Để có thể thực hiện được việc authentication và authorization các request tới ứng dụng web, Spring Security phải đóng vai trò là interceptor của các ứng dụng này. Nó sẽ chặn, xử lý các request trước khi những request này thực sự được ứng dụng process và trả về kết quả. Trong bài viết này, chúng ta sẽ tìm hiểu xem trước khi request được ứng dụng process thì Spring Security đã làm gì các bạn nhé!

Đầu tiên, để các bạn dễ hình dung, mình sẽ tạo mới ứng dụng Spring MVC hỗ trợ Spring Security để làm ví dụ:

với Spring Security dependencies như sau:

Tập tin security.xml có nội dung như sau:

Tập tin security này định nghĩa user tên “khanh” với role là ROLE_USER có quyền access vào ứng dụng với context path là “/”.

Tất nhiên là các bạn cũng phải cấu hình cho tập tin web.xml để thêm tập tin cấu hình của Spring Security vào các bạn nhé!

Điều đầu tiên để nói về quy trình xử lý request trong Spring Security là chúng ta phải nói về class DelegatingFilterProxy được khai báo trong tập tin web.xml của ứng dụng. Đây chính là class hiện thực interface javax.servlet.Filter của Java Servlet, đóng vai trò là interceptor, chốt chặn cho mọi request tới ứng dụng Java web. Class này được hiện thực để có thể được quản lý bởi Spring container.

Nếu các bạn đã làm việc với Java Servlet Filter thì sẽ biết là phương thức doFilter() trong interface javax.servlet.Filter này sẽ giúp chúng ta có thể thêm code để handle việc interceptor, class DelegatingFilterProxy cũng sử dụng phương thức doFilter() để làm việc này.

Nếu các bạn xem code của class DelegatingFilterProxy thì sẽ thấy, thật ra trong phương thức doFilter() của class DelegatingFilterProxy, nó chẳng làm gì cả! Nó chỉ delegate việc filter qua một class khác chính là org.springframework.security.web.FilterChainProxy. Class FilterChainProxy cũng hiện thực interface javax.servlet.Filter với phương thức doFilter(). Cụ thể class FilterChainProxy làm gì trong phương thức doFilter() của mình thì tương tự như trong bài viết Tổng quan quy trình xử lý request trong Spring MVC, mình cũng sẽ modify tập tin log4j.xml của project ứng dụng để log ra tất cả những thông tin mà Spring Security thực hiện khi nó authentication và authorization các bạn nhé!

Mình sẽ đổi hết level của các logger cho Spring framework từ info sang debug trong phần “3rdparty Loggers” và root logger phần priority từ warn sang debug. Mình cũng khai báo thêm một logger cho package org.springframework.security của Spring Security.

Lúc này, nội dung của tập tin log4j.xml sẽ như sau:

Lúc này, nếu chạy ứng dụng và request tới địa chỉ http://localhost:8080, kiểm tra console, các bạn sẽ thấy những dòng log sau:

Nhìn vào những dòng log trên, các bạn có thể thấy, với config của chúng ta trong tập tin security.xml thì khi gọi tới request vào trang chủ của ứng dụng thì có tất cả 15 class Filter được gọi bởi class FilterChainProxy để Spring Security có thể thực hiện trách nhiệm của mình. Mỗi filter có chức năng và nhiệm vụ riêng, và nếu các bạn xem code của class UsernamePasswordAuthenticationFilter và class BasicAuthenticationFilter, các bạn sẽ thấy 2 class này sẽ đảm nhận cho việc xử lý authentication trong Spring Security. UsernamePasswordAuthenticationFilter sẽ đảm nhận việc authentication khi user gọi đến POST request “/login” còn BasicAuthenticationFilter sẽ đảm nhận việc authentication với thông tin user và password được truyền trên header của request. Cả 2 filter này đều gọi đến phương thức authenticate() của interface AuthenticationManager để thực hiện việc authentication.

Nói thêm về interface AuthenticationManager thì implementation của interface thường dùng nhất là class ProviderManager. Class ProviderManager sẽ gọi một list các AuthenticationProvider mà chúng ta khai báo trong tập tin cấu hình của Spring Security, security.xml :

để thực hiện kiểm tra việc support của các AuthenticationProvider này và thực hiện việc authentication.

Mặc định thì class DaoAuthenticationProvider sẽ đảm nhận việc authentication. Nó sẽ sử dụng class UserDetailsService để lấy thông tin user mà chúng ta khai báo trong tập tin cấu hình security.xml để làm việc này.

Chi tiết của việc authentication thì các bạn đọc thêm code nhé! Mình có thể tóm gọn tổng quan về authentication trong Spring Security như sau:

Để thấy rõ việc authorization xảy ra như thế nào, các bạn hãy thử clear stack trace của IDE và thực hiện việc đăng nhập với username “Khanh” và password “123456” xem sao nhé!

Các bạn sẽ thấy những dòng log sau:

Nếu xem xét kỹ những dòng log trên các bạn sẽ thấy đoạn text “Authorization successful” và class AffirmativeBased chính là class thực hiện việc authorization này!

Class AffirmativeBased implement interface AccessDecisionManager, đây chính là interface chính cho việc authorization trong Spring Security đó các bạn!

Interface AccessDecisionManager có 3 implementation và implementation mà chúng ta thường sử dụng là class AffirmativeBased.

Nếu các bạn xem code của class AffirmativeBased, các bạn sẽ thấy trong phương thức decide() của class này, nó đang loop một list các AccessDecisionVoter để determine xem user có quyền xem resource mà họ đang request hay không?

Đọc thêm code các bạn nhé!