设置 jwt 无状态身份验证(可在此处获取)后,我想通过识别关键组件及其交互来了解 spring security 抽象下发生的情况。为了让这种探索更有吸引力,我使用标准 http 库在 go 中重新实现了一个最小版本。通过分解三个核心流程 - 注册、令牌生成和受保护的资源访问 - 并在 go 中重建它们,我开始将 spring security 的身份验证模式映射到更简单的组件。
这篇文章特别关注身份验证流程 - 系统如何验证用户身份 - 而不是授权。我们将使用序列图探索流程,这些序列图通过 Spring Security 架构中的不同组件跟踪请求。
主要部件
系统提供三个端点:
- 用户注册:接受新用户的用户名和密码
- 令牌生成(登录):当用户使用有效凭据成功登录时创建 JWT 令牌
- 受保护的访问:使经过身份验证的用户能够使用其令牌访问受保护的资源。 getAuthenticatedUser 端点作为示例,返回经过身份验证的令牌持有者的个人资料信息
在以下部分中,我将解释每个流程中涉及的核心组件,并为每个流程提供序列图。
注册流程
包含用户名和密码的注册请求通过 Spring Security 过滤器链,由于注册端点被配置为不需要在 SecurityConfiguration 中进行身份验证,因此在该过滤器链中进行的处理最少。然后请求通过 Spring 的 DispatcherServlet,后者根据 URL 模式将其路由到 UserController 中的适当方法。请求到达 UserController 的注册端点,其中用户信息与散列密码一起存储。
代币生成流程
包含用户名和密码的登录请求通过 Spring Security 过滤器链,其中发生最少的处理,因为此端点也配置为不需要在 SecurityConfiguration 中进行身份验证。请求通过 Spring 的 DispatcherServlet 移动到 UserController 的登录端点,该端点委托给 AuthenticationManager。使用 ApplicationConfiguration 中定义的配置 bean,AuthenticationManager 根据存储的凭据验证提供的凭据。身份验证成功后,UserController 使用 JwtService 生成包含用户信息和创建时间等元数据的 JWT 令牌,该令牌将返回给客户端以供后续经过身份验证的请求。
受保护的资源访问流程
成功的身份验证流程 (200)
身份验证流程失败 (401)
当授权标头中包含 JWT 令牌的请求到达时,它会通过 JwtAuthenticationFilter - 自定义定义的 OncePerRequestFilter - 它使用 JwtService 处理令牌。如果有效,过滤器将通过 ApplicationConfiguration 中配置的 UserDetailsService 检索用户,并在 SecurityContextHolder 中设置身份验证。如果令牌丢失或无效,过滤器将允许请求继续,而无需设置身份验证。
在链的后面,AuthorizationFilter 检查请求是否通过 SecurityContextHolder 进行了正确的身份验证。当它检测到缺少身份验证时,它会抛出 AccessDeniedException。此异常由 ExceptionTranslationFilter 捕获,它检查用户是否是匿名的,并委托给 SecurityConfiguration 中配置的 JwtAuthenticationEntryPoint 返回 401 Unauthorized 响应。
如果所有过滤器都通过,请求将到达 Spring 的 DispatcherServlet,后者将其路由到 UserController 中的 getAuthenticatedUser 端点。此端点从过滤器链过程中填充的 SecurityContextHolder 检索经过身份验证的用户信息。
注意:Spring Security 采用丰富的过滤器和专用组件生态系统来处理各种安全问题。为了理解核心身份验证流程,我只关注 JWT 令牌验证和用户身份验证中的关键参与者。
Go 实现:映射组件
Go 实现通过映射到关键 Spring Security 组件的简化架构提供类似的功能:
过滤链
- 提供 Spring Security 过滤器链的最小版本
- 按顺序处理每个请求的过滤器
- 使用每个请求链实例(VirtualFilterChain)来实现线程安全
调度员
- 映射到 Spring 的 DispatcherServlet
- 安全过滤器处理后将请求路由到适当的处理程序
身份验证上下文
- 使用Go的上下文包来存储每个请求的身份验证状态
- 映射到 Spring 的 SecurityContextHolder
JwtFilter
- 直接相当于Spring的JwtAuthenticationFilter
- 提取并验证 JWT 令牌
- 成功验证后填充身份验证上下文
身份验证过滤器
- Spring的AuthorizationFilter的简化版
- 专注于身份验证
- 检查身份验证上下文,如果缺失则返回 401
JwtService
- 类似于Spring的JwtService
- 处理令牌生成和验证
- 使用相同的核心 JWT 操作,但配置更简单
测试覆盖率
两种实现都包括验证密钥身份验证场景的集成测试(auth_test.go 和 AuthTest.java):
报名流程
- 使用有效凭据成功用户注册
- 重复的用户名注册尝试
登录流程
- 使用有效凭据成功登录
- 尝试使用不存在的用户名登录
- 尝试使用错误密码登录
受保护的资源访问
- 使用有效令牌成功访问
- 没有 auth header 的访问尝试
- 尝试使用无效令牌格式进行访问
- 使用过期令牌进行访问
- 尝试使用有效的令牌格式进行访问,但用户不存在
Java 实现包括详细注释,通过 Spring Security 的过滤器链解释每个测试场景的流程。使用等效组件在 Go 实现中复制这些相同的流程。
旅程总结
我通过将 Spring Security 的 JWT 身份验证分解为流程和测试用例来研究它。然后我将这些模式映射到 Go 组件。集成测试向我展示了请求如何流经 Spring Security 的过滤器链和组件。构建这些模式的简单版本帮助我理解了 Spring Security 的设计。测试证明两种实现都以相同的方式处理身份验证。通过分析、测试和重建,我对 Spring Security 的身份验证工作原理有了更深入的了解。
