Spring Security 认证与授权流程

<>Spring Security 认证与授权流程

<>SpringSecurity的完整流程

SpringSecurity实际上就是在API上添加了一组过滤器链

认证流程：

* 请求进来后先经过用户名密码认证过滤器（这个在使用JWT的情况下会被我们自己实现的 JwtAuthenticationTokenFilter
代替）,只要用户的请求满足该过滤器的条件,即认证成功(这些都是我们后续在代码中自己实现).如果不满足则放行给下一个；
* 请求继续向后，经过 BasicAutenticationFilter 继续进行认证,直到最后FilterSecurityInterceptor
拦截器,它是API的最后一环,由它来决定请求是否能到达具体的API。简单来说，就是负责权限校验（利用SecurityContextHolder
来获取用户的权限相关信息）;
* 它会根据我们配置的一些要求，来进行判断，如果不通过则抛出异常
* 例如某API要求请求必须经过认证，则在最后一个拦截器处，请求如果没有进行认证，则抛出对应的异常
* 比如某API要求请求具有VIP2的权限，则最后一个拦截器会判断该请求是否具有VIP2权限
* ExceptionTranslationFilter 的作用主要是捕获 FilterSecurityInterceptor 抛出的异常(
AccessDeniedException 和 AuthenticationException ),并做响应的处理
* 绿色的部分可以通过配置来决定是否存在于过滤器链上,即由我们来决定使用哪些认证方式
SpringSecurity为什么不用拦截器链？

从可控性来说的话，过滤器是servlet层面的，拦截器是spring层面的。也就是说，既然要做权限控制，最好就是从请求入口开始处理
，也就是servlet层面，而不应该放在所有的过滤器后面再处理，某些请求很可能因为被过滤器处理掉了导致后续拦截器无法处理。

<>认证流程详解

概念速查：

*
Authentication接口：它的实现类，表示当前访问系统的用户，封装了用户相关信息。

*
AuthenticationManager接口： 定义了认证Authentication的方法 ，管理着所有能进行认证的Provider

例如：用于账号密码校验的provider，或者用于微信登录的第三方登录provider，
Manager会对这些Provider进行轮询然后调用具体的provider进行认证，认证成功后会返回一个封装了用户信息和状态的Authentication

*
AuthenticationProvider：此Provider会对登录进行校验，它会调用一个UserDetailsService的实现类的方法（
根据业务逻辑自己实现）来进行校验

例如：我们可以自己写一个UserDetailsService的实现类UserDetailsServiceImpl，其中重写了
loadUserByUsername的方法。

如果在这个loadUserByUsername方法中返回有UserDetails对象，则会将UserDetails对象中的密码与用户输入的密码进行校验。

* 校验成功后会调用SuccessHandler（我们自己实现的认证成功处理器）并将这个UserDetails封装到Authentication
对象，返回到Mannager中。
* 校验失败后会调用对应的FailureHandler（我们自己实现的认证失败处理器），并由我们后端逻辑返回对应的错误信息
*
UserDetails：封装用户信息的类，默认实现类是User类，可自定义。

登录逻辑

*
Security根据我们配置的拦截路径（/user/login）对所有请求进行拦截

*
当遇到是登录请求时，会将请求拦截下来将用户信息封装成authentication对象交给AuthenticationManager的authentic
()方法进行认证

*
AuthenticationManager负责管理所有能进行认证的provider，当需要认证时manager会轮询所有provider并选择合适的
provider进行authentic()方法认证

*
provider对登录进行校验，并调用UserDetailsService的实现类去查找用户，service找到user后（根据自己逻辑实现）返回给
provider

*
由provider进行密码校验（使用BCryptPasswordEncoder验证密码）

这里需要我们自己去注入一个编码对象BCryptPasswordEncoder，否则springsecurity
在进行密码验证时会为密码加入一个前缀，这里我就不详细说明了

*
验证成功后封装成Authentication对象返回给上层manager即认证成功，并且调用SuccessHandler进行处理（根据自己逻辑实现）

*
验证失败时调用FailureHandler进行处理（根据自己逻辑实现）

思考

*
我们如果要实现自己的其他登录方式比如手机验证码登录、邮箱验证码登录等就需要实现自己的provider以及service等。

因为默认的UsernamePasswordAuthenticationFilter是有进行认证的Provider的，所以这里我们就只需要实现自己的
UserDetailsService、SuccessHandler、FailureHandler就可以了

*
默认的UsernamePasswordAuthenticationFilter
还需要注意一点的是在使用用户名密码登录的情况下，Security默认是获取post请求，请求体中的参数，
所以默认情况下前端在发送登录请求时不能使用json来传递登录信息（我们一般会自己写一个登录接口，并没有启用这个
UsernamePasswordAuthenticationFilter，所以能够接受json数据）

<>授权基本流程

在SpringSecurity中，会使用默认的FilterSecurityInterceptor来进行权限校验。在
FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication
，然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。

​ 所以我们在项目中每次客户端发送请求时，将该请求通过过滤器去拦截。然后只需要从JWT中得到用户的权限信息存入Authentication，并将其存入
SecurityContextHolder中。

​ 然后设置我们的资源所需要的权限即可。

<>登录流程思路

登录：

*
自定义登录接口

* 调用ProviderManager的authentic()方法进行认证，如果认证通过生成jwt
* 把用户信息存入redis中（这是我的实现方式，你也可以不这样实现。例如你可以直接将用户的非敏感信息存入JWT的subject中）
*
自定义UserDetailsService

重写loadUserByUsername方法，在这个方法中去查询数据库

校验：

* 定义Jwt认证过滤器
* 获取token
* 解析token获取其中的userid（我自己的实现方式）
* 从redis中获取用户信息，例如权限相关的信息
* 将用户信息存SecurityContextHolder，授权也在这一步实现

• « 上一篇：用户登录程序C语言实现
• » 下一篇：matlab雷达目标回波仿真