Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。
1. Spring Security中的身份认证是什么?
现在让我们考虑一下每个人都熟悉的标准身份认证场景:
(1)用户打算使用用户名和密码登陆系统
(2)系统验证用户名和密码合法
(3)得到用户信息的上下文(角色等信息)
(4)为用户建立一个安全上下文
(5)用户接下来可能执行一些权限访问机制下的受保护的操作,检查与当前安全上下文有关的必须的权限
上面前三步是身份认证的过程,接下来看看身份认证的详细过程:
(1)用户名和密码获得之后组合成 UsernamePasswordAuthenticationToken 的实例(前文讨论过的Authentication接口的实例)
(2)将该令牌传递给 AuthenticationManager 实例进行验证
(3)验证成功后,AuthenticationManager 会返回填充好的 Authentication 实例
(4)通过调用 SecurityContextHolder.getContext().setAuthentication(...) 建立安全上下文的实例,传递到返回的身份认证对象上
下面是进行身份认证的代码片段:
import org.springframework.security.authentication.*; import org.springframework.security.core.*; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.context.SecurityContextHolder; public class AuthenticationExample { private static AuthenticationManager am = new SampleAuthenticationManager(); public static void main(String[] args) throws Exception { BufferedReader in = new BufferedReader(new InputStreamReader(System.in)); while(true) { System.out.println("Please enter your username:"); String name = in.readLine(); System.out.println("Please enter your password:"); String password = in.readLine(); try { Authentication request = new UsernamePasswordAuthenticationToken(name, password); Authentication result = am.authenticate(request); SecurityContextHolder.getContext().setAuthentication(result); break; } catch(AuthenticationException e) { System.out.println("Authentication failed: " + e.getMessage()); } } System.out.println("Successfully authenticated. Security context contains: " + SecurityContextHolder.getContext().getAuthentication()); } } class SampleAuthenticationManager implements AuthenticationManager { static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>(); static { AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER")); } public Authentication authenticate(Authentication auth) throws AuthenticationException { if (auth.getName().equals(auth.getCredentials())) { return new UsernamePasswordAuthenticationToken(auth.getName(), auth.getCredentials(), AUTHORITIES); } throw new BadCredentialsException("Bad Credentials"); } }
我们写了一个小程序,要求用户输入用户名和密码并执行上述序列。我们实现的 AuthenticationManager 会验证用户名和密码是否一致,它分配了一个角色给每个用户。上面的输出类似于这样:
Please enter your username: favboy Please enter your password: favccxx Authentication failed: Bad Credentials Please enter your username: favboy Please enter your password: favboy Successfully authenticated. Security context contains: \ org.springframew[email protected]441d0230: \ Principal: bob; Password: [PROTECTED]; \ Authenticated: true; Details: null; \ Granted Authorities: ROLE_USER |
注意,你通常不需要写任何代码。这个过程通常发生在内部,如web身份认证过滤器。上面的代码仅仅是告诉我们在Spring Security中使用身份认证是如此简单的事情。当 SecurityContextHolder 包含一个填充的 Authentication 对象时用户身份就完成了。
2. 直接设置 SecurityContextHolder的内容
实际上,Spring Security并不关心如何将 Authentication对象放到SecurityContextHolder中。唯一的关键就是 SecurityContextHolder需要在用户操作认证的 AbstractSecurityInterceptor 之前已经有了Authentication对象。
对于那些不是Spring Security的系统,你可以自己写过滤器或MVC控制器与身份认证系统进行集成。比如,你可能使用容器管理的身份认证系统从ThreadLocal或JNDI中得到用户。也可能你在一个拥有遗留的身份认证系统的公司工作,这是一个企业的“标准”,对此你是无能为力的。在这种情形下,使用Spring Security提供身份认证是非常容易的,你只需要写一个过滤器读取第三方的用户信息,然后构建一个Spring Security特定的 Authentication对象,并把它放到AuthenticationContextHolder中即可。在这种情况下,你需要考虑自带的身份认证的基础信息。比如,你需要在响应到客户端之前,先创建一个HTTP session会话在请求之间缓存上下文。
3 在Web应用中使用身份认证
接下来,我们探究一下Web应用不配置web.xml安全策略的情况下如何使用Spring Security进行身份认证,如何建立用户身份认证和安全上下文?
