Spring Security 6.1.x 系列（5）—— Servlet 认证体系结构介绍

news2024/11/15 18:43:17

一、前言

本章主要学习Spring Security中基于Servlet 的认证体系结构，为后续认证执行流程源码分析打好基础。

二、身份认证机制

Spring Security提供个多种认证方式登录系统，包括：

Username and Password：使用用户名/密码方式进行认证登录
OAuth 2.0 Login：使用OpenID Connect和OAuth 2.0 方式进行认证登录
CAS：使用CAS企业级单点登录系统方式进行认证登录
SAML 2.0 Login：使用SAML 2.0 方式进行认证登录
Remember Me：使用记住我方式进行认证登录
JAAS：使用JAAS 方式进行认证登录
Pre-Authentication Scenarios：使用外部机制方式进行认证登录
X509：使用X509 方式进行认证登录

三、认证组件简介

Spring Security中的认证相关组件：

SecurityContextHolder：安全上下文持有者，存储当前认证用户的SecurityContext 。
SecurityContext ：安全上下文，包含当期认证用户的Authentication（认证信息），从SecurityContextHolder中获取。
Authentication ：认证信息，用户提供的用于身份认证的凭据的输入。
GrantedAuthority ：授予主体的权限（即角色、作用域等）。
AuthenticationManager ：认证管理器，是一个接口，定义Spring Security过滤器执行身份认证的API。
ProviderManager ：提供者管理器，是AuthenticationManager的默认实现。
AuthenticationProvider ：认证提供者，由ProviderManager选择，用于执行特定类型的身份认证。
AuthenticationEntryPoint ：认证入口点，处理认证过程中的认证异常，比如：重定向登录页面
AbstractAuthenticationProcessingFilter ：抽象认证处理过滤器，一个Filter抽象类，是身份验证的基础。

四、认证组件源码分析

4.1 SecurityContextHolder

SecurityContextHolder（安全上下文持有者）是Spring Security身份认证模型的核心，存储已认证用户详细信息，包含了SecurityContext（安全上下文）：

在这里插入图片描述
当用户认证成功后，会将SecurityContext设置到SecurityContextHolder中，后续流程可以用过SecurityContextHolder静态方法直接获取用户信息：

SecurityContext context = SecurityContextHolder.getContext();// 获取 SecurityContext
Authentication authentication = context.getAuthentication();// 获取认证信息
String username = authentication.getName(); // 用户名
Object principal = authentication.getPrincipal(); // 当前用户的信息，通常是UserDetails的实例
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();// 权限

默认策略下，SecurityContextHolder使用ThreadLocal来存储信息，一个已认证的请求线程在过滤器阶段，会获取会话中的认证信息，并保存在当前线程的ThreadLocal中，方便业务代码获取用户信息，线程执行完毕后，FilterChainProxy会自动执行清除。

某些应用程序并不完全适合使用默认策略，因为它们使用线程有特定方式。例如：Swing 客户端可能希望Java中的所有线程都使用相同的SecurityContextHolder，您可以在启动时使用策略进行配置，以指定您希望如何存储SecurityContext 。

其他应用程序可能希望由安全线程派生的线程也采用相同的安全标识。您可以通过两种方式更改默认模式：