = new CorsConfiguration();
? ? ? ? corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
? ? ? ? corsConfiguration.setAllowedMethods(Arrays.asList("*"));
? ? ? ? corsConfiguration.setAllowedOrigins(Arrays.asList("http://localhost:8081"));
? ? ? ? corsConfiguration.setMaxAge(3600L);
? ? ? ? UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
? ? ? ? source.registerCorsConfiguration("/**", corsConfiguration);
? ? ? ? return source;
? ? }
}
cors()方法開啟了對CorsConfigurer的配置,其最重要的方法就是configure方法:
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
? ? @Override
? ? protected void configure(HttpSecurity http) throws Exception {
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? ? ? .anyRequest().authenticated()
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .httpBasic()
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? // 開啟跨域配置
? ? ? ? ? ? ? ? .cors()
? ? ? ? ? ? ? ? .configurationSource(corsConfigurationSource())
? ? ? ? ? ? ? ? .and()
? ? ? ? ? ? ? ? .csrf().disable();
? ? }
? ? CorsConfigurationSource corsConfigurationSource() {
? ? ? ? // 提供CorsConfiguration實例,并配置跨域信息
? ? ? ? CorsConfiguration corsConfiguration = new CorsConfiguration();
? ? ? ? corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
? ? ? ? corsConfiguration.setAllowedMethods(Arrays.asList("*"));
? ? ? ? corsConfiguration.setAllowedOrigins(Arrays.asList("http://localhost:8081"));
? ? ? ? corsConfiguration.setMaxAge(3600L);
? ? ? ? UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
? ? ? ? source.registerCorsConfiguration("/**", corsConfiguration);
? ? ? ? return source;
? ? }
}
拿到CorsFilter之后,調用http.addFilter方法將其添加到spring security過濾器鏈中,在過濾器鏈構建之前,會先對所有的過濾器進行排序,排序的依據在FilterOrderRegistration中已經定義好了:
FilterOrderRegistration() {
? ? Step order = new Step(INITIAL_ORDER, ORDER_STEP);
? ? put(ChannelProcessingFilter.class, order.next());
? ? order.next(); // gh-8105
? ? put(WebAsyncManagerIntegrationFilter.class, order.next());
? ? put(SecurityContextPersistenceFilter.class, order.next());
? ? put(HeaderWriterFilter.class, order.next());
? ? put(CorsFilter.class, order.next());
? ? put(CsrfFilter.class, order.next());
? ? put(LogoutFilter.class, order.next());
? ? // ...
}
可以看到,CorsFilter的位置在HeaderWriterFilter之后,在CsrfFilter之前,這個時候還沒到認證過濾器。Spring security根據開發者提供的CorsConfigurationSource對象構建出一個CorsFilter,并將該過濾器置于認證過濾器之前。
Spring Security 提供了多種加密算法的實現,開箱即用,非常方便。這些加密算法實現類的父類是 PasswordEncoder ,如果你想要自己實現一個加密算法的話,也需要繼承 PasswordEncoder。
PasswordEncoder 接口一共也就 3 個必須實現的方法。
public?interface?PasswordEncoder?{
????//?加密也就是對原始密碼進行編碼
????String?encode(CharSequence?var1);
????//?比對原始密碼和數據庫中保存的密碼
????boolean?matches(CharSequence?var1,?String?var2);
????//?判斷加密密碼是否需要再次進行加密,默認返回?false
????default?boolean?upgradeEncoding(String?encodedPassword)?{
????????return?false;
????}
}
官方推薦使用基于 bcrypt 強哈希函數的加密算法實現類。
推薦的做法是通過 DelegatingPasswordEncoder 兼容多種不同的密碼加密方案,以適應不同的業務需求。
DelegatingPasswordEncoder 其實就是一個代理類,并非是一種全新的加密算法,它做的事情就是代理上面提到的加密算法實現類。在 Spring Security 5.0 之后,默認就是基于 DelegatingPasswordEncoder 進行密碼加密的。
● permitAll() :無條件允許任何形式訪問,不管你登錄還是沒有登錄。
● anonymous() :允許匿名訪問,也就是沒有登錄才可以訪問。
● denyAll() :無條件決絕任何形式的訪問。
● authenticated():只允許已認證的用戶訪問。
● fullyAuthenticated() :只允許已經登錄或者通過 remember-me 登錄的用戶訪問。
● hasRole(String) : 只允許指定的角色訪問。
● hasAnyRole(String) : 指定一個或者多個角色,滿足其一的用戶即可訪問。
● hasAuthority(String) :只允許具有指定權限的用戶訪問
● hasAnyAuthority(String) :指定一個或者多個權限,滿足其一的用戶即可訪問。
● hasIpAddress(String) : 只允許指定 ip 的用戶訪問。
官方微信
官方抖音
京公網安備 11030102010736號