SpringSecuirty源码学习(四)

最新推荐文章于 2025-05-16 17:16:28 发布
最新推荐文章于 2025-05-16 17:16:28 发布
阅读量944 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: SpringSecurity源码 文章标签: spring-security 源码 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ifeengwd2012/article/details/61191577
本文深入探讨SpringSecurity的构建过程,从用户自定义配置类开始,通过@EnableWebSecurity注解,到WebSecurityConfiguration的创建和构建。重点解析AbstractConfiguredSecurityBuilder的模板方法、WebSecurityConfigurerAdapter的init()和configurer(),以及WebSecurity的performBuild()步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

总结创建WebSecuirty的创建过程,及其构建过程。有和前面重复的地方,不管了…

1. 用户自定义的配置类

@EnableWebSecurity
@ComponentScan("fn.wd.security")
public class SpringSecurityConfiger extends WebSecurityConfigurerAdapter {
    ...
}

2. @EnableWebSecurity

@Import({ WebSecurityConfiguration.class, ObjectPostProcessorConfiguration.class,
        SpringWebMvcImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
    ...
}

3. WebSecurityConfiguration中创建WebSecurity

    @Autowired(required = false)
    public void setFilterChainProxySecurityConfigurer(
            //参数一:注入被@EnableWebSecurity注入导入的后置处理器
            ObjectPostProcessor<Object> objectPostProcessor,
            //参数二:注入spring web容器中所有的WebSecurityConfigurer
    List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers) {
        //1.创建WebSecurity,传递objectPostProcessor,是为了当这个构建器构建对象完成后,可以给这个对象进行后置处理
        //2.后置处理WebSecurity
        //3.PS:后置处理的功能是:使容器外的对象享受像spring容器内的bean一样的待遇
        webSecurity = objectPostProcessor
                .postProcess(new WebSecurity(objectPostProcessor));
        if (debugEnabled != null) {
            webSecurity.debug(debugEnabled);
        }

        //将配置WebSecurity的配置器排序,这里通常就是我们自定义的那个SecurityConfigurerAdapter
        Collections.sort(webSecurityConfigurers, AnnotationAwareOrderComparator.INSTANCE);

        //如果有多个配置器,配置顺序不能是一样的,否则通不过
        Integer previousOrder = null;
        Object previousConfig = null;
        for (SecurityConfigurer<Filter, WebSecurity> config : webSecurityConfigurers) {
            Integer order = AnnotationAwareOrderComparator.lookupOrder(config);
            if (previousOrder != null && previousOrder.equals(order)) {
                throw new IllegalStateException(
                        "@Order on WebSecurityConfigurers must be unique. Order of "
                                + order + " was already used on " + previousConfig + ", so it cannot be used on "
                                + config + " too.");
            }
            previousOrder = order;
            previousConfig = config;
        }
        //让我们自定义的SecurityConfigurerAdapter,应用到new出来的这个WebSecurity
        for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
            webSecurity.apply(webSecurityConfigurer);
        }
        //将用到的配置器放到属性中,以提示:已经对WebSecurity进行配置了
        this.webSecurityConfigurers = webSecurityConfigurers;
    }

可以看到,webSecurityConfigurers中就是我们自定义的那一个:


这里写图片描述

4. WebSecurityConfiguration中触发WebSecurity的构建过程

    //构建的bean的名字叫做:springSecurityFilterChain
    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public Filter springSecurityFilterChain() throws Exception {
        //看webSecurityConfigurers是不是空,以判断是否对WebSecurity进行了配置
        boolean hasConfigurers = webSecurityConfigurers != null
                && !webSecurityConfigurers.isEmpty();

        //如果没有配置(即:用户没有自定义WebSecurityConfigurerAdapter),那么框架会给一个空实现,所有配置功能都使用WebSecurityConfigurerAdapter中默认的
        if (!hasConfigurers) {
            WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
                    .postProcess(new WebSecurityConfigurerAdapter() {
                    });
            webSecurity.apply(adapter);
        }

