?? 上一篇文章中我們搭建好了springsecurity的相關(guān)模塊迈勋。這篇文章我們先簡(jiǎn)單講一講Spring Security的基本原理宿礁,首先我們把demo模塊的application中的@EnableAutoConfiguration注解注釋掉势誊。然后在browser模塊中添加以下代碼:
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.and()
.authorizeRequests()//表示下面是認(rèn)證的配置
.anyRequest()//任何請(qǐng)求
.authenticated();//都需要身份認(rèn)證
}
}
?? 在這里我們重寫(xiě)了WebSecurityConfigurerAdapter的configure(HttpSecurity http),這要是對(duì)Http請(qǐng)求做一些安全處理吓妆。然后啟動(dòng)demo應(yīng)用寞焙,這時(shí)我們隨便訪(fǎng)問(wèn)一個(gè)url會(huì)跳轉(zhuǎn)到以下頁(yè)面,而不是我們想訪(fǎng)問(wèn)的頁(yè)面:
?? 這個(gè)頁(yè)面是SpringSecurity的默認(rèn)登錄界面熔掺,這里需要我們輸入用戶(hù)名和密碼,用戶(hù)名默認(rèn)是user非剃,密碼我們可以看到SpringBoot啟動(dòng)的時(shí)候置逻,會(huì)把密碼打印出來(lái),如下圖所示:
?? 這個(gè)密碼每次重啟應(yīng)用都會(huì)改變备绽,這里我們輸入了用戶(hù)名和密碼后券坞,就可以跳轉(zhuǎn)到我們想看到的界面了。
?? 通過(guò)這么一個(gè)簡(jiǎn)單的改動(dòng)我們可以看到SpringSecurity有如下的核心功能:
- 認(rèn)證(你是誰(shuí))
- 授權(quán)(你能干什么)
-
攻擊防護(hù)(防止偽造身份)
?? 為什么去掉這么一個(gè)注解肺素,加了一段代碼就會(huì)有這樣的功能了呢恨锚?這就是我們這篇文章要講的重點(diǎn)了。我們先看一個(gè)圖:
spring security
?? 在沒(méi)有Spring Security的時(shí)候倍靡,我們直接訪(fǎng)問(wèn)REST APi可以得到結(jié)果猴伶,但是當(dāng)我們的應(yīng)用加入了Spring security之后,相當(dāng)于加上了過(guò)濾器塌西,其實(shí)Spring Security本身就是一個(gè)過(guò)濾器鏈他挎,所有的請(qǐng)求在訪(fǎng)問(wèn)REST API時(shí)都要經(jīng)過(guò)Spring Security的過(guò)濾器鏈,當(dāng)返回應(yīng)答的時(shí)候捡需,也會(huì)走一遍這個(gè)過(guò)濾器鏈办桨,然后返回給用戶(hù)。
?? 在圖中我們可以看到第一個(gè)綠色的過(guò)濾器鏈Username Password Authentication Filter站辉,這個(gè)就是用來(lái)攔截我們剛才在圖中輸入的用戶(hù)名和密碼的過(guò)濾器呢撞。
?? 圖中的BasicAuthenticationFilter是彈出登錄框供用戶(hù)輸入的情況贸街,過(guò)濾的是登錄框中的信息。如下圖所示:
?? 這里我們只講解了2個(gè)綠色框狸相,我們后續(xù)要講的微信登錄薛匪,第三方認(rèn)證登錄,其實(shí)就是配置在綠色方框中的Filter~綠色方框的Filter可以有很多脓鹃,順序也可以有變動(dòng)逸尖,而且可有可無(wú)。但是后面藍(lán)色的Exception Translation Filter和Filter Security Interceptor是Spring Security過(guò)濾器鏈中順序是固定的而且是一定存在的瘸右。
?? 我們先講講最后一個(gè)Filter Security Interceptor娇跟,它是Spring Security的守門(mén)員,也決定了我們的請(qǐng)求究竟能不能訪(fǎng)問(wèn)后面的REST API太颤。在以下代碼中我們配置的信息都被放到了Filter Security Interceptor中苞俘,所以請(qǐng)求來(lái)了之后它會(huì)看我們有沒(méi)有做用戶(hù)登錄認(rèn)證,如果沒(méi)有認(rèn)證龄章,Interceptor就會(huì)拋出異常吃谣。當(dāng)然我們還可以在我們的代碼里面配置只有VIP用戶(hù)才可以訪(fǎng)問(wèn)相關(guān)的信息。這樣做裙,即使我們登錄認(rèn)證了岗憋,但是不是VIP身份,仍然不可以訪(fǎng)問(wèn)后臺(tái)的API锚贱,F(xiàn)ilter Security Interceptor依然拋異常
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.and()
.authorizeRequests()//表示下面是認(rèn)證的配置
.anyRequest()//任何請(qǐng)求
.authenticated();//都需要身份認(rèn)證
}
