spring security 认证流程分析
Spring Security 认证流程分析
Spring Security 的认证流程是一个模块化且可扩展的过程,核心围绕 过滤器链 和 认证组件 协作实现。以下是详细流程分析:
1. 请求拦截与过滤器链
• 入口:所有 HTTP 请求经过 Spring Security 的过滤器链。
• 关键过滤器:
• SecurityContextPersistenceFilter:从存储(如 Session)加载或初始化 SecurityContext。
• UsernamePasswordAuthenticationFilter:处理表单登录请求,提取用户名密码。
• OAuth2LoginAuthenticationFilter:处理 OAuth2 第三方登录流程。
• AnonymousAuthenticationFilter:为未认证用户赋予匿名身份(默认角色 ROLE_ANONYMOUS)。
2. 认证信息提取与封装
• 认证方式:根据请求类型(表单、OAuth2、HTTP Basic 等)提取凭证。
• 创建 Authentication 对象:
// 示例:表单登录创建 UsernamePasswordAuthenticationToken
Authentication authRequest = new UsernamePasswordAuthenticationToken(username, password);
3. 认证管理器(AuthenticationManager)
• 核心接口:AuthenticationManager 是认证入口,默认实现为 ProviderManager。
• 职责:遍历所有 AuthenticationProvider,找到支持当前 Authentication 类型的提供者。
public interface AuthenticationManager {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
}
4. 认证提供者(AuthenticationProvider)
• 实现类示例:
• DaoAuthenticationProvider:基于数据库的认证(使用 UserDetailsService 加载用户)。
• JwtAuthenticationProvider:验证 JWT 令牌。
• OAuth2LoginAuthenticationProvider:处理 OAuth2 授权码流程。
• 认证逻辑:
- 调用
UserDetailsService.loadUserByUsername()加载用户信息。 - 使用
PasswordEncoder.matches()验证密码(或验证令牌有效性)。 - 返回包含权限信息的
Authentication对象。
5. 用户信息加载(UserDetailsService)
• 核心接口:UserDetailsService 负责从数据源(如数据库、LDAP)加载用户信息。
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
• 自定义实现:覆盖此接口以适配业务用户表结构。
6. 密码编码器(PasswordEncoder)
• 作用:加密存储密码,验证用户输入密码。
• 常用实现:
• BCryptPasswordEncoder:使用 BCrypt 哈希算法。
• Argon2PasswordEncoder:更安全的 Argon2 算法。
• 配置示例:
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
7. 安全上下文(SecurityContext)
• 存储位置:认证成功后,Authentication 对象存入 SecurityContextHolder。
SecurityContextHolder.getContext().setAuthentication(authenticatedAuth);
• 存储机制:默认使用 ThreadLocal,确保线程安全。
8. 认证后处理
• 成功处理:
• 重定向到目标页面(如 defaultSuccessUrl)。
• 生成会话 Cookie(若启用 Session)。
• 失败处理:
• 抛出 AuthenticationException(如 BadCredentialsException)。
• 返回 401 错误或跳转登录页。
9. 异常处理(ExceptionTranslationFilter)
• 职责:捕获认证/授权异常,转换为 HTTP 响应。
• AuthenticationEntryPoint:处理未认证请求(如跳转登录页)。
• AccessDeniedHandler:处理权限不足(返回 403)。
认证流程图解
HTTP 请求
↓
SecurityContextPersistenceFilter(加载 SecurityContext)
↓
UsernamePasswordAuthenticationFilter(提取用户名密码)
↓
AuthenticationManager.authenticate()
↓
DaoAuthenticationProvider(验证用户)
↓ ↖ UserDetailsService.loadUserByUsername()
↓ ↖ PasswordEncoder.matches()
↓
认证成功 → SecurityContextHolder 保存 Authentication
↓
FilterSecurityInterceptor(授权检查)
↓
访问受保护资源
不同认证方式流程差异
1. 表单登录
• 流程:用户提交表单 → UsernamePasswordAuthenticationFilter → DaoAuthenticationProvider → 重定向到成功页面。
2. OAuth2 登录
• 流程:用户点击第三方登录 → 重定向到授权服务器 → 返回授权码 → 换取令牌 → OAuth2LoginAuthenticationProvider 验证令牌 → 创建用户会话。
3. JWT 无状态认证
• 流程:请求携带 JWT → JwtAuthenticationFilter 解析令牌 → JwtAuthenticationProvider 验证签名 → 直接访问资源。
关键配置示例
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/public/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(form -> form
.loginPage("/login")
.defaultSuccessUrl("/home")
)
.oauth2Login(oauth2 -> oauth2
.loginPage("/oauth2/login")
.defaultSuccessUrl("/user")
);
return http.build();
}
@Bean
public UserDetailsService userDetailsService() {
return new InMemoryUserDetailsManager(
User.withUsername("user").password("{bcrypt}...").roles("USER").build()
);
}
}
总结
Spring Security 的认证流程通过 过滤器链 和 组件协作 实现灵活扩展,核心步骤包括:
- 请求拦截:通过过滤器链处理不同认证方式。
- 凭证验证:由
AuthenticationManager和AuthenticationProvider协作完成。 - 上下文存储:认证信息保存在
SecurityContextHolder。 - 权限控制:通过
AccessDecisionManager实现资源访问控制。
开发者可通过自定义组件(如 UserDetailsService、AuthenticationProvider)适配业务需求,实现从简单表单登录到复杂 OAuth2 集成的各类场景。