[译]Spring Security Architecture

原文

本文是 Spring Security 的入门指南，深入解析了 Spring Security 框架的设计和基础模块。我们仅涉及程序安全性的基础知识，但是这可以帮助使用 Spring Security 的开发者解开一些疑惑。为此，我们如何使用 filter 和方法注解来实践 web 应用的安全。如果你想在更高层次上理解如何保障应用安全性，或者想要定制应用安全，又或者你只是想了解设计应用安全的思路，那么本指南就很适合你。

本指南不是解决最基本问题之外的用户手册（这样文章已经有很多了），但是本文对初学者和高手都有一定的帮助。Spring Boot 在本文中经常被提及，因为它为 Spring Security 提供了一些默认配置并且这有助于理解 Spring Security 是如何适应整个架构的。而所有这些原则对不使用 Spring Boot 的应用同样适用。

认证和访问控制

应用安全总结起来就是两大问题：认证（authentication，你是谁？）和授权（authorization，允许你做什么？）有时候也会用访问控制（access control）这个名词来代替授权，这会让我们一些困惑，但以这种方式思考可能会有帮助：“授权”在其他地方已经实现了。Spring Security 的架构旨在将认证从授权中分离出来，并也有适用于两者的策略和可扩展的设计。

认证（Authentication）

用于认证的主要接口是 AuthenticationManager ，它只有一个方法：

public interface AuthenticationManager {
  Authentication authenticate(Authentication authentication)
    throws AuthenticationException;
}
复制代码

一个 AuthenticationManager 的 authenticate() 方法中有三种情况：

1. 返回 Authentication ( authenticated=true ），如果验证输入是合法的 Principal ）。
2. 抛出 AuthenticationException 异常，如果输入不合法。
3. 如果无法判断，则返回 null 。

AuthenticationException 是一个运行时异常，通常被应用程序以常规的方式的处理，这取决于应用的母的和代码风格。换句话说，代码中一般不会捕捉和处理这个异常。比如，可以使得网页显示认证失败，后端返回 401 HTTP 状态码，响应头中的 WWW-Authenticate 有无视情况而定。

AuthenticationManager 最普遍的实现是 ProviderManager ， ProviderManager 将认证委托给一系列的 AuthenticationProvider 实例 。 AuthenticationProvider 和 AuthenticationManager 很类似，但是它有一个额外的方法允许查询它支持的 Authentication 方式：

public interface AuthenticationProvider {
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;
  
	boolean supports(Class<?> authentication);
}
复制代码

supports 方法的 Class<?> authentication 参数其实是 Class<? extends Authentication> 类型的。一个 ProviderManager 在一个应用中能支持多种不同的认证机制，通过将认证委托给一系列的 AuthenticationProvider 。 ProviderManager 没有识别出的认证类型，将会被忽略。

每个 ProviderManager 可以有一个父类，如果所有 AuthenticationProvider 都返回 null ，那么就交给父类去认证。如果父类也不可用，则抛出 AuthenticationException 异常。

有时应用的资源会有逻辑分组（比如所有网站资源都匹配URL /api/** ），并且每个组都有自己的 AuthenticationManager ，通常是一个 ProviderManager ，它们之间有共同的父类认证器。那么父类就是一种全局资源，充当所有认证器的 fallback。

图1 ProviderManager 的继承关系

自定义 AuthenticationManager

Spring Security 提供了一些配置方式帮助你快速的配置通用的 AuthenticationManager 。最常见的是 AuthenticationManagerBuilder ，它可以使用内存方式（in-memory）、JDBC 或 LDAP、或自定义的 UserDetailService 来认证用户。下面是设置全局认证器的例子：

@Configuration
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {

   ... // web stuff here

  @Autowired
  public initialize(AuthenticationManagerBuilder builder, DataSource dataSource) {
    builder.jdbcAuthentication().dataSource(dataSource).withUser("dave")
      .password("secret").roles("USER");
  }

}
复制代码

虽然这个例子仅仅设计一个 web 应用，但是 AuthenticationManagerBuilder 的用处大为广阔（详细情况请看[Web 安全](#Web 安全)是如何实现的）。请注意 AuthenticationManagerBuilder 是通过 @AutoWired 注入到被 @Bean 注解的一个方法中的，这使得它成为一个全局 AuthenticationManager 。相反的，如果我们这样写：

