SpringSecurity源码剖析

原创 于 2025-12-19 10:43:06 发布 · 198 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

过滤器链加载源码

  1. spring boot启动中会加载spring.factories文件,在文件中有对应Spring Security的过滤器链的配置信息。
# 安全过滤器自动配置
org.springframework.boot.autoconfigure.security.servlet.SecurityFilterAutoCo
nfiguration
  1. SecurityFilterAutoConfiguration类
@EnableConfigurationProperties({SecurityProperties.class})
@ConditionalOnClass({AbstractSecurityWebApplicationInitializer.class, SessionCreationPolicy.class})
@AutoConfigureAfter({SecurityAutoConfiguration.class})
public class SecurityFilterAutoConfiguration {
    
}
  1. SecurityAutoConfiguration类
@ConditionalOnClass({DefaultAuthenticationEventPublisher.class})
@EnableConfigurationProperties({SecurityProperties.class})
@Import({SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class, SecurityDataConfiguration.class})
public class SecurityAutoConfiguration {
    
}
  1. WebScurityEnableConfiguration类
@Configuration(
    proxyBeanMethods = false
)
@ConditionalOnBean({WebSecurityConfigurerAdapter.class})
@ConditionalOnMissingBean(
    name = {"springSecurityFilterChain"}
)
@ConditionalOnWebApplication(
    type = Type.SERVLET
)
@EnableWebSecurity
public class WebSecurityEnablerConfiguration {
    public WebSecurityEnablerConfiguration() {
    }
}
  1. WebSecurityConfiguration类
 /**
     * 声明 Spring Security 核心过滤器链(默认名称:springSecurityFilterChain)
     * 对应 AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME
     */
    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public Filter springSecurityFilterChain() throws Exception {
        // 检查是否有自定义的 WebSecurityConfigurer 配置
        boolean hasConfigurers = webSecurityConfigurers != null && !webSecurityConfigurers.isEmpty();
        
        // 如果没有自定义配置,创建默认空适配器(避免构建失败)
        if (!hasConfigurers) {
            WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor.postProcess(
                new WebSecurityConfigurerAdapter() {
                    // 空适配器:仅保证过滤器链能构建,无实际安全规则
                    @Override
                    protected void configure(org.springframework.security.config.annotation.web.builders.HttpSecurity http) throws Exception {
                        // 6.x 需替换为 http.csrf(AbstractHttpConfigurer::disable)
                        http.csrf().disable(); // 示例:禁用 CSRF(根据业务调整)
                    }
                }
            );
            webSecurity.apply(adapter); // 将默认适配器应用到 WebSecurity
        } else {
            // 如果有自定义配置,遍历应用所有 WebSecurityConfigurer
            for (WebSecurityConfigurerAdapter configurer : webSecurityConfigurers) {
                webSecurity.apply(configurer);
            }
        }
        
        // 构建过滤器链(返回 FilterChainProxy,实现 Filter 接口)
        Filter filterChain = webSecurity.build();
        return filterChain;
    }

认真流程源码

UsernamePasswordAuthenticationFilter:

UsernamePasswordAuthenticationToken

AuthenticationManager-->ProviderManager-->AbstractUserDetailsAuthenticationProvider