?? 剛才我說(shuō)了Interceptor要拋出異常仔戈,那么這些異常被誰(shuí)捕獲?對(duì)的拧廊,那就是我最后要講的Exception Translation Filter监徘。它就是專(zhuān)門(mén)負(fù)責(zé)捕獲異常并且做出相關(guān)翻譯的過(guò)濾器。如果說(shuō)Interceptor拋出沒(méi)有身份認(rèn)證的異常吧碾,Exception Translation Filter會(huì)看看前面究竟配置的是什么樣的Filter凰盔,然后做出相應(yīng)的處理。比如說(shuō)前面配置的是Username Password Authentication Filter滤港,那么就會(huì)跳轉(zhuǎn)到帶表單的登錄頁(yè)面廊蜒。但如果說(shuō)前面配置的是BasicAuthenticationFilter,那么就會(huì)彈出登錄框等待用戶(hù)輸入信息溅漾。
??接下來(lái)我們以斷點(diǎn)調(diào)試的方式來(lái)對(duì)這個(gè)基本原理做一個(gè)實(shí)戰(zhàn)總結(jié)山叮。為了印證我之前講的是正確的,我們將會(huì)在以下3個(gè)類(lèi)中打斷點(diǎn):
1.FilterSecurityInterceptor
??重點(diǎn)看我標(biāo)注紅框的地方添履,super.beforeInvocation(fi)表示說(shuō)我在正式調(diào)用后臺(tái)的rest服務(wù)之前屁倔,我要看看前面的filter是否都校驗(yàn)通過(guò)了。fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的調(diào)用后臺(tái)的服務(wù)暮胧。所以我們?cè)?24行打上斷點(diǎn)锐借。
2.ExceptionTranslationFilter
??這個(gè)ExceptionFilter其實(shí)我們看到它只做簡(jiǎn)單的過(guò)濾问麸,但是它真正核心的邏輯再catch(Exception ex)里面,它捕獲了Interceptor中拋出的異常钞翔,并對(duì)這些異常作相關(guān)的處理严卖。
3.UsernamePasswordAuthenticationFilter
??UsernamePasswordAuthenticationFilter,從它的構(gòu)造函數(shù)我們可以看出只對(duì)/login的POST請(qǐng)求做攔截布轿,核心路基就是獲取表單中的username和password做相關(guān)校驗(yàn)哮笆。
OK,此時(shí)我們?cè)L問(wèn)一下我們的后臺(tái)API,在瀏覽器輸入
http://localhost:8080/user 回車(chē)
第1個(gè)進(jìn)入的斷點(diǎn)是:FilterSecurityInterceptor中的斷點(diǎn)
為啥會(huì)直接跑到最后一個(gè)Interceptor里面呢汰扭?作者你是不是在忽悠我們稠肘,第一個(gè)UsernamePasswordAuthenticationFilter都沒(méi)攔截,差評(píng)萝毛。其實(shí)项阴,原因是這樣的,我們直接訪(fǎng)問(wèn)的URL笆包,根本就沒(méi)有輸入任何的用戶(hù)名和密碼环揽,所以Filter如果發(fā)現(xiàn)沒(méi)有任何輸入信息,它就放過(guò)了色查,什么都不處理薯演。而且我們剛才看了截圖撞芍,發(fā)現(xiàn)這個(gè)Filter只關(guān)注POST的/login請(qǐng)求秧了。什么?序无!那相當(dāng)于沒(méi)用咯验毡?別著急繼續(xù)往下看
第2個(gè)進(jìn)入的斷點(diǎn)是:ExceptionTranslationFilter中的斷點(diǎn)
為什么會(huì)這樣?這是因?yàn)槲以谖恼碌拈_(kāi)篇就寫(xiě)了帝嗡,我們的任何請(qǐng)求都要登錄認(rèn)證晶通,所以果斷拋出異常,被ExceptionTranslationFilter攔截住哟玷。并且重定向到登錄頁(yè)面:如下圖所示:
這個(gè)不就是我們熟悉的登錄頁(yè)面了么~~
第3輸入用戶(hù)名密碼,被UsernamePasswordAuthenticationFilter攔截
為什么會(huì)被攔截狮辽,因?yàn)槲覀冋嬲陌l(fā)起了login的post請(qǐng)求了!
斷點(diǎn)中我們可以看到我們輸入的用戶(hù)名和密碼信息~就是我們?cè)谇芭_(tái)頁(yè)面輸入的信息哦
第4個(gè)進(jìn)入的斷點(diǎn)是:FilterSecurityInterceptor中的斷點(diǎn)
??又回到了Interceptor的懷抱了巢寡!但是這次它就不要想攔住我們了喉脖!我們認(rèn)證了!不能再收過(guò)路費(fèi)了抑月,不然過(guò)分了笆鬟础!
大結(jié)局
??終于看到我們想要的請(qǐng)求啦~~SpringSecurity的基本原理我們就先講到這里谦絮,下一篇我將給大家講解自定義用戶(hù)認(rèn)證邏輯题诵。因?yàn)槲覀儾豢赡苤苯佑胹pring security默認(rèn)的認(rèn)證邏輯洁仗,這樣不滿(mǎn)足我們的需求~