@Configuration
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {

  @Autowired
  DataSource dataSource;

   ... // web stuff here

  @Override
  public configure(AuthenticationManagerBuilder builder) {
    builder.jdbcAuthentication().dataSource(dataSource).withUser("dave")
      .password("secret").roles("USER");
  }

}
复制代码

重写 configure(AuthenticationManagerBuilder builder) 方法，那么 AuthenticationManagerBuilder 仅会构造一个“本地”的 AuthenticationManager ，只是全局认证器的一个子实现。在 Spring Boot 应用中你可以使用 @Autowired 注入全局的 AuthenticationManager ，但是你不能注入“本地”的，除非你自己公开暴露它。

Spring Boot 提供默认的全局 AuthenticationManager ，除非你提供自己的全局 AuthenticationManager 。不用担心，默认的已经足够安全了，除非你真的需要一个自定义的全局 AuthenticationManager 。一般的，你只需只用“本地”的 AuthenticationManagerBuilder 来配置，而不需要担心全局的。

授权（Authorization）

一旦认证成功，我们就可以进行授权了，它核心的策略就是 AccessDecisionManager 。它提供三个方法并且全部委托给 AccessDecisionVoter ，这有点像 ProviderManager 将认证委托给 AuthenticationProvider 。

一个 AccessDecisionVoter 考虑一个 Authentication （代表一个 Principal ）和一个被 ConfigAttributes 装饰的安全对象：

boolean supports(ConfigAttribute attribute);

boolean supports(Class<?> clazz);

int vote(Authentication authentication, S object,
        Collection<ConfigAttribute> attributes);
复制代码

AccessDecisionVoter 和``AccessDecisionManager 方法中的 object 参数是完全泛型化的，它代表任何用户想要访问（web 资源或 Java 方法是最常见的两种情况）。 ConfigAttributes 也是相当泛型化的，它表示一个被装饰的安全对象并带有访问权限级别的元数据。 ConfigAttributes 是一个接口，仅有一个返回 String 的方法，返回的字符串中包含资源所有者，解释了访问资源的规则。常见的 ConfigAttributes 是用户的角色（比如 ROLE_ADMIN 和 ROLE_AUDIT ），它们通常有一定的格式（比如以 ROLE_`作为前缀）或者是可计算的表达式。

大部分人使用默认的 AccessDecisionManager ，即 AffirmativeBased （如果没有 voters 返回那么该访问将被授权）。任何自定义的行为最好放在 voter 中，不乱世添加一个新的 voter 还是修改已有的 voter。

使用 Spring Expression Language（SpEL）表达式的 ConfigAttributes 是很常见的，比如 isFullyAuthenticated() && hasRole('FOO') 。解析表达式和加载表达式由 AccessDecisionVoter 实现。要扩展可处理的表达式的范围，需要自定义 SecurityExpressionRoot ，优势也需要 SecurityExpressionHandler 。

Web 安全

Web 层中的 Spring Security 基于 Servlet 的 Filter 。所以先来看下 Filter 在 web 安全中所扮演的角色。下图展示了处理单个 HTTP 请求的经典分层结构。

客户端向应用发送请求，然后容器根据 URI 来决定哪个 filter（过滤器） 和哪个 Servlet 适用于它。一个 servlet 最多处理一个请求，过滤器是链式的，它们是有顺序的。事实上一个过滤器可以否决接下来的过滤器，如果它想独自处理这个请求的话。一个过滤器也可以对下流的过滤器和 servlet 修改响应和请求。所以过滤器的顺序十分重要，Spring Boot 提供管理过滤器的两种机制：一个是被 @Bean 注解的 Filter 可以用 @Order 注解或实现 Ordered 接口；另一个是过滤器是 FilterRegistrationBean 的一部分，它本身就有一个顺序。一些现有的过滤器定义了自己的常量来表示顺序，以帮助表明他们相对于彼此的顺序（比如 Spring Session 中的 SessionRepositoryFilter 的 DEFAULT_ORDER 的值为 Integer.MIN_VALUE + 50 ，它表示这个过滤器相对的在过滤链的前端，但是也不排斥在它之前的过滤器，前面还剩下50个位置）。