        //触发FilterChainProxy的构建过程
        return webSecurity.build();
    }

5.AbstractConfiguredSecurityBuilder定义构建模版


这里写图片描述

AbstractConfiguredSecurityBuilder是WebSecurity的父类,定义了doBuild()方法的执行模版。

    //build()->doBuild();做了些什么呢?前文有提到过哦~
    protected final O doBuild() throws Exception {
        //针对WebSecurity.这里的configurers指的就是我们自定义的那个WebSecurityConfigurer
        synchronized (configurers) {
            buildState = BuildState.INITIALIZING;

            beforeInit();
            //init()前面也说过,迭代所有的configurer,调用它们的init(builder)
            init();

            buildState = BuildState.CONFIGURING;

            beforeConfigure();
            //configure()前面也说过,迭代所有的configurer,调用它们的configure(builder)
            configure();

            buildState = BuildState.BUILDING;

            //performBuild()需要子类实现,WebSecurity中是怎么实现的呢?
            O result = performBuild();

            buildState = BuildState.BUILT;

            return result;
        }
    }

WebSecurityConfigurerAdapter完成模版方法中的init()

这里触发了HttpSecurity的创建(后面详细讨论),并将其设置到WebSecurity中。

    public void init(final WebSecurity web) throws Exception {
        final HttpSecurity http = getHttp();
        //将HttpSecurity添加到WebSecurity的securityFilterChainBuilders属性中
        web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
            public void run() {
                FilterSecurityInterceptor securityInterceptor = http
                        .getSharedObject(FilterSecurityInterceptor.class);
                web.securityInterceptor(securityInterceptor);
            }
        });
    }

SpringSecurityConfiger完成模版方法中的configurer()

注意:这个类并不是框架的,是需要用户自定义实现的。WebSecurityConfigurerAdapter中configurer()是空实现的,由子类(用户自定义的)去完成实现。一个例子:

@EnableWebSecurity
@ComponentScan("fn.wd.security")
public class SpringSecurityConfiger extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(WebSecurity web) throws Exception {
        /*
         *  web.ignoring()返回的是ignoredRequestRegistry,最终将忽略的请求
         * 添加到WebSecurity中的ignoredRequests属性中。
         */
        web.ignoring().antMatchers("/static/**");
        web.ignoring().antMatchers("/favicon.ico");
        web.ignoring().antMatchers("/resources/**");
    }
}

它的功能还记得吗?前文有提到哦~~

WebSecurity完成模版方法中的performBuild()

有关异常和校验等的代码被我删掉了,只保留了核心的,请自行查看源码。

@Override
    protected Filter performBuild() throws Exception {
        //ignoredRequests.size():是获取忽略的请求个数
        //securityFilterChainBuilders.size():是获取“过滤器链的配置器”的个数
        int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();

        //链,集合
        List<SecurityFilterChain> securityFilterChains 
                    = new ArrayList<SecurityFilterChain>(chainSize);
        //给需要忽略的请求分别创建没有一个过滤器的链
        for (RequestMatcher ignoredRequest : ignoredRequests) {
            securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
        }
        //使用“过滤器链的配置器”创建过滤器链
        for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
            //触发了HttpSecurity的构建过程(后面详细讨论)
            securityFilterChains.add(securityFilterChainBuilder.build());
        }

        //创建过滤器链的代理,将所有的过滤器链都封装进去
        FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);

        if (httpFirewall != null) {
            filterChainProxy.setFirewall(httpFirewall);
        }
        filterChainProxy.afterPropertiesSet();

        Filter result = filterChainProxy;

        postBuildAction.run();

