SpringSecurity原理剖析與權限系統設計
Spring Secutity和Apache Shiro是Java領域的兩大主流開源安全框架,也是權限系統設計的主要技術選型。本文主要介紹Spring Secutity的實現原理,并基于Spring Secutity設計基于RBAC的權限系統。
一、技術選型
- 為何把Spring Secutity作為權限系統的技術選型,主要考慮了以下幾個方面:
- 數據鑒權的能力:Spring Secutity支持數據鑒權,即細粒度權限控制。
- Spring生態基礎:Spring Secutity可以和Spring生態無縫集成。
多樣認證能力:Spring Secutity支持多樣認證方式,如預認證方式可以與第三方認證系統集成。
二、核心架構
權限系統一般包含兩大核心模塊:認證(Authentication)和鑒權(Authorization)。
- 認證:認證模塊負責驗證用戶身份的合法性,生成認證令牌,并保存到服務端會話中(如TLS)。
- 鑒權:鑒權模塊負責從服務端會話內獲取用戶身份信息,與訪問的資源進行權限比對。
官方給出的Spring Security的核心架構圖如下:
核心架構解讀:
- AuthenticationManager:負責認證管理,解析用戶登錄信息(封裝在Authentication),讀取用戶、角色、權限信息進行認證,認證結果被回填到Authentication,保存在SecurityContext。
- AccessDecisionManager:負責鑒權投票表決,匯總投票器的結果,實現一票通過(默認)、多票通過、一票否決策略。
- SecurityInterceptor:負責權限攔截,包括Web URL攔截和方法調用攔截。通過ConfigAttributes獲取資源的描述信息,借助于AccessDecisionManager進行鑒權攔截。
- SecurityContext:安全上下文,保存認證結果。提供了全局上下文、線程繼承上下文、線程獨立上下文(默認)三種策略。
- Authentication:認證信息,保存用戶的身份標示、權限列表、證書、認證通過標記等信息。
- SecuredResource:被安全管控的資源,如Web URL、用戶、角色、自定義領域對象等。
- ConfigAttributes:資源屬性配置,描述安全管控資源的信息,為SecurityInterceptor提供攔截邏輯的輸入。
三、設計原理
通過對源碼的分析,我把Spring Security的核心領域模型設計整理如下:
全局抽象模型解讀:
- 配置:AuthenticationConfiguration負責認證系統的全局配置,GlobalMethodSecurityConfiguration負責方法調用攔截的全局配置。
- 構建:AuthenticationConfiguration通過AuthenticationManagerBuilder構建認證管理器AuthenticationManager,GlobalMethodSecurityConfiguration會自動初始化AbstractSecurityInterceptor進行方法調用攔截。
- Web攔截:HttpSecurity對Web進行安全配置,內置了大量GenericFilterBean過濾器對URL進行攔截。負責認證的過濾器會通過AuthenticationManager進行認證,并將認證結果保存到SecurityContext。
- 方法攔截:Spring通過AOP技術(cglib/aspectj)對標記為@PreAuthorize、@PreFilter、@PostAuthorize、@PostFilter等注解的方法進行攔截,通過AbstractSecurityInterceptor調用AuthenticationManager進行身份認證(如果必要的話)。
- 認證:認證管理器AuthenticationManager內置了多種認證器AuthenticationProvider,只要其中一個認證通過,認證便成功。不同的AuthenticationProvider獲取各自需要的信息(HTTP請求、數據庫查詢、遠程服務等)進行認證,認證結果全部封裝在Authentication。需要加載用戶、角色、權限信息的認證器(如密碼認證、預認證等)需要對接UserDetailsManager接口實現用戶CRUD功能。
- 鑒權:權限攔截器AbstractSecurityInterceptor通過讀取不同的SecurityMetadataSource加載需要被鑒權資源的描述信息ConfigAttribute,然后把認證信息Authentication、資源描述ConfigAttribute、資源對象本身傳遞給AccessDecisionManager進行表決。AccessDecisionManager內置了多個投票器AccessDecisionVoter,投票器會將鑒權信息中的ConfigAttribute轉換為SpringEL的格式,通過表達式處理器SecurityExpressionHandler執行基于表達式的鑒權邏輯,鑒權邏輯會通過反射的方式轉發到SecurityExpressionRoot的各個操作上去。