Spring Security 在过滤链中表现为一个 Filter ，其类型是 FilterChainProxy ，原因你很快就会知道。在一个 Spring Boot 应用中安全过滤器是 ApplicationContext 中的一个 Bean ，并且它是默认配置的，所以在每次请求中都会存在。而它在过滤链中的位置由 SecurityProperties.DEFAULT_FILTER_ORDER 决定，而该位置又由 FilterRegistrationBean.REQUEST_WRAPPER_FILTER_MAX_ORDER （值为0，是 Spring Boot 中改变请求行为的过滤器的顺序的最大值）锚定。（译者注： Order 的值越小，越在过滤链的前端）。除此之外，从容器的角度来看 Spring Security 是一个单独的过滤器，但是其中包含了额外过滤器，每个过滤器都发挥特殊的作用，如下图所示：

图2 Spring Security 是一个单独的物理过滤器，但是它将请求委托一系列的内部过滤器

事实上内部的安全过滤器不止一个层次结构：它们通常是 DelegatingFilterProxy ，不需要是一个 Spring Bean 。代理委托给 FilterChainProxy ，而它是一个 Bean ，bean 的名字通常是 springSecurityFilterChain 。 FilterChainProxy 包含了所有内部安全过滤器，并且以一定顺序排列成过滤链。其中所有的过滤器都有相同的 API（它们都实现了Servlet规范的 Filter 接口），它们都有机会否决过滤链的下流部分。

Spring Security 可以在同一顶层 FilterChainProxy 中管理多个过滤器链，并且对容器来说都是未知的。Spring Security Filter 包含了一系列的过滤链，并且向这些链分发匹配它们的请求。下图展示了根据请求路径来分发（ /foo/** 在 /** 之前匹配）。这是一种常见但不是唯一的分发方式。最重要的特征是，分发过程中，只有一条过滤链只处理该请求。

图3 Spring Security FilterChainProxy 分发请求给首先匹配的过滤链。

一个纯净的（没有自定义安全配置的） Spring Boot 应用通常有 n 条过滤链，n = 6。第一条链（n-1）是忽略静态资源的，比如 /css/** 和 /images/** ，和错误页面 /error (这些路径可以在 SecurityProperties 中的 security.ignored 里配置)。最后一条链匹配所有路径 /** ，并且包含认证逻辑、授权、异常处理、session 处理，响应头处理等。这条过滤链中默认一共有 11 个过滤器，我们一般不关心使用哪个过滤器以及在何时使用他们。

注意： 意识到 Spring Security 的内部过滤器对容器是透明的这是很重要的，所有的 Filter 都以 @Bean 的方式自动注册到容器中。所以如果你想在安全过滤链中添加过滤器，你 不需要 使用 @Bean 注解或将其包裹在显示禁用容器注册的 FilterRegistrationBean 中。

创建和自定义过滤链

Spring Boot 中默认的 fallback 过滤链（使用 /** 匹配的过滤链）有一个预定义的顺序 SecurityProperties.BASIC_AUTH_ORDER 。你可以使用 security.base.enabled=false 关闭它，或者你可以定义一个更低的顺序值（译者注：越低的值表示顺序更前，所以它的顺序在默认的 fallback 之前）。只要添加一个 WebSecurityConfigurerAdapter 或 WebSecurityConfigurer 的 Bean 然后用 @Order 注解。比如：

@Configuration
@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)
public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.antMatcher("/foo/**")
     ...;
  }
}
复制代码

这个 Bean 将导致 Spring Security 在默认的 fallback 之前添加一个过滤链。

许多应用中对一组资源的和另一组资源的访问规则可能大不相同。比如一个有前端页面和后端 API 的应用支持基于 cookie 的认证将用户重定向到登录界面，同时也支持基于 token 的认证，认证失败将返回 401 响应码。每组资源有它自己的 WebSecurityConfigurerAdapter ，并且有这唯一的顺序和他自己的请求匹配规则。如果匹配规则重叠，则匹配顺序最前的过滤链。

请求匹配分发和授权

一条安全过滤链（等价的 ，就是一个 WebSecurityConfigurerAdapter ）拥有一个请求匹配规则用来匹配 HTTP 请求。一旦有应用了一条过滤链，则其他过滤链就不会使用。但在一条过滤链中，你可以通过 HttpSecurity 在 更细的粒度 上配置匹配规则。比如：

