使用SpringSecurity搭建授权认证服务(1)

登录认证是做后台开发的最基本的能力，初学就知道一个interceptor或者filter拦截所有请求，然后判断参数是否合理，如此即可。当涉及到某些接口权限的时候，则if-else判断以下，也是没问题的。 但如果判断多了，业务逻辑也掺杂在一起，降低可读性的同时也不利于扩展和维护。于是就出现了apache shiro, spring security这样的框架，抽离出认证授权判断。 由于我现在的项目都是给予springboot的，那选择spring security就方便很多。接下来基于此构建我的认证授权服务： 基于Token的认证授权服务。

第一个版本，项目初始化https://github.com/Ryan-Miao/spring-security-token-login-server/releases/tag/v1.0

首先学习两个单词：

authentication 身份验证

authorized 经授权的

我们登录鉴权就是两个步骤，先认证登录，然后权限校验。对应到Spring Security里就是 AuthenticationManager和AccessDecisionManager，前者负责对用户凭证进行认证，后者对认证后的权限进行校验。

首先，创建一个基本的springboot项目。

Spring Security参照官方文档配置即可。接下来是自定义和可以修改的地方。

本项目简单使用 user - role -permission的模型。

权限判定通过判断user是否拥有permission来决定。通过role实现了user和permission之间的解耦，创建多个role模型，绑定对应的权限，当添加新用户的时候，直接指定role就可以授权。

Spring Security自带了org.springframework.security.provisioning.JdbcUserDetailsManager，它里面的模型为user-group-authority. 即用户归属用户组，用户组有权限。差不多可以和当前模型一一对应。

大体认证流程和涉及的核心类如下：

ApplicationFilterChain的filter顺序：

FilterChainProxy(springSecurityFilterChain)执行认证的顺序， 忽略的url将不命中任何filter， 而需要认证的url将通过VirtualFilterChain来认证。

starter默认启用的基于用户名密码的basic认证。

通过UsernamePasswordAuthenticationFilter组装UsernamePasswordAuthenticationToken去认证。

通过org.springframework.security.web.authentication.www.BasicAuthenticationFilter解析header Authorization， 然后组装成UsernamePasswordAuthenticationToken去给AuthenticationManager认证。

我们要做的就是模仿UsernamePasswordAuthenticationFilter或者BasicAuthenticationFilter解析header将我们的认证凭证传递给AuthenticationManager.

两种方式我实现了一遍，最终选择了基于UsernamePasswordAuthenticationFilter来实现。

上一步拿到用户凭证，接下来就是对凭证进行认证。由AuthenticationManager提供。简单理解下AuthenticationManager是什么。

* An AuthenticationManager must honour the following contract concerning * exceptions: * * A {@link DisabledException} must be thrown if an account is disabled and the * AuthenticationManager can test for this state. * A {@link LockedException} must be thrown if an account is locked and the * AuthenticationManager can test for account locking. * A {@link BadCredentialsException} must be thrown if incorrect credentials are * presented. Whilst the above exceptions are optional, an * AuthenticationManager must always test credentials. * * Exceptions should be tested for and if applicable thrown in the order expressed * above (i.e. if an account is disabled or locked, the authentication request is * immediately rejected and the credentials testing process is not performed). This * prevents credentials being tested against disabled or locked accounts. * * @param authentication the authentication request object * * @return a fully authenticated object including credentials * * @throws AuthenticationException if authentication fails */ Authentication authenticate(Authentication authentication) throws AuthenticationException; }

尝试认证传递过来的Authentication对象(即我们的UsernamePasswordAuthenticationToken)， 如果认证通过，返回全部信息以及authority权限，否则抛出AuthenticationException异常表示认证失败。

AuthenticationManager的初始化比较复杂，绕了好多路。在我们的SecurityConfig里可以找到声明的地方。

而AuthenticationManager是AuthenticationManagerDelegator来代替的，其代理的则是org.springframework.security.authentication.ProviderManager。

所以，我们定义provider来认证上一步的token是否合法。

以下是provider全部信息

前面截图里的filter chain，最前面是我们的自定义filter来认证的，最后面的FilterSecurityInterceptor则是权限校验。

可以看到，调用accessDecisionManager来判断是否继续，权限不足则抛出AccessDeniedException，对应处理就是403了。

AccessDecisionManager目前看到有两种，一个是全局配置，在我们配置Security Config里指定哪些url需要哪些权限。一个是method级别的配置，通过前者校验后判断method是否有权限。

AbstractAccessDecisionManager提供了3种方式。

Voter是什么呢？AccessDecisionVoter是真正判断权限的地方。通过对比当前登录用户的authority权限和要访问的资源的权限比较，返回如下code。

Spring Security默认使用ROLE_作为authority的前缀，然后表达式里的hasRole, hasAuthority几乎等价，这让我一直很困惑。尤其是当我使用user-role-permission模型的时候，差点以为hasRole是角色判断。所以，为了避免混淆，决定把ROLE_的前缀去掉。

方法就是声明一个类, 具体理由可以追寻源码hasRole来确定。

到现在差不多已经可以实现用户权限校验了。我们给需要权限敏感的api添加注解，比如@PreAuthorize("hasRole('can_list_user')"), 然后permission表里添加can_list_user, 然后角色表role绑定permission，最后把role指派给user。

然而，当系统需要权限的地方特别多的时候，绑定role的代价也很高。比如，我们需要一个超级管理员admin角色，那么这个admin就必须把所有的permission绑定一遍。想想就恐怖。

既然理解了Spring Security的权限校验方式，那么就可以自定义了。我们指定带有admin的authority直接通过，无需校验其他权限。