- 定制:通過WebSecurityConfigureAdapter可以定制HTTP安全配置HttpSecurity和認證管理器生成器AuthenticationManagerBuilder;通過AbstractPreAuthenticatedProcessingFilter可以定制預認證過濾器;通過UserDetailsManager和UserDetails接口可以對接自定義數據源;通過GrantedAuthority定制權限信息;通過PermissionEvaluator可以定制自定義領域模型的訪問控制邏輯。
四、應用集成
理清Spring Security的定制點后,就可以在系統內部集成Spring Security了。
這里使用預認證的方式,以適配第三方認證系統。AbstractPreAuthenticatedProcessingFilter提供了預認證的擴展點,基于該抽象類實現一個自定義認證過濾器。
- public class MyPreAuthFilter extends AbstractPreAuthenticatedProcessingFilter {
- @Override
- protected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {
- // 從第三方系統獲取用戶ID
- return userId;
- }
- @Override
- protected Object getPreAuthenticatedCredentials(HttpServletRequest request) {
- return "";
- }
- }
Spring Security會根據預認證過濾器getPreAuthenticatedPrincipal返回的用戶ID信息,加載用戶角色等初始信息。這里需要實現UserDetailsManager接口,提供用戶信息管理器。
- @Service
- public class MyUserManager implements UserDetailsManager {
- @Override
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- // 從數據庫加載用戶信息
- return user;
- }
- // 其他管理接口
- }
UserDetails內包含了GrantedAuthority接口類型的權限信息抽象,一般可以基于它自定義角色和權限。Spring Security使用一種接口形式表達角色和權限,角色和權限的差別是角色的ID是以"ROLE_"為前綴。
- public class MyRole implements GrantedAuthority {
- private final String role;
- @Override
- public String getAuthority() {
- return "ROLE_" + role;
- }
- }
- public class MyAuthority implements GrantedAuthority {
- private final String authority;
- @Override
- public String getAuthority() {
- return authority;
- }
- }
接下來注冊自定義認證過濾器和用戶管理器,這里需要實現WebSecurityConfigurerAdapter進行Web安全配置。
- @EnableWebSecurity
- @EnableGlobalMethodSecurity(prePostEnabled = true, mode = AdviceMode.PROXY)
- public class MySecurityConfig extends WebSecurityConfigurerAdapter {
- @Autowired
- UserDetailsManager userDetailsManager;
- @Bean
- protected AuthenticationProvider createPreAuthProvider() {
- // 注冊用戶管理器
- PreAuthenticatedAuthenticationProvider provider = new PreAuthenticatedAuthenticationProvider();
- provider.setPreAuthenticatedUserDetailsService(new UserDetailsByNameServiceWrapper<>(userDetailsManager));
- return provider;
- }
- @Override
- protected void configure(HttpSecurity http) throws Exception {
- // 注冊預認證過濾器
- http.addFilter(new MyPreAuthFilter(authenticationManager()));
- }