@Configuration
@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)
public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.antMatcher("/foo/**")
      .authorizeRequests()
        .antMatchers("/foo/bar").hasRole("BAR")
        .antMatchers("/foo/spam").hasRole("SPAM")
        .anyRequest().isAuthenticated();
  }
}
复制代码

配置 Spring Security 最容易犯的一个错误就是忘记匹配规则可以应用在不同的范围中，一个是整条过滤链，另一个是应用于过滤链匹配规则中的规则。

将应用安全规则与Actuator 规则结合

略

Method 安全

Spring Security 在支持 web 安全的同时，也提供了对 Java 方法执行的访问规则。对于 Spring Security 来说，方法只是一种不同类型的“资源”而已。对用户来说，访问规则在 ConfigAttribute 中有相同的格式（比如 角色 或者 表达式），但在代码中有不同的配置。第一步就是启用方法安全，比如你可以在应用的启动类上进行配置：

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SampleSecureApplication {
}
复制代码

之后，便可以在方法上直接使用注解：

@Service
public class MyService {

  @Secured("ROLE_USER")
  public String secure() {
    return "Hello Security";
  }

}
复制代码

这个例子是一个有 安全方法 的服务。如果 Spring 创建了 MyService Bean，那么它将被代理，调用者必须在方法调用之前通过一个安全拦截器。如果访问被拒绝，调用者会抛出一个 AccessDeniedException 而不是执行这个方法的结果。

还有其他可用于强制执行安全约束的方法注解，特别是 @PreAuthorize 和 @PostAuthorize , 它们允许你在其中写 SpEL 表达式并可以引用方法的参数和返回值。

**提示：**把 web 安全和方法安全放在一起并不突兀。过滤链提供了用户体验特性，比如认证和重定向到登录界面。而方法安全在更细粒度级别上提供了保护。

Spring Security 和线程

Spring Security是线程绑定的，因为它需要保证当前的已认证的用户（authenticated principal）对下流的消费者可用。基本构建块是 SecurityContext ，它可能包含 Authentication （当一个用户登陆后， authenticated 肯定是 true ）。你总是可以从 SecurityContextHolder 中的静态方法得到 SecurityContext ，它内部使用了 ThreadLocal 进行管理。

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
assert(authentication.isAuthenticated);
复制代码

这种操作并不常见，但是它可能对你有帮助。比如，你需要写一个自定义的认证过滤器（尽管如此，Spring Security 中还有一些基类可用于避免使用 SecurityContextHolder 的地方）。

如果需要访问 web endpoint（译者注：对应响应的 URL） 中经过身份验证的用户，则可以在 @RequestMapping 中使用方法参数注解。例如：

@RequestMapping("/foo")
public String foo(@AuthenticationPrincipal User user) {
  ... // do stuff with user
}
复制代码

这个注解相当于从 SecurityContext 中获得当前 Authentication ，并调用 getPrincipal() 方法赋值给方法参数。 Authentication 中的 Principal 取决与用来认证的 AuthenticationManager ，所以这对于获得对用户数据类型的安全引用来说是一个有用的小技巧。

如果使用了 Spring Security，那么在 HttpServletRequest 中的 Principal 将是 Authentication 类型，因此你也可以直接使用它：

@RequestMapping("/foo")
public String foo(Principal principal) {
  Authentication authentication = (Authentication) principal;
  User = (User) authentication.getPrincipal();
  ... // do stuff with user
}
复制代码

如果你需要编写在没有使用 Spring Security 的情况下的代码，那么这会很有用（你需要在加载 Authentication 类时更加谨慎）。

异步执行安全方法

因为 SecurityContext 是线程绑定的，所以如果你想在后台执行安全方法，比如使用 @Async ，你需要确保上下文的传递。这总结起来就是将 SecurityContext 用 Runnable 、 Callable 等包裹起来在后台执行。Spring Security 提供了一些帮助使之变得简单，比如 Runnable 和 Callable 的包装器。 要将 SecurityContext 传递到 @Async 注解的方法，你需要编写 AsyncConfigurer 并确保 Executor 的正确性：

@Configuration
public class ApplicationConfiguration extends AsyncConfigurerSupport {

  @Override
  public Executor getAsyncExecutor() {
    return new DelegatingSecurityContextExecutorService(Executors.newFixedThreadPool(5));
  }
}
复制代码