1、Spring security架构概览

1.1 Spring security核心功能

对于一个安全管理框架而言，无论是shiro还是spring security，最核心的功能，无非就是如下两方面：

• 认证，即身份验证(你是谁)。
• 授权，即访问控制(你可以做什么)。

1.1.1 认证和授权

在spring security的架构设计中，认证和授权是分开的。用户的认证信息主要由Authentication的实现类来保存：

/**
 * 在AuthenticationManager.authenticate(Authentication)方法处理完请求后，表示身份验证请求或经过身份验证的主体的令牌
 */
public interface Authentication extends Principal, Serializable {
    // 获取用户的权限
    Collection<? extends GrantedAuthority> getAuthorities();

    // 获取用户凭证，一般来说就是密码
    Object getCredentials();

    // 获取用户携带的详细信息，可能是当前请求之类等
    Object getDetails();

    // 获取当前用户，例如是一个用户名或者一个用户对象
    Object getPrincipal();

    // 当前用户是否认证成功
    boolean isAuthenticated();
	
	// 实现应该始终允许使用false参数调用该方法，因为不同的类使用该参数来指定不应该信任的身份验证令牌。
	// 如果实现希望拒绝带有true参数的方法调用(这将表明身份验证令牌是可信的——一个潜在的安全风险)，则应该抛出一个IllegalArgumentException。
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

当用户使用用户名/密码登录或使用remember-me登录时，都会对应一个Authentication实例。
Spring security中的认证工作主要由AuthenticationManager接口来负责：

/**
 * 处理Authentication请求
 */
public interface AuthenticationManager {
    /**
     * 该方法有三个不同的返回值：
     * 1. 返回Authentication，表示认证成功。
     * 2. 抛出AuthenticationException异常，表示用户输入了无效的凭证。
     * 3. 返回null，表示不能断定。
     */
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

AuthenticationManager最主要的实现类是ProviderManager，其管理了众多的AuthenticationProvider实例。AuthenticationProvider有点类似于AuthenticationManager，但是它多了一个supports方法用来判断是否支持给定的Authentication类型

/**
 * 表明类可以处理特定的Authentication实现
 */
public interface AuthenticationProvider {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;

    boolean supports(Class<?> authentication);
}

由于Authentication拥有众多不同的实现类，这些不同的实现类又由不同的AuthenticationProvider来处理，所有AuthenticationProvider会有一个supports方法，用来判断当前的AuthenticationProvider是否支持对应的Authentication。

在一次完整的认证流程中，可能会同时存在多个AuthenticationProvider(例如，项目同时支持表单登录和短信验证码登录)，多个AuthenticationProvider统一由ProviderManager来管理。同时，ProviderManager具有一个可选的parent，如果所有的AuthenticationProvider都认证失败，那么就会调用parent进行认证。parent相当于一个备用的认证方式，即各个AuthenticationProvider都无法处理认证问题的时候，就由parent出场收拾残局。

1.1.2 授权

当完成认证后，接下来就是授权了。在spring security的授权体系中，有两个关键的接口：

• AccessDecisionManager。
• AccessDecisionVoter。

AccessDecisionVoter是一个投票器，投票器会检查用户是否具备应有的角色，进而投出赞成、反对或者弃权票；AccessDecisionManager则是一个决策器，来决定此次访问是否被允许。

AccessDecisionVoter和AccessDecisionManager都有众多的实现类，在AccessDecisionManager中会挨个遍历AccessDecisionVoter进而决定是否允许用户访问，因而AccessDecisionVoter和AccessDecisionManager两者的关系类似于AuthenticationProvider和ProviderManager的关系

在spring security中，用户请求一个资源(通常是一个网络接口或者一个java方法)，所需要的角色会被封装成一个ConfigAttribute对象，在ConfigAttribute中只有一个getAttribute方法，该方法返回一个字符串，就是角色的名称。一般来说，角色名称都带有一个ROLE_前缀，投票器AccessDecisionVoter所做的事情，其实就是比较用户所具备的角色和请求某个资源所需的ConfigAttribute之间的关系。

1.2 Web安全

在spring security中，认证、授权等功能都是基于过滤器来完成的。这些过滤器按照既定的优先级排列，最终形成一个过滤器链。开发者也可以自定义过滤器，并通过@Order注解去调整自定义过滤器在过滤器链中的位置。

需要注意的是，默认过滤器并不是直接放在web项目的原生过滤器链中，而是通过一个FilterChainProxy来统一管理。

Spring security中的过滤器链通过FilterChainProxy嵌入到web项目的原生过滤器链中：

在spring security中，这样的过滤器链不仅仅只有一个，可能会有多个。当存在多个过滤器链时，多个过滤器链之间要指定优先级，当请求到达后，会从FilterChainProxy进行分发，先和哪个过滤器链匹配上，就用哪个过滤器链进行处理。当系统中存在多个不同的认证体系时，那么使用多个过滤器链就非常

FilterChainProxy作为一个顶层管理者，将统一管理security filter。FilterChainProxy本身将通过spring框架提供的DelegatingFilterProxy整合到原生过滤器链中

1.3 登录数据保存

如果不使用spring security这一类的安全管理框架，大部分的开发者可能会将登录用户数据保存在session中，事实上，spring security也是这么做的。但是，为了使用方便，spring security在此基础上还做了一些改进，其中最主要的一个变化就是线程绑定。
当用户登录成功后，spring security会将登录成功的用户信息保存到SecurityContextHolder中。SecurityContextHolder中的数据保存默认是通过ThreadLocal来实现的，使用ThreadLocal创建的变量只能被当前线程访问，不能被其他线程访问和修改，也就是用户数据和请求线程绑定在一起。

当登录请求处理完毕后，spring security会将SecurityContextHolder中的数据拿出来保存到session中，同时将SecurityContextHolder中的数据清空。以后每当有请求到来时，spring security就会先从session中取出用户登录数据，保存到SecurityContextHolder中，方便在该请求的后续处理过程中使用，同时在请求结束时将

这一策略非常方便用户在Controller或者Service层获取当前登录用户数据，但是带来的另外一个问题就是，在子线程中想要获取用户登录数据就比较麻烦。

Spring security对此也提供了相应的解决方案，如果开发者使用@Async注解来开启异步任务的话，那么只需要添加如下配置，使用spring security提供的异步任务代理，就可以在异步任务中从SecurityContextHolder里边获取当前登录用户的信息：

1. 在Spring Security的配置类中开启异步支持：

@Configuration
@EnableAsync
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    ...
}

2. 在需要异步获取用户信息的Controller的方法中使用@Async注解

@GetMapping("/async")
@Async
public CompletableFuture<String> asyncMethod() {
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    String username = auth.getName();
    return CompletableFuture.completedFuture("Current user: " + username);
}

以上方法中，@Async注解用于表示该方法是一个异步方法，在方法中可以通过SecurityContextHolder.getContext().getAuthentication()来获取当前用户的认证信息，如上面代码获取当前用户的用户名。

以上即为Spring Security中异步获取用户信息的方法，需要注意的是，如果需要在异步方法中获取SecurityContext相关信息，一定要在方法内复制一份SecurityContext，以保证异步线程中的SecurityContext是正确的。