Authentication in Spring Security

关于 Spring Security 里的 Authentication,官方文档总结的不错。理解这些 classes 的作用与关系是正确使用 Spring Security Authentication 的前提。

认证的方式不同,认证逻辑就不同,这样每个认证方式都会有对应的 fitler 实现。执行认证的大致流程以 AbstractAuthenticationProcessingFilter 为例描述一下。不同类别的 Authentication Filter 的处理略有差异,但大体逻辑差不多:

  1. Authentication Filter 接收请求 http request。
  2. 从 request 中获取凭证(credential)等数据,封装在Authentication对象中,比如:OAuth2LoginAuthenticationToken, UsernamePasswordAuthenticationToken 等。
  3. AuthenticationManager向对其传入的 Authentication 进行实际的认证工作。
  4. 认证成功的处理,比如保存设置了授权信息的 Authentication 到SecurityContext中。
  5. 失败进行处理。

1) Authentication Filter 接收请求

当用户发送了 http request 进行认证,将被负责 authentication 的 filter 处理。这些 filters 实际的认证工作大多数(不是全部)都是由 AuthenticationManager 完成的。比如,像 AbstractPreAuthenticatedProcessingFilter 这些类本身就是接收的是第三方已经认证的请求,所以无需 AuthenticationManager。 另外像 AnonymousAuthenticationFilter 也无需 AuthenticationManager 的参与。
所以虽然都是认证,但是因为不同场景处理的逻辑不同,所以与 AuthenticationFilter 相关类的父类并不相同。大致可以分成以下三类。

1)继承自 AbstractAuthenticationProcessingFilter 的 authentication fitler class 有 3 个。

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter
public class OAuth2LoginAuthenticationFilter extends AbstractAuthenticationProcessingFilter
public class Saml2WebSsoAuthenticationFilter extends AbstractAuthenticationProcessingFilter
AbstractAuthenticationProcessingFilter

2)继承自 AbstractPreAuthenticatedProcessingFilter 的类有 5 个。

public class RequestHeaderAuthenticationFilter extends AbstractPreAuthenticatedProcessingFilter
public class RequestAttributeAuthenticationFilter extends AbstractPreAuthenticatedProcessingFilter
AbstractPreAuthenticatedProcessingFilter

3)其它分别直接继承 OncePerRequestFilter 和 GenericFilterBean,比如:

OncePerRequestFilter 较 GenericFilterBean 可以保证只被 filters 处理一次。

public class BearerTokenAuthenticationFilter extends OncePerRequestFilter
public class BasicAuthenticationFilter extends OncePerRequestFilter

public class AnonymousAuthenticationFilter extends GenericFilterBean
public class RememberMeAuthenticationFilter extends GenericFilterBean

2)Request to Authentication

Authentication 这个类在认证前主要用于承载认证需要的凭证信息,比如用户名密码。authentication 对象也就等同于一个 authentication request 的 event,并包含请求者进行认证所必须的信息。

3)AuthenticationManager

authentication 对象会传递给AuthenticationManager 的方法 authenticate()做认证。
AuthenticationManager 是个 interface,它的实现类如下图片所示。

在认证后,principal 的授权信息会被写在 authentication 对象的 authorities 字段。下图摘自《Spring Security in Action》,使用 username password 做认证。

如上图所示的,具体的认证工作是委托给AuthenticationProvider完成的。在 Spring Security 的代码实现中,也并不是由 AuthenticationManager 直接包含一组 AuthenticationProvider 的方式完成,中间还有一个叫做ProviderManager的类,下面列出它的两个关键字段体会下。

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {

    private List<AuthenticationProvider> providers = Collections.emptyList();

    private AuthenticationManager parent;
    ... ...
}

可以看到 ProviderManager 包含的不是一个 provider 而是 a list of providers。通过提供一组 providers 就向用户提供了更多灵活控制的可能性。当然随之而来的就是这里就需要明确定义 providers 的认证结果以谁为准的规则。源码 authenticate()的 doc 说得很明白:

Attempts to authenticate the passed Authentication object.
The list of AuthenticationProviders will be successively tried until an AuthenticationProvider indicates it is capable of authenticating the type of Authentication object passed. Authentication will then be attempted with that AuthenticationProvider.
If more than one AuthenticationProvider supports the passed Authentication object, the first one able to successfully authenticate the Authentication object determines the result, overriding any possible AuthenticationException thrown by earlier supporting AuthenticationProviders. On successful authentication, no subsequent AuthenticationProviders will be tried. If authentication was not successful by any supporting AuthenticationProvider the last thrown AuthenticationException will be rethrown.

让我们对比一下 AuthenticationManger 和 AuthenticationProvider 这两个 interface 的定义。看了下面的定义,你会不会问一个问题:既然两个接口有一个一摸一样的方法 authentication(),为什么不让 AuthenticationProvider 继承 AuthenticationManager? 我想或许是为了明确两个类的职责吧。

以图形的方式看看它们的关系:

如果我们要实现某个特殊的在 Spring 里没有的认证方式,我们就需要实现自定的 AuthenticationProvider 并通过覆盖 WebSecurityConfigurerAdapter 里的 configure()方法实现。

@Configuration
public class ProjectConfig extends WebSecurityConfigurerAdapter {

@Autowired
private AuthenticationProvider authenticationProvider;

@Override
protected void configure(AuthenticationManagerBuilder auth) {
    auth.authenticationProvider(authenticationProvider);
}

不过这个类已经被官方 API 文档标为 Deprecated,并推荐使用 HttpSecurity 定义 SecurityFilterChain 的方式或者通过 WebSecurityCustomizer 来配置 WebSecurity。参考源码:

到这里我们应该已经知道具体的认证逻辑都在 AuthenticationProvider 里。想知道 Spring Security 提供了哪些开箱即用的 provider 吗?见下图,一共 17 个。

再捋一下与认证相关的类,就结束这篇吧。虽然没有涉及过多细节,相信理解了这些脉略应该也能在 copy-past 代码的时候点点头了。。。
SecurityContextHolder:保存 SecurityContext 的地方。
SecurityContextHolderStrategy:定义 SecurityContext 在线程中共享的策略模式。如果要跨线越 Spring 管理的线程,请参考 。。。。
SecurityContext - 认证成功后 Authentication 对象就放在这里。
Authentication - 存放要认证的信息以及被 AuthenticationManager 认证后的结果,认证成功后被放入 SecurityContext。
GrantedAuthority - 请求认证的 principal 认证成功后被赋予的权限(i.e. roles, scopes, etc.)
AuthenticationManager - authentication 相关的 filter 调用这个对象做认证。
AbstractAuthenticationProcessingFilter:各个认证相关 filter 的父类。
ProviderManager - AuthenticationManager 的一个实现.
AuthenticationProvider - 由 ProviderManager 用来做具体的认证。
AuthenticationEntryPoint: 用于询问并接收用户的 credentials,可以是重定向到一个网页或者发送 http WWW-Authenticate response。

我想现在我们看到下面这些类时,就应该能够大致知道/理解他们在 Spring Security Authentication 类图里的位置了吧?
UserDetails, User
UserDetailsService, UserDetailsManager, JdbcUserDetailsManager
PasswordEncoder
如果没有,一定是我还没描述清楚。


References:
[1]: https://docs.spring.io/spring-security/reference/servlet/authentication/architecture.html
[2]: 《Spring Security in Action》