- }
這樣,最簡單的Spring Security框架集成內系統內部已經完成了。在系統的任意服務接口上可以使用如下方式進行鑒權。
- public interface MyService {
- @PreAuthorize("hasAuthority('QUERY')")
- Object getById(String id);
- @PreAuthorize("hasRole('ADMIN')")
- void deleteById(String id);
- }
PreAuthorize注解表示調用前鑒權,Spring使用默認使用動態代理技術生成鑒權邏輯。注解內配置了SpringEL表達式來定制鑒權方式。上述代碼中,hasAuthority會檢查用戶是否有QUERY權限,hasRole會檢查用戶是否有ADMIN角色。
使用動態代理的方式進行AOP,只允許在接口層面進行權限攔截,如果想在任意的方法上進行權限攔截,那么就需要借助于AspectJ的方式進行AOP。首先將注解EnableGlobalMethodSecurity的mode設置為AdviceMode.ASPECTJ,然后添加JVM啟動參數,這樣就可以在任意方法上使用Spring Security的注解了。
- javaagent:/path/to/org/aspectj/aspectjweaver/1.9.4/aspectjweaver-1.9.4.jar
以上還是只是以用戶的身份信息(角色/權限)進行權限,靈活度有限,也發揮不了Spring Security的數據鑒權的能力。要使用數據鑒權,需要實現一個Spring Bean。
- @Component
- public class MyPermissionEvaluator implements PermissionEvaluator {
- @Override
- public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
- // 自定義數據鑒權
- return false;
- }
- @Override
- public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
- // 自定義數據鑒權
- return false;
- }
- }
PermissionEvaluator會被自動注冊到Spring Security框架,并允許在注解內使用如下方式進行鑒權。
- @PreAuthorize("hasPermission(#id, 'QUERY')")
- Object func1(String id) {
- }
- @PreAuthorize("hasPermission(#id, 'TABLE', 'QUERY')")
- Object func2(String id) {
- }
其中,func1的注解表示校驗用戶是否對id有QUERY權限,代碼邏輯路由到MyPermissionEvaluator的第一個接口。func2的注解表示校驗用戶是否對TABLE類型的id有QUERY權限,代碼邏輯路由到MyPermissionEvaluator的第二個接口。PermissionEvaluator提供了權限系統中數據鑒權的擴展點,稍后會描述如何利用該擴展點定制基于RBAC的權限系統。
五、權限系統
構建基于RBAC(Role Based Access Control)的權限系統,需要明確用戶、角色、權限、資源這幾個核心的概念類的含義和它們之間的關系。
資源:權限系統內需要安全控制的客體,一般是系統內的數據或功能。
權限:描述了資源上的操作抽象,一般是一種動作。
授權:是權限和資源的組合,表示對資源的某一個操作。
角色:描述了一組授權的集合,表示一類特殊概念的功能集。
用戶:權限系統的主體,一般是當前系統的訪問用戶,用戶可以擁有多種角色。
以下是我們設計的基于RABC的權限核心領域模型:
一般情況下,系統內需要權限管控的資源是無法用戶自定義的,因為資源會耦合大量的業務邏輯,所以我們提供了自 資源工廠,通過配置化的方式構建業務模塊所需的資源。而用戶、角色、權限,以及授權記錄都是可以通過相應的管理器進行查詢更新。
另外,資源抽象允許表達資源的繼承和組合關系,繼而表達更復雜的資源模型,資源統一鑒權的流程為:
- 執行鑒權時,首先看資源是原子資源還是組合資源。
- 對于原子資源,先查詢是否有授權記錄,再查看角色預授權是否包含當前授權,存在一種便成功。
- 沒有授權記錄和角色預授權的原子資源,嘗試用父資源(如果有的話)代替鑒權,否則鑒權失敗。
- 對于組合資源,先進行資源展開,獲取子資源列表。
- 遍歷子資源列表,并依次對子資源進行鑒權,子資源鑒權結果匯總后,即組合資源鑒權結果。
- 綜上,基于統一資源抽象和資源配置化構建,可以實現資源的統一構建,繼而實現統一鑒權。
六、總結回顧
本文從Spring Security的架構和原理出發,描述了開源安全框架對于認證和鑒權模塊的設計思路和細節。并提供了系統內集成Spring Security的方法,結合RBAC通用權限系統模型,討論了統一資源構建和統一鑒權的設計和實現。如果你也需要設計一個新的權限系統,希望本文對你有所幫助。
