[Spring boot + Spring Security] Overview
This post has been more than 2 years since it was last updated.
1.Overview and Spring Architecture
Spring security là một framework của spring được tạo ra nhằm phục vụ việc Authentication(Xác thực) và Authorization (Phần quyền) cho các ứng dụng java. Chủ yếu sẽ là các ứng dụng web và rest service.
2. Workflow
- Mỗi request vào hệ thống sẽ được trải qua một tập các Filter, tập các filter này được quản lý bởi một
springSecurityFilterChain
, cụ thể ở đây làDelegatingFilterProxy
. Bản chất fillterProxy này giữ một tập các filter đã được định nghĩa trước và lần lượt cho request đi qua filter một - Với mỗi Filter, sẽ có một
authenticationProvider
phù hợp tương ứng. Ví dụ khi filter lọc được username và password từ request đầu vào, nó sẽ tạo ra một objectAuthentication
(UsernamePasswordAuthenticationToken
) và bắn sang cho AuthentionManager xử lý. Authentication bản chất cũng giống thằng filter, nó quản lý một tập các AuthenticationProvider, mỗi AuthenticationProvider sẽ chịu trách nhiệm cho một phương cách xác thực của hệ thống. Trong listAuthentionProvider
sẽ có một thằng chịu trách nhiệm xử lý objectAuthentication
kia. Cụ thể m sẽ có demo trong các bài post sau AuthentionProvider
sẽ kết hợp vớiuserDetailsService
của hệ thống để lôi ra các thông tin liên quan đếnUser
bao gồm các thông tin cơ bản và thông tin mang tính phần quyền của user. Các thông tin này được gói gọn lại trong một cài đặt cụ thể của UserDetail.- Với dữ liệu có được từ
userDetailsService
,AuthenticationProvider
tiến hành xác thực với dữ liệu đầu vào từ request. Nếu việc Xác thực thành công, Một ObjectAuthentication
Sẽ được lưu vào trongSecurityContextHolder
của spring. Việc xác thực kết thúc.
3. Components
Như vậy, các bạn cần quan tâm đến các component sau:
Filter
AuthentionProvider
UserDetailService
Role
Loạt bài tới m sẽ tập trung xoay quanh các component trên.
All Rights Reserved