简介
Spring Security是一个强大的和高度可定制的身份验证和访问控制框架,它的前身是 Acegi Security。Spring Security着重于为Java应用程序提供身份验证和授权。提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
- 官网:https://spring.io/projects/spring-security
- github:https://github.com/spring-projects/spring-security
核心概念
Spring Security是如何完成身份认证的?
- 用户名和密码被过滤器获取到,封装成Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。
- AuthenticationManager 身份管理器负责验证这个Authentication
- 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例。
- SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。
SecurityContextHolder
SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限,这些都被保存在SecurityContextHolder中。SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一种与线程绑定的策略。Spring Security在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。但这一切的前提,是你在web场景下使用Spring Security。
Authentication
Authentication在spring security中是最高级别的身份/认证的抽象。由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。
AuthenticationManager
AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点
AuthenticationProvider
认证具体实现
AccessDecisionManager
用于访问控制的,它决定用户是否可以访问某个资源,实现这个接口可以定制我们自己的授权逻辑。
AccessDecisionVoter
投票器,在授权的时通过投票的方式来决定用户是否可以访问,这里涉及到投票规则。
UserDetailsService
负责从特定的地方(通常是数据库)加载用户信息
UserDetails
代表用户信息,即主体,相当于Shiro中的Subject。User是它的一个实现。
使用
特点
- 全面的和可扩展的支持身份验证和授权
- 防止会话固定攻击,比如点击劫持,跨站请求伪造等
- Servlet API 集成
- 与Spring Web MVC集成
- Spring Security依赖Spring,其功能强大,相对于Shiro而言学习难度稍大一些
源码解读
未完待续...
来源:oschina
链接:https://my.oschina.net/u/2910915/blog/2218593