今天跟大家聊聊 Spring Security 的前世今生

最近有小伙伴问我 Spring Security 相关知识，索性我就写点这方面的文章给大家，希望大家看了会有点收获。

前世今生

Spring Security的前身并非称呼为Spring Security，而是叫Acegi Security；但这并不意味着它与Spring毫无关系，它仍然是为Spring提供安全支持的。

Acegi Security搭上了Spring的便车，摇身一变成为Spring Security，但即便如此其还是继承了Acegi Security的臃肿繁琐的配置，学习成本相对还是十分的高。

直到有一天，Spring Boot横空出世，提出约定优于配置等理念，极大的简化了繁琐的配置；Spring Security也收益于此，一飞冲天。

功能介绍

安全这个话题绕不开 认证 和 授权 这两个方面，Spring Security也是如此，其作为一个权限管理框架，最核心的功能有：

• 认证（你是谁？）

• 授权（你能做什么？）

• 攻击防护（防止伪造身份)

Spring Security提供了很多的认证和授权方案，但作为一个优秀的开放框架，它的优点更在于“扩展性”，当其提供的认证或授权方案无法满足我们的需求时，我们可以自定义认证或授权逻辑。例如后续会讲解到的《认证（三）：验证码认证登录模式》。

实现原理

Spring Security底层是通过一组过滤器链来实现的，过滤器链上的每个 Filter 各司其职，但同时又相互关联；因此了解 Filter 的顺序就显得十分的重要，下面会介绍几个比较核心的Filter。

如图所示，一个请求在到达API之前会经过Spring Security的过滤器链进行校验，只有"合法规范"的请求才能被API所接收。

荧光绿的都属认证过滤器，我们可以配置其是否生效，也可以自定义认证过滤器添加到过滤器链上，可控性相对比较高；其他的深蓝色ExceptionTranslationFilter和橘色FilterSecurityinterecptor则没法随意的控制。

备注：为避免引入过多的概念，该过滤器链并非完整的链路图，只是截图了部分过滤器。

1. 表单登录过滤器

UsernamePasswordAuthenticationFilter 是表单登录过滤器，表单登录也是我们最常见的登录方式；对于表单登录过滤器来说，它的主要职责为：

• 检查请求是否为登录请求&检查请求中是否含有自身需要的认证信息（username、password）。

• 如果不满足则放行让下一个过滤器进行校验，如符合自身认证要求则进行认证。

2. Basic认证过滤器

BasicAuthenticationFilter 过滤器是用来处理Http请求中的Basic Authorization头部；当一个 Http请求头(Reqeust Header)中包含Authorization，并且其值为 Basic xxx的时候，BasicAuthenticationFilter就会生效。

主要职责：

• 尝试解析 Http basic authorization获取相应的认证信息（username、password）。

• 如果不满足则放行让下一个过滤器进行校验，如符合则自身进行认证。

3. 异常转换过滤器

ExceptionTranslationFilter 是一个异常过滤器，用来处理 认证 或 授权过程中抛出的异常，这个很好理解；正如我们自身项目会有异常处理一般，Spring Security也有对应的异常处理机制。

该过滤器的主要职责是对在 FilterChain 范围内抛出的AccessDeniedException(授权异常基类) 和 AuthenticationException(认证异常基类)，转换为对应的HTTP错误码返回或者返回对应的页面。

4. FilterSecurityInterceptor过滤器

FilterSecurityInterceptor过滤器位于过滤器链上的最后一环，其主要负责的是：权限的校验；判断请求的用户是否有权限访问该API。保护web Uri 并且在访问被拒绝时抛出异常。

总结

本篇文章为 Spring Security 系列文章的概述篇，主要介绍了Spring Security的前世今生、提供的主要功能、以及其实现原理的粗略探讨。后面我继续跟大家深入讲解。