基本概念
"Authentication(认证)"是spring security框架中最重要的功能之一,所谓认证,就是对当前访问系统的用户给予一个合法的身份标识,用户只有通过认证才可以进入系统,在物理世界里,有点类似于"拿工卡刷门禁"的场景。
具体文章🔗:Spring Security 6.x 浅谈身份认证的架构设计 - fullstackyang - SegmentFault 思否
认证架构设计
接口
- Authentication:顶层接口,用于保存身份认证信息,主要包括三个部分:用户标识,凭证,权限信息
- SecurityContext:顶层接口,安全上下文,内部之定义了getAuthentication和setAuthentication两个方法,用于装载对象容器
- AuthenticationManager:定义了认证方法
- AuthenticationProvider:认证协议的具体实现
- SecurityContextRepository:定义了保存和加载SecurityContext对象的方法
- SecurityContextHolderStrategy:顶层接口,定义了在当前请求的线程中,获取和设置SecurityContext对象等方法。
总结
spring security整个认证架构中的认证流程和存取校验流程,再做一个总结:
- 认证流程:AuthenticationManager为这个系统所支持的所有认证协议,统一提供authenticate方法,比如支持用户名密码登录,也支持短信登录,第三方授权登录,不论哪种方式登录,最终都交由这个方法执行,其实现类ProviderManager则高度封装了认证过程,使得不同认证协议进入不同的认证实现类,然后都返回Authentication对象。Authentication定义了一个认证信息应该必须包含的信息,包括用户标识,凭证,权限,因此我们可以自定义AuthenticationProvider,并注册到ProviderManager中,然后再实现自定义认证Filter和Authentication。
- 存取校验流程:在得到认证后的Authentication对象,需要解决的是如何获取Authentication对象,以判断该请求是否已经通过认证,这里就引入了一个重要的类Context,相当于装载Authentication对象容器。首先依赖SecurityContextRepository从持久化的介质(例如session)中加载出来SecurityContext对象,其次通过SecurityContextHolder内部策略类方便快速地读写SecurityContext对象,这里很容易就想到使用ThreadLocal来实现同一个请求的线程中存取操作,spring security也是这么做的,最终在得到SecurityContext后,可以通过其内部的Authentication对象判断是否已认证。