下面是web应用身份认证的流程:
(1)访问某应用的首页,点击某个链接。
(2)发送一个请求到服务器,服务器判断用户是否正在访问受保护的资源。
(3)由于用户之前并未进行身份认证,服务器发送一个响应(该响应可能是HTTP响应代码,也可能直接跳转到某web页面)告诉用户必须进行身份认证。
(4)身份认证机制决定了浏览器是跳转到特定的web页面让用户填写form表单,或者浏览器以某种方式(基本的身份认证对话框、cookie或X.509证书)检索用户身份。
(5)浏览器发送响应(包含表单信息的HTTP POST请求或是包含用户身份认证详细信息的HTTP表头)回服务器。
(6)接下来,服务器会决定之前的凭证是否有效。如果有效的话,会进行下一步。否则的话,浏览器通常会询问是否需要重试。
(7)原始的请求会导致身份认证流程重新进行,重新判断用户有足够的权限访问受保护的资源,如果用户有权限的话,请求就是成功的。否则的话,会返回HTTP错误码403,表示用户没有权限操作。
Spring Security有具体的类负责上面的步骤,主要的类有 ExceptionTranslationFilter , AuthenticationEntryPoint 和调用AuenticationManager 的“身份认证机制”。
3.1 ExceptionTranslationFilter
顾名思义,ExceptionTranslationFilter是处理Spring Security中异常的过滤器,这些异常都是由提供身份认证服务的 AbstractSecurityInterceptor 抛出。
3.2 AuthenticationEntryPoint
上面步骤3的操作中是 AuenticationEntryPoint 的职责,你能想象每个web应用都有默认的身份认证测试,每个主要的身份认证系统都有 AuthenticationEntryPoint 实现,通常执行步骤3中描述的行动之一。
3.3 身份认证机制
一旦你的浏览器提交了验证证书(HTTP表单 POST或 HTTP头),这需要服务器上的一些东西保存这些权限信息。但是现在进入上面的第6步,在Spring Security中我们有一个特定的名称,为了手机验证信息的操作。从一个用户代理中(通常是浏览器),引用它作为一个“验证机制”。例如基于表单的登陆或BASIC验证。一旦从用户代理出收集到验证细节, Authentication请求对象就会建立,然后提交给AuthenticationManager。
身份认证机制收到填充好的 Authentication 对象之后,它会认为请求合法,把 Authentication放到SecurityContextHolder中,然后重试原始的请求(第7步)。如另一方面, AuthenticationManager拒绝了请求,身份认证机制会让用户代理重试(第2步)。
3.4 在请求间保存 SecurityContext
根据应用类型,需要一个策略在用户操作之间保存security上下文。在典型的web应用中,一次用户登陆日志随后就由它的session id所确定,服务器为保持session会话会缓存主体信息。在Spring Security中,在请求间存储SecurityContext的职责落在了 SecurityContextPersistenceFilter上,默认情况下,SecurityContextPersistenceFilter会在HTTP请求中将上下文存储在HttpSession属性上。每次请求的上下文都会存储在 SecurityContextHolder上,而且,最重要的是,当请求完成时它会清除 SecurityContextHolder。为了安全方面考虑,用户不应该直接操作 HttpSession,这里有简单的方法实现-使用 SecurityContextHolder代替。
很多其他类型的应用(比如一个无状态的REST Web服务)不会使用HTTP会话,会在每次请求时重新验证。然而,将 SecurityContextPersistenceFilter包含了请求链中仍然是非常重要的,这样就会确保在每次请求后 SecurityContextHolder会被清空。