本文适合: 對Spring Security有一點了解或者跑過簡單demo但是對整體運作流程不明白的同學,對SpringSecurity有興趣的也可以當作你們的入門教程,示例代碼中也有很多注釋。
大家在做系統的時候,一般做的第一個子產品就是認證與授權子產品,因為這是一個系統的入口,也是一個系統最重要最基礎的一環,在認證與授權服務設計搭建好了之後,剩下的子產品才得以安全通路。
市面上一般做認證授權的架構就是shiro和Spring Security,也有大部分公司選擇自己研制。出于之前看過很多Spring Security的入門教程,但都覺得講的不是太好,是以我這兩天在自己鼓搗Spring Security的時候萌生了分享一下的想法,希望可以幫助到有興趣的人。
Spring Security架構我們主要用它就是解決一個認證授權功能
我會為大家用一個Spring Security + JWT + 緩存的一個demo來展現我要講的東西,畢竟腦子的東西要展現在具體事物上才可以更直覺地讓大家去了解去認識。
學習一件新事物的時候,我推薦使用自頂向下的學習方法,這樣可以更好地認識新事物,而不是盲人摸象。
注:隻涉及到使用者認證授權不涉及oauth2之類的第三方授權。
1. SpringSecurity的工作流程
想上手 Spring Security 一定要先了解它的工作流程,因為它不像工具包一樣,拿來即用,必須要對它有一定的了解,再根據它的用法進行自定義操作。
我們可以先來看看它的工作流程:
在Spring Security的官方文檔上有這麼一句話:
Spring Security’s web infrastructure is based entirely on standard servlet filters.
Spring Security 的web基礎是Filters。
這句話展示了Spring Security的設計思想:即通過一層層的Filters來對web請求做處理。
放到真實的Spring Security中,用文字表述的話可以這樣說:
一個web請求會經過一條過濾器鍊,在經過過濾器鍊的過程中會完成認證與授權,如果中間發現這條請求未認證或者未授權,會根據被保護API的權限去抛出異常,然後由異常處理器去處理這些異常。
用圖檔表述的話可以這樣畫,這是我在百度找到的一張圖檔:
如上圖,一個請求想要通路到API就會以從左到右的形式經過藍線框框裡面的過濾器,其中綠色部分是我們本篇主要講的負責認證的過濾器,藍色部分負責異常處理,橙色部分則是負責授權。
圖中的這兩個綠色過濾器我們今天不會去說,因為這是Spring Security對form表單認證和Basic認證内置的兩個Filter,而我們的demo是JWT認證方式是以用不上。
如果你用過Spring Security就應該知道配置中有兩個叫formLogin和httpBasic的配置項,在配置中打開了它倆就對應着打開了上面的過濾器。
- formLogin對應着你form表單認證方式,即UsernamePasswordAuthenticationFilter。
- httpBasic對應着Basic認證方式,即BasicAuthenticationFilter。
換言之,你配置了這兩種認證方式,過濾器鍊中才會加入它們,否則它們是不會被加到過濾器鍊中去的。
因為Spring Security自帶的過濾器中是沒有針對JWT這種認證方式的,是以我們的demo中會寫一個JWT的認證過濾器,然後放在綠色的位置進行認證工作。
2. SpringSecurity的重要概念
知道了Spring Security的大緻工作流程之後,我們還需要知道一些非常重要的概念也可以說是元件:
- SecurityContext:上下文對象,Authentication對象會放在裡面。
- SecurityContextHolder:用于拿到上下文對象的靜态工具類。
- Authentication:認證接口,定義了認證對象的資料形式。
- AuthenticationManager:用于校驗Authentication,傳回一個認證完成後的Authentication對象。
1.SecurityContext
上下文對象,認證後的資料就放在這裡面,接口定義如下:
public interface SecurityContext extends Serializable {
// 擷取Authentication對象
Authentication getAuthentication();
// 放入Authentication對象
void setAuthentication(Authentication authentication);
}
這個接口裡面隻有兩個方法,其主要作用就是get or set Authentication。
2. SecurityContextHolder
public class SecurityContextHolder {
public static void clearContext() {
strategy.clearContext();
}
public static SecurityContext getContext() {
return strategy.getContext();
}
public static void setContext(SecurityContext context) {
strategy.setContext(context);
}
}
可以說是SecurityContext的工具類,用于get or set or clear SecurityContext,預設會把資料都存儲到目前線程中。
3. Authentication
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
Object getCredentials();
Object getDetails();
Object getPrincipal();
boolean isAuthenticated();
void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}
這幾個方法效果如下:
- getAuthorities: 擷取使用者權限,一般情況下擷取到的是使用者的角色資訊。
- getCredentials: 獲驗證明使用者認證的資訊,通常情況下擷取到的是密碼等資訊。
- getDetails: 擷取使用者的額外資訊,(這部分資訊可以是我們的使用者表中的資訊)。
