SpringSecurity源码学习(五)

最新推荐文章于 2024-08-12 17:06:41 发布
原创 最新推荐文章于 2024-08-12 17:06:41 发布 · 510 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring-security #java #源码

本文详细介绍了Spring Security中HttpSecurity的构建过程,包括触发机制、创建步骤及如何通过配置器定制化SecurityFilterChain。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

总结创建HttpSecuirty的创建过程,及其构建SecurityFilterChain过程。有和前面重复的地方,不管了…

触发HttpSecurity的创建过程

前面谈到,WebSecurity构建FilterChainProxy的过程中使用到了WebSecurityConfigurerAdapter的一个子类(这个子类一般需要用户定义的),调用了其init()。正是在这里,触发了HttpSecurity的构建过程。

    public void init(final WebSecurity web) throws Exception {
        //触发了HttpSecurity的构建
        final HttpSecurity http = getHttp();
        web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
            public void run() {
                FilterSecurityInterceptor securityInterceptor = http
                        .getSharedObject(FilterSecurityInterceptor.class);
                web.securityInterceptor(securityInterceptor);
            }
        });
    }

创建HttpSecurity

    protected final HttpSecurity getHttp() throws Exception {
        if (http != null) {
            return http;
        }

        DefaultAuthenticationEventPublisher eventPublisher = objectPostProcessor
                .postProcess(new DefaultAuthenticationEventPublisher());
        /*
         *  localConfigureAuthenticationBldr=“本地的授权管理器构建器”,它是可以由用户配置的
         */
        localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
        /**
         *   此方法用于创建“授权管理器”,比较重要,下文单独介绍。
         *   使用“本地的授权管理器构建器”构建授权管理器
         */
        AuthenticationManager authenticationManager = authenticationManager();
        /**
         * authenticationBuilder=“默认的的授权管理器”,这个是框架提供的默认配置
         * 将使用本地配置构建的授权管理器,作为默认的授权管理器的父管理器
         */
        authenticationBuilder.parentAuthenticationManager(authenticationManager);
        /**
         *  参数一:后置处理器,前面说过很多次了
         *  参数二:授权管理器的构建器
         *  参数三:HttpSecurity是用于构建真正处理请求的SecurityFilterChian,它使用了很多配置
         *        器,这个配置器在创建的过程中可以共享一个对象(比如:ApplicationContext)。
         *        localConfigureAuthenticationBldr.getSharedObjects()用于获取用户自定义
         *        共享对象。
         */
        http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
                localConfigureAuthenticationBldr.getSharedObjects());
        /**
         *  设置共享对象。userDetailsService()方法后文详讨论。
         */
        http.setSharedObject(UserDetailsService.class, userDetailsService());
        http.setSharedObject(ApplicationContext.class, context);
        http.setSharedObject(ContentNegotiationStrategy.class, contentNegotiationStrategy);
        http.setSharedObject(AuthenticationTrustResolver.class, trustResolver);
        /**
         *  默认配置。
         *    1)、添加了n多SecurityFilterChian的构建器的配置器
         *    2)、直接添加了n多过滤器
         *  关于每个配置的作用,将单列一章讨论。
         */
        if (!disableDefaults) {
            http
                .csrf().and()
                .addFilter(new WebAsyncManagerIntegrationFilter())
                .exceptionHandling().and()
                .headers().and()
                .sessionManagement().and()
                .securityContext().and()
                .requestCache().and()
                .anonymous().and()
                .servletApi().and()
                .apply(new DefaultLoginPageConfigurer<HttpSecurity>()).and()
                .logout();
        }
        /**
         * 此方法被用户重写去修改默认配置。
         * 比如禁用csrf()、比如添加验证码校验、比如自定义权限认证 
         */
        configure(http);
        return http;
    }

使用本地配置构建授权管理器

    protected AuthenticationManager authenticationManager() throws Exception {
        if (!authenticationManagerInitialized) {
            /**
             * 这个方法由用户重写
             */
            configure(localConfigureAuthenticationBldr);
            /**
             *  如果用户对configure(AuthenticationManagerBuilder auth)方法进行了重写,
             * 那么,disableLocalConfigureAuthenticationBldr将为false,即:将使用用户的
             * 配置来构建“授权管理器”
             */
            if (disableLocalConfigureAuthenticationBldr) {
                authenticationManager = authenticationConfiguration
                        .getAuthenticationManager();
            }
            else {
                authenticationManager = localConfigureAuthenticationBldr.build();
            }
            authenticationManagerInitialized = true;
        }
        return authenticationManager;
    }

创建共享对象UserDetailsService

@EnableWebSecurity这个注解其实也被@EnableGlobalAuthentication注解修饰。它导入了一个关于认证的配置类:AuthenticationConfiguration。这个类中,向容器中创建了AuthenticationManagerBuilder。

    @Bean
    public AuthenticationManagerBuilder authenticationManagerBuilder(
            ObjectPostProcessor<Object> objectPostProcessor) {
        return new AuthenticationManagerBuilder(objectPostProcessor);
    }

为什么这么麻烦的获取UserDetailsService?