        //返回这个过滤器链的代理
        return result;
    }
说说 spring-secuirty
灯塔的优快云博客
06-03 929
安全无处不在 在我们的日常开发中,我们都会接触到系统的 用户体系 , 系统的用户系统是一个产品的基石,在做用户体系的时候,我们往往会考虑使用一套安全框架,目前比较主流的安全框架有 spring-security 和shiro,个人更喜欢spring全家桶系列。 spring-security 的核心主要是围绕着 认证(Authentication)——身份验证 和 授权(Authorizati
权限控制与安全认证 Spring Security
张锦的博客
06-11 1558
仅为个人学习使用。
@Order报错 但是我的值不一样 order 不唯一 包路径地址不一样
最新发布
Java&Develop的博客
05-16 183
@Order报错 但是我的值不一样 @Order报错 但是我的值不一样 order 不唯一 包路径地址不一样
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1111
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
一文上手SpringSecuirty【六】
ldcigame的专栏
09-28 1560
校验客户端发送的token逻辑
spirngMVC+Hibernate+SpringSecuirty+Extjs一个简单的权限管理系统
02-27
这是一个基于Spring MVC、Hibernate、Spring Security和ExtJS的权限管理系统实现。这个系统旨在提供一个基础的用户、角色和权限管理的解决方案,适用于小型到中型企业内部的后台管理需求。下面将详细阐述这些技术栈...
spring secuirty
01-17
为了帮助初学者更有效地掌握如何运用Spring Security来保障Web应用程序的安全性,在学习过程中应当注重实践操作,尝试搭建简单的案例工程,逐步深入理解其内部机制以及各项安全策略的具体实施方法[^2]。 #### 处理...
xmljava系统源码-Spring-Boot-Security-Thymeleaf-Demo:SpringBoot2.0+SrpingSec
06-06
因为有一个项目需采用MVC构架,所以学习Spring Security并记录下来,希望大家一起学习提供意见 GitHub地址:。 如果有疑问,请在 GitHub 中发布 issue,我有空会为大家解答的 本项目基于Spring Boot 2 + Spring ...
spring secuirty简单项目创建及基于wireshark抓包的浏览器端和服务器端之间的通讯交互的分析
skytering的博客
10-08 717
spring secuirty简单项目创建及基于wireshark抓包的浏览器端和服务器端之间的通讯交互的分析1.环境2.创建一个简单的spring security项目2.1.向导创建工程2.2创建简单的控制器方法2.3.测试运行2.4通过配置文件配置HTTP认证用户名和密码3 wireshark抓包分析3.1.回合1 客户端请求、服务端重定向登录3.2.回合2客户端重定向请求、服务端应答登录页...
全注解 spring boot +spring security + mybatis+druid+thymeleaf+jsp+mysql+bootstrap
12-25
全注解 spring boot +spring security + mybatis+druid+thymeleaf+jsp+mysql+bootstrap 支持thymeleaf和jsp并存 全注解 spring boot spring security thymeleaf+jsp同时使用 mybatis druid mysql bootstrap 访问 ...
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
整理SpringSecuirty的教程
蒙太奇zz的专栏-博客搬家至lizhuolun.com
01-27 596
一直在使用SpringSecurity,现将相关资料教程整理如下: http://andy-ghg.iteye.com/blog/1071639 http://www.mossle.com/docs/auth/html/ch001-helloworld.html
SSO单点登录@Order on WebSecurityConfigurers must be unique
m0_53413992的博客
03-15 2686
报错:@Order on WebSecurityConfigurers must be unique 原因:出现此报错原因说明配置了多个WebSecurityConfigurerAdapter 在SSO单点登录时出现,可能是因为在授权服务器的Application中配置了@EnableOAuth2Sso注解,@EnableOAuth2Sso只需要在客户端注解,授权服务器不需要注解 ...
@Order on WebSecurityConfigurers must be unique.报错
oayoat blog
08-26 1万+
项目中有多处extends WebSecurityConfigurerAdapter
出现 java.lang.IllegalStateException: @Order on WebSecurityConfigurers must be unique 解决方法
码农研究僧的博客
07-26 369
Caused by: java.lang.IllegalStateException: @Order on WebSecurityConfigurers must be unique. Order of 100 was already used on 解决方法
java 没有例外网站_javaSpring安全配置@Order不是唯一的例外
weixin_39525313的博客
02-24 602
我试图在我的Spring Security配置中注册多个过滤器,但是我总是得到相同的异常:04-Nov-2015 14:35:23.792 WARNING [RMI TCP Connection(3)-127.0.0.1]org.springframework.web.context.support.AnnotationConfigWebApplicationContext.refreshExce...
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2258
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于web的security作一些基本的配置。可以分成个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
java security 详解_Spring Security 初始化流程详解
weixin_36436373的博客
02-16 473
最近在整合微服务OAuth 2认证过程中,它是基于Spring Security之上,而本人对Spring Security架构原理并不太熟悉,导致很多配置搞不太清楚,遂咬牙啃完了Spring Security核心源码,花了差不多一星期,总体上来说,其代码确实比较晦涩,之前在学习Apache Shiro框架之前也曾经在相关论坛里了解过,相比Spring Security,Apache Shiro真...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值