- getPrincipal: 擷取使用者身份資訊,在未認證的情況下擷取到的是使用者名,在已認證的情況下擷取到的是 UserDetails。
- isAuthenticated: 擷取目前 Authentication 是否已認證。
- setAuthenticated: 設定目前 Authentication 是否已認證(true or false)。
Authentication隻是定義了一種在SpringSecurity進行認證過的資料的資料形式應該是怎麼樣的,要有權限,要有密碼,要有身份資訊,要有額外資訊。
4. AuthenticationManager
public interface AuthenticationManager {
// 認證方法
Authentication authenticate(Authentication authentication)
throws AuthenticationException;
}
AuthenticationManager定義了一個認證方法,它将一個未認證的Authentication傳入,傳回一個已認證的Authentication,預設使用的實作類為:ProviderManager。
接下來大家可以構思一下如何将這四個部分,串聯起來,構成Spring Security進行認證的流程:
1. 先是一個請求帶着身份資訊進來
2. 經過AuthenticationManager的認證,
3. 再通過SecurityContextHolder擷取SecurityContext,
4. 最後将認證後的資訊放入到SecurityContext。
3. 代碼前的準備工作
真正開始講訴我們的認證代碼之前,我們首先需要導入必要的依賴,資料庫相關的依賴可以自行選擇什麼JDBC架構,我這裡用的是國人二次開發的myabtis-plus。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-validation</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.3.0</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.47</version>
</dependency>
接着,我們需要定義幾個必須的元件。
由于我用的Spring-Boot是2.X是以必須要我們自己定義一個加密器:
1. 定義加密器Bean
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
這個Bean是不必可少的,Spring Security在認證操作時會使用我們定義的這個加密器,如果沒有則會出現異常。
2. 定義AuthenticationManager
@Bean
public AuthenticationManager authenticationManager() throws Exception {
return super.authenticationManager();
}
這裡将Spring Security自帶的authenticationManager聲明成Bean,聲明它的作用是用它幫我們進行認證操作,調用這個Bean的authenticate方法會由Spring Security自動幫我們做認證。
3. 實作UserDetailsService
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserService userService;
@Autowired
private RoleInfoService roleInfoService;
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
log.debug("開始登陸驗證,使用者名為: {}",s);
// 根據使用者名驗證使用者
QueryWrapper<UserInfo> queryWrapper = new QueryWrapper<>();
queryWrapper.lambda().eq(UserInfo::getLoginAccount,s);
UserInfo userInfo = userService.getOne(queryWrapper);
if (userInfo == null) {
throw new UsernameNotFoundException("使用者名不存在,登陸失敗。");
}
// 建構UserDetail對象
UserDetail userDetail = new UserDetail();
userDetail.setUserInfo(userInfo);
List<RoleInfo> roleInfoList = roleInfoService.listRoleByUserId(userInfo.getUserId());
userDetail.setRoleInfoList(roleInfoList);
return userDetail;
}
}
實作UserDetailsService的抽象方法并傳回一個UserDetails對象,認證過程中SpringSecurity會調用這個方法通路資料庫進行對使用者的搜尋,邏輯什麼都可以自定義,無論是從資料庫中還是從緩存中,但是我們需要将我們查詢出來的使用者資訊和權限資訊組裝成一個UserDetails傳回。
UserDetails 也是一個定義了資料形式的接口,用于儲存我們從資料庫中查出來的資料,其功能主要是驗證賬号狀态和擷取權限,具體實作可以查閱我倉庫的代碼。
4. TokenUtil
由于我們是JWT的認證模式,是以我們也需要一個幫我們操作Token的工具類,一般來說它具有以下三個方法就夠了:
- 建立token
- 驗證token
- 反解析token中的資訊
在下文我的代碼裡面,JwtProvider充當了Token工具類的角色,具體實作可以查閱我倉庫的代碼。
4. ✍代碼中的具體實作
有了前面的講解之後,大家應該都知道用SpringSecurity做JWT認證需要我們自己寫一個過濾器來做JWT的校驗,然後将這個過濾器放到綠色部分。
在我們編寫這個過濾器之前,我們還需要進行一個認證操作,因為我們要先通路認證接口拿到token,才能把token放到請求頭上,進行接下來請求。
如果你不太明白,不要緊,先接着往下看我會在這節結束後再次梳理一下。
1. 認證方法
通路一個系統,一般最先通路的是認證方法,這裡我寫了最簡略的認證需要的幾個步驟,因為實際系統中我們還要寫登入記錄啊,前台密碼解密啊這些操作。
