Web安全
在SpringSecurity中,认证、授权等功能都是基于过滤器来完成的。如下表:
| 过滤器 | 过滤器作用 | 是否默认加载 |
|---|---|---|
| ChannelProcessingFilter | 过滤请求协议,如HTTPS和HTTP | 否 |
| WebAsyncManagerIntegrationFilter | 将WebAsyncManager与Spring Security上下文进行集成 | 是 |
| SecurityContextPersistenceFilter | 在处理请求之前,将安全信息加载导SecurityContextHolder中以方便后续使用。请求结束后,在移除SecurityContextHolder中的信息 | 是 |
| HeaderWiterFilter | 头信息加入到响应中 | 是 |
| CorsFilter | 处理跨域问题 | 否 |
| CsrfFilter | 处理CSRF攻击 | 是 |
| LogoutFilter | 处理注销登录 | 是 |
| OAuth2AuthorizationRequestRedirectFilter | 处理OAuth2认证重定向 | 否 |
| Saml2WebSsoAuthenticationRequestFilter | 处理SAML认证 | 否 |
| X509AuthenticationFilter | 处理X509认证 | 否 |
| AbstractPreAuthenticatedProcessingFilter | 处理预认证问题 | 否 |
| CasAuthenticationFilter | 处理CAS单点登录 | 否 |
| OAuth2LoginAuthenticationFilter | 处理OAuth2认证 | 否 |
| Saml2WebSsoAuthenticationFilter | 处理SAML认证 | 否 |
| UsernamePasswordAuthenticationFilter | 处理表单登录 | 是 |
| OpenIDAuthenticationFilter | 处理OpenID认证 | 否 |
| DefaultLoginPageGeneratingFilter | 配置默认登录页面 | 是 |
| DefaultLogoutPageGeneratingFilter | 配置默认注销页面 | 是 |
| ConcurrentSessionFilter | 处理Session有效期 | 否 |
| DigestAuthenticationFilter | 处理HTTP摘要认证 | 否 |
| BearerTokenAuthenticationFilter | 处理OAuth2认证时的Access Token | 否 |
| BasicAuthenticationFilter | 处理HttpBasic登录 | 是 |
| RequestCacheAwareFilter | 处理请求换成 | 是 |
| SecurityContextHolderAwareRequestFilter | 包装原始请求 | 是 |
| JaasApiIntegrationFilter | 处理JAAS认证 | 否 |
| RememberMeAuthenticationFilter | 处理RememberMe登录 | 否 |
| AnonymousAuthenticationFilter | 配置匿名认证 | 是 |
| OAuth2AuthorizationCodeGrantFilter | 处理OAuth2认证中的授权码 | 否 |
| SessionManagementFilter | 处理Session并发问题 | 是 |
| ExceptionTranslationFilter | 处理异常认证/授权中的情况 | 是 |
| FilterSecurityInterceptor | 处理授权 | 是 |
| SwitchUserFilter | 处理账户切换 | 否 |
此处默认加载是指引入 Spring Security依赖之后,不用任何配置,就会自动加载的过滤器
我们所见到SpringSecurity提供的功能,都是通过这些过滤器来实现的,这些过滤器按照既定的优先级排列,最终行程一个过滤器链。我们也可以自定义过滤器,并通过@Order来调整自定义过滤器在过滤链中的位置。
需要注意的是,默认过滤器并不是直接放在Web项目的原生过滤器链中,而是通过一个FilterChainProxy来统一管理。SpringSecurity中的过滤链通过FilterChainProxy嵌入到Web项目的原生过滤器链中,如下:
在SpringSecurity中,这样的过滤器链不仅仅只有一个,可能会有多个,当存在多个过滤器链时,多个过滤器链之间要指定优先级,当请求到达后,会从FilterChainProxy进行分发,先和哪个过滤器链匹配上,就用哪个过滤器链进行处理。当系统中存在多个不同的认证体系时,那么使用多个过滤器链就是非常有效。
登录数据保存
如果不使用SpringSecurity这一类的安全管理框架,我们以往通常会将用户登录数据保存在Session中,事实上,SpringSecurity也是这么做的。但是,为了方便SpringSecurity在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。
当用户登录成功后。SpringSecurity会将登录成功的用户保存到SecurityContextHolder中,SpringSecurityContextHolder中的数据保存默认是通过ThreadLocal来实现的,使用ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,SpringSecurity会将SecurityContextHolder中的数据拿出来保存到Session中,同时将SecurityContextHolder中的数据情况,以后每当请求来时,SpringSecurity就会先从Session中取出登录数据,保存到SpringContextHolder中,方便在该请求的后续处理过程中使用,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后在清空SecurityContextHolder中的数据。
这一策略非常方便用户在Controller或者Service层获取当前登录用户数据,但是带来的另一个问题就算,在子线程中想要获取用户登录数据就比较麻烦。SpringSecurity对此也提供了响应的解决方案,如果我们使用@Async注解来开启异步任务的话,那么只需要添加如下配置,使用SpringSecurity提供的异步任务代理,就可以在异步任务中从SecurityContextHolder里获取当前登录的用户信息。
@Configuration public class ApplicationConfiguration extends AsyncConfigurerSupport { @Override public Executor getAsyncExecutor() { return new DelegatingSecurityContextExecutorService(Executors.newFixedThreadPool(5)) } }