retrieveUser方法

additionalAuthenticationChecks方法

AbstractAuthenticationProcessingFilter--doFilter方法

successfulAuthentication方法

记住我流程源码

AbstractAuthenticationProcessingFilter--successfulAuthentication方法

loginSuccess方法-->onLoginSuccess

RememberMeAuthenticationFilter

autoLogin方法

processAutoLoginCookie方法

CSRF流程源码

授权流程源码

AffirmativeBased(基于肯定)的逻辑是: 一票通过权

ConsensusBased(基于共识)的逻辑是: 赞成票多于反对票则表示通过,反对票多于赞成票则将抛出

AccessDeniedException

UnanimousBased(基于一致)的逻辑:一票否决权

FilterSecurityInterceptor

ExceptionTranslationFilter

spring security框架使用及源码解析(保姆级教程)
边走、边悟、迟早变好
06-28 2403
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
SpringSecurity原理剖析及其实战(一)
weixin_43934626的博客
10-30 1171
FROM 《Spring Security 官网》 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的 应用程
Spring Security源码剖析,一学就会
a771664696的博客
09-01 1117
一篇用于Spring Security入门、学习源码的文章
Spring Security之源码剖析
Java追求者的博客
05-27 1436
1. 认证源码剖析 1.1 doFilter方法 AbstractAuthenticationProcessingFilter进入doFilter,判断提交方式是不是post请求,如果是,则进行下一步的认证,否则放行则进入下一个过滤器。 调用子类的attemptAuthentication方法获取表单的数据进行验证,返回Authentication。 Authentication是用来存储用户认证信息的类 Session策略处理(如果配置了用户Session最大并发数,就是在此处进行判断并处理 认
Spring Security源码剖析从入门到精通.跟学尚硅谷
星哲最开心
05-29 1718
Spring Security源码剖析从入门到精通.跟学尚硅谷
Spring Security源码剖析从入门到精通.跟学尚硅谷(二)
心向阳光的天域的博客
04-10 947
Spring Security微服务权限方案
Spring Security 原理、源码解析及进阶
weixin_40815218的博客
09-02 1322
Spring Security 是一个功能强大且高度可定制的身份认证和访问控制框架。它实际上是保护基于 Spring 的应用程序的标准。Spring Security是一个框架,侧重于为 Java应用程序 提供身份认证和授权。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松地扩展以满足定制需求。 OAuth是一个关于授权(authorization)的开放网络标准,使得第三方应用可以使用该令牌在限定时间限定范围访问指定资源。
Spring Security源码剖析从入门到精通.跟学尚硅谷(一)
心向阳光的天域的博客
04-08 1015
Spring Security框架入门,CSRF保护、Spring Security的注解Spring Security的Web权限方案
SpringSecurity剖析
下半夜的风
09-11 1112
过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在仔细说明。根据请求封装获取WebAsyncManager,从WebAsyncManager获取/注册的安全上下文可调用处理拦截器SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续fifilter建立所需的上下文。
SpringSecurity基础及源码分析
oPeiJie1的博客
02-08 556
SpringSecurity原理及源码分析
基于Java的Spring Security框架源码学习与实践
10-03
在深入探讨基于Java的...从核心概念到配置细节,从源码剖析到实践操作,都需要系统地学习和掌握。通过这样的学习过程,不仅能够加深对Spring Security框架的理解,还能够提升在实际项目中应用和定制安全策略的能力。
基于Java语言的SpringSecurity框架设计源码分析
12-15
本文将深入分析基于Java语言的SpringSecurity框架的设计源码,从其架构设计、关键组件、工作流程以及安全性扩展等方面进行全面剖析。 首先,SpringSecurity框架的核心是围绕着安全性和认证授权来构建的。其设计遵循...
深入剖析Spring Security: 底层源码视角下的初始化流程
qq_26733517的博客
12-11 1144
Spring Security是一个全面的、高度可定制的安全框架,专为Java应用程序设计,旨在提供身份验证和授权功能,确保应用的安全性。它源自Acegi Security项目,后被整合进Spring生态系统并更名。该框架利用Spring AOP(面向切面编程)和Servlet过滤器来实施安全控制,支持多种安全策略和认证机制。再高版本的Spring Security中将授权功能进行了提取,形成了一个独立项目spring-authorization-server。
车载系统应用开发集成系统API
yangyulong0622的博客
12-16 233
车载开发中,为了快速迭代常将系统应用剥离为普通应用开发,但调用系统API时反射效率低。解决方法是通过集成framework.jar,但会遇到编译报错问题。通用方案是在gradle中配置bootstrapClasspath引入jar包。当使用高版本JDK时,必须强制指定模块使用JDK8并关闭lint检查才能生效。关键步骤:先加载jar包到工程,再设置模块JDK版本为1.8。
JAVA设计模式之观察者模式
pingguocu3的博客
12-17 307
在我们开发的过程中,经常会遇到一些当什么什么事情发生的时候,然后做什么什么事。比如某种商品的物价上涨时会导致部分商家高兴,而消费者伤心。平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。著作权归作者所有,转载或内容合作请联系作者。
命令执行漏洞 (RCE) 渗透测试实战指南
weixin_45631123的博客
12-15 335
Burp Suite 或 OWASP ZAP 抓包工具、授权测试环境。:Burp Collaborator 或公网DNS服务器。:Java Web应用,可注入Java代码。:安装ysoserial工具、Java环境。:安装Commix、Python3环境。:识别表单输入点(如登录框):无回显但命令执行成功时。:确认RCE漏洞存在。
LinkedHashMap:有序HashMap
weixin_43076660的博客
12-15 789
LinkedHashMap是HashMap的子类,通过双向链表维护元素顺序,支持插入顺序和访问顺序两种模式。其核心结构是哈希表+双向链表,节点类扩展了前驱和后继指针。默认按插入顺序维护链表,设置accessOrder=true可改为访问顺序,适合实现LRU缓存。重写removeEldestEntry方法可自动移除最老元素,get/put操作会触发链表调整。LinkedHashMap通过回调方法(afterNodeAccess/Insertion/Removal)在哈希表操作时同步维护链表顺序,既保留Hash
powerjob的使用
weixin_42074941的博客
12-13 394
注册后使用注册的服务名和密码登录。
【FastAPI】FastAPI依赖注入完全指南
最新发布
weixin_63434398的博客
12-18 1705
本文全面介绍FastAPI的依赖注入机制,主要包含两大注入方式:原生自动注入和Depends自定义注入。原生注入支持Request/Response等框架对象以及路径/查询参数等自动解析,而Depends则用于自定义依赖项注入。文章详细讲解依赖注入的核心思想、实现方式、生命周期管理、高级技巧,并通过完整认证系统案例展示实战应用。最后剖析Depends底层原理,并与Spring框架进行对比,帮助开发者彻底掌握FastAPI这一核心特性,实现代码解耦和高效开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值