@Override
public ApiResult login(String loginAccount, String password) {
// 1 建立UsernamePasswordAuthenticationToken
UsernamePasswordAuthenticationToken usernameAuthentication = new UsernamePasswordAuthenticationToken(loginAccount, password);
// 2 認證
Authentication authentication = this.authenticationManager.authenticate(usernameAuthentication);
// 3 儲存認證資訊
SecurityContextHolder.getContext().setAuthentication(authentication);
// 4 生成自定義token
UserDetail userDetail = (UserDetail) authentication.getPrincipal();
AccessToken accessToken = jwtProvider.createToken((UserDetails) authentication.getPrincipal());
// 5 放入緩存
caffeineCache.put(CacheName.USER, userDetail.getUsername(), userDetail);
return ApiResult.ok(accessToken);
}
這裡一共五個步驟,大概隻有前四步是比較陌生的:
- 傳入使用者名和密碼建立了一個UsernamePasswordAuthenticationToken對象,這是我們前面說過的Authentication的實作類,傳入使用者名和密碼做構造參數,這個對象就是我們建立出來的未認證的Authentication對象。
- 使用我們先前已經聲明過的Bean-authenticationManager調用它的authenticate方法進行認證,傳回一個認證完成的Authentication對象。
- 認證完成沒有出現異常,就會走到第三步,使用SecurityContextHolder擷取SecurityContext之後,将認證完成之後的Authentication對象,放入上下文對象。
- 從Authentication對象中拿到我們的UserDetails對象,之前我們說過,認證後的Authentication對象調用它的getPrincipal()方法就可以拿到我們先前資料庫查詢後組裝出來的UserDetails對象,然後建立token。
- 把UserDetails對象放入緩存中,友善後面過濾器使用。
這樣的話就算完成了,感覺很簡單,因為主要認證操作都會由authenticationManager.authenticate()幫我們完成。
接下來我們可以看看源碼,從中窺得Spring Security是如何幫我們做這個認證的(省略了一部分):
// AbstractUserDetailsAuthenticationProvider
public Authentication authenticate(Authentication authentication){
// 校驗未認證的Authentication對象裡面有沒有使用者名
String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
: authentication.getName();
boolean cacheWasUsed = true;
// 從緩存中去查使用者名為XXX的對象
UserDetails user = this.userCache.getUserFromCache(username);
// 如果沒有就進入到這個方法
if (user == null) {
cacheWasUsed = false;
try {
// 調用我們重寫UserDetailsService的loadUserByUsername方法
// 拿到我們自己組裝好的UserDetails對象
user = retrieveUser(username,
(UsernamePasswordAuthenticationToken) authentication);
}
catch (UsernameNotFoundException notFound) {
logger.debug("User '" + username + "' not found");
if (hideUserNotFoundExceptions) {
throw new BadCredentialsException(messages.getMessage(
"AbstractUserDetailsAuthenticationProvider.badCredentials",
"Bad credentials"));
}
else {
throw notFound;
}
}
Assert.notNull(user,
"retrieveUser returned null - a violation of the interface contract");
}
try {
// 校驗賬号是否禁用
preAuthenticationChecks.check(user);
// 校驗資料庫查出來的密碼,和我們傳入的密碼是否一緻
additionalAuthenticationChecks(user,
(UsernamePasswordAuthenticationToken) authentication);
}
}
看了源碼之後你會發現和我們平常寫的一樣,其主要邏輯也是查資料庫然後對比密碼。
登入之後效果如下:
我們傳回token之後,下次請求其他API的時候就要在請求頭中帶上這個token,都按照JWT的标準來做就可以。
2. JWT過濾器
有了token之後,我們要把過濾器放在過濾器鍊中,用于解析token,因為我們沒有session,是以我們每次去辨識這是哪個使用者的請求的時候,都是根據請求中的token來解析出來目前是哪個使用者。
是以我們需要一個過濾器去攔截所有請求,前文我們也說過,這個過濾器我們會放在綠色部分用來替代UsernamePasswordAuthenticationFilter,是以我們建立一個JwtAuthenticationTokenFilter,然後将它注冊為Bean,并在編寫配置檔案的時候需要加上這個:
@Bean
public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter() {
return new JwtAuthenticationTokenFilter();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.addFilterBefore(jwtAuthenticationTokenFilter(),
UsernamePasswordAuthenticationFilter.class);
}
addFilterBefore的語義是添加一個Filter到XXXFilter之前,放在這裡就是把JwtAuthenticationTokenFilter放在UsernamePasswordAuthenticationFilter之前,因為filter的執行也是有順序的,我們必須要把我們的filter放在過濾器鍊中綠色的部分才會起到自動認證的效果。
接下來我們可以看看JwtAuthenticationTokenFilter的具體實作了:
@Override
protected void doFilterInternal(@NotNull HttpServletRequest request,
@NotNull HttpServletResponse response,
@NotNull FilterChain chain) throws ServletException, IOException {
log.info("JWT過濾器通過校驗請求頭token進行自動登入...");
// 拿到Authorization請求頭内的資訊
String authToken = jwtProvider.getToken(request);
// 判斷一下内容是否為空且是否為(Bearer )開頭
if (StrUtil.isNotEmpty(authToken) && authToken.startsWith(jwtProperties.getTokenPrefix())) {
// 去掉token字首(Bearer ),拿到真實token
authToken = authToken.substring(jwtProperties.getTokenPrefix().length());
// 拿到token裡面的登入賬号
String loginAccount = jwtProvider.getSubjectFromToken(authToken);
if (StrUtil.isNotEmpty(loginAccount) && SecurityContextHolder.getContext().getAuthentication() == null) {
// 緩存裡查詢使用者,不存在需要重新登陸。
UserDetail userDetails = caffeineCache.get(CacheName.USER, loginAccount, UserDetail.class);
// 拿到使用者資訊後驗證使用者資訊與token
if (userDetails != null && jwtProvider.validateToken(authToken, userDetails)) {
// 組裝authentication對象,構造參數是Principal Credentials 與 Authorities
// 後面的攔截器裡面會用到 grantedAuthorities 方法
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());
// 将authentication資訊放入到上下文對象中
SecurityContextHolder.getContext().setAuthentication(authentication);
log.info("JWT過濾器通過校驗請求頭token自動登入成功, user : {}", userDetails.getUsername());
}
}
}
chain.doFilter(request, response);
}
代碼裡的步驟雖然說得很詳細了,但是可能因為代碼過長不利于閱讀,我還是簡單說說,也可以直接去倉庫檢視源碼:
- 拿到Authorization請求頭對應的token資訊
- 去掉token的頭部(Bearer )
- 解析token,拿到我們放在裡面的登陸賬号
- 因為我們之前登陸過,是以我們直接從緩存裡面拿我們的UserDetail資訊即可
- 檢視是否UserDetail為null,以及檢視token是否過期,UserDetail使用者名與token中的是否一直。
- 組裝一個authentication對象,把它放在上下文對象中,這樣後面的過濾器看到我們上下文對象中有authentication對象,就相當于我們已經認證過了。
這樣的話,每一個帶有正确token的請求進來之後,都會找到它的賬号資訊,并放在上下文對象中,我們可以使用SecurityContextHolder很友善的拿到上下文對象中的Authentication對象。
完成之後,啟動我們的demo,可以看到過濾器鍊中有以下過濾器,其中我們自定義的是第5個:
就醬,我們登入完了之後擷取到的賬号資訊與角色資訊我們都會放到緩存中,當帶着token的請求來到時,我們就把它從緩存中拿出來,再次放到上下文對象中去。
結合認證方法,我們的邏輯鍊就變成了:
登入拿到token請求帶上tokenJWT過濾器攔截校驗token将從緩存中查出來的對象放到上下文中
這樣之後,我們認證的邏輯就算完成了。
4. 代碼優化
認證和JWT過濾器完成後,這個JWT的項目其實就可以跑起來了,可以實作我們想要的效果,如果想讓程式更健壯,我們還需要再加一些輔助功能,讓代碼更友好。
1. 認證失敗處理器
當使用者未登入或者token解析失敗時會觸發這個處理器,傳回一個非法通路的結果。
2. 權限不足處理器
當使用者本身權限不滿足所通路API需要的權限時,觸發這個處理器,傳回一個權限不足的結果。
3. 退出方法
使用者退出一般就是清除掉上下文對象和緩存就行了,你也可以做一下附加操作,這兩步是必須的。
4. token重新整理
JWT的項目token重新整理也是必不可少的,這裡重新整理token的主要方法放在了token工具類裡面,重新整理完了把緩存重載一遍就行了,因為緩存是有有效期的,重新put可以重置失效時間。