    protected UserDetailsService userDetailsService() {
        AuthenticationManagerBuilder globalAuthBuilder = context
                .getBean(AuthenticationManagerBuilder.class);
        return new UserDetailsServiceDelegator(Arrays.asList(
                localConfigureAuthenticationBldr, globalAuthBuilder));
    }

其实是SpringSecurity提供了两种设置UserDetailsService的方式

第一种:
@EnableWebSecurity
@ComponentScan("fn.wd.security")
public class SpringSecurityConfiger extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailService customUserDetailService;

    @Autowired
    private AuthenticationManagerBuilder authenticationManagerBuilder;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
          authenticationManagerBuilder.userDetailsService(customUserDetailService)
                  .passwordEncoder(standardPasswordEncoder());

    }
}
第二种:
@EnableWebSecurity
@ComponentScan("fn.wd.security")
public class SpringSecurityConfiger extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailService customUserDetailService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
          auth.userDetailsService(customUserDetailService)
                  .passwordEncoder(standardPasswordEncoder());

    }
}

触发HttpSecurity的构建过程

HttpSecurity的构建过程是由WebSecurity构建具体的SecurityFilterChain时触发的:

    protected Filter performBuild() throws Exception {
        int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
        List<SecurityFilterChain> securityFilterChains = new ArrayList<SecurityFilterChain>(
                chainSize);
        for (RequestMatcher ignoredRequest : ignoredRequests) {
            securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
        }
        for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
            //securityFilterChainBuilder.build()触发构建过程
            securityFilterChains.add(securityFilterChainBuilder.build());
        }
        FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
        if (httpFirewall != null) {
            filterChainProxy.setFirewall(httpFirewall);
        }
        filterChainProxy.afterPropertiesSet();

        Filter result = filterChainProxy;
        postBuildAction.run();
        return result;
    }

定义构建的模版

不要忘记HttpSecurity和WebSecurity一样,都是AbstractConfiguredSecurityBuilder的子类。AbstractConfiguredSecurityBuilder中定义了构建的模版:

    @Override
    protected final O doBuild() throws Exception {
        synchronized (configurers) {
            buildState = BuildState.INITIALIZING;

            beforeInit();
            init();//调用所有配置器的init()

            buildState = BuildState.CONFIGURING;

            beforeConfigure();
            configure();//调用所有配置器的configurer()

            buildState = BuildState.BUILDING;

            O result = performBuild();//最后调用HttpSecurity中performBuild的实现

            buildState = BuildState.BUILT;

            return result;
        }
    }

构建SecurityFilterChain

由于这个构建器(HttpSecurity)里面的构建器配置器很多,所以init()、configurer()会比较复杂,后面详讨论吧,这里重点看下HttpSecurity的performBuild():

    @Override
    protected DefaultSecurityFilterChain performBuild() throws Exception {
        //comparator其实就是FilterComparator的对象
        Collections.sort(filters, comparator);
        return new DefaultSecurityFilterChain(requestMatcher, filters);
    }

可以看到的是,HttpSecurity只是将配置器配置的结果(filters)按照某种规则(FilterComparator)排序。

FilterComparator内部其实已经定义了框架提供的过滤器的顺序。当我们向过滤器链中插入一个过滤器(比如:插入校验验证码的过滤器)时,不仅是将此过滤器添加到HttpSecurity的配置中,还修改了这个比较器。比如HttpSecurity的addFilterBefore()方法:

    public HttpSecurity addFilterBefore(Filter filter,
            Class<? extends Filter> beforeFilter) {
        //先修改比较器
        comparator.registerBefore(filter.getClass(), beforeFilter);
        //然后才添加到配置中
        return addFilter(filter);
    }
spring security 源码
05-28
关于spring security 源码的研究及详细资料的讨论,等一些设计理念。最好的文档是源码
SpringSecurity源码
05-29
SpringSecurity教程配套源码 专栏地址:http://blog.youkuaiyun.com/column/details/springsecurity.html
spring-security源码
09-04
基于SpringSecurity4.2.2权限框架搭建教程的详细源码,实现用户登录时,验证其合法性,并通过security访问数据库可以获取到相对应角色和资源信息存储到SecurityContext里面等功能。
SpringSecurity源码学习
莫失莫忘的博客
08-07 244
SpringSecurity源码学习 一、Spring-Boot的自动配置 看到它的自动配置类:SecurityFilterAutoConfiguration @Bean @ConditionalOnBean(name = DEFAULT_FILTER_NAME) public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration( SecurityProperties securityPropertie
Spring Security源码阅读
Mr1ght的博客
02-28 1015
1. SecurityContextHolder 上下文持有器 内部封装一个SecurityContextHolderStrategy(一种针对线程存储安全上下文信息的策略),通过配置文件初始化对应的策略,以达到获取和设置上下文的目的(SecurityContext) 1.1 SecurityContextHolderStrategy 针对线程存储安全上下文信息的策略 ThreadLocalSecurityContextHolderStrategy:利用ThreadLocal来存储一个SecurityC
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
基于JavaSpring Security框架源码学习与实践
10-03
在深入探讨基于JavaSpring Security框架源码学习与实践的过程中,我们将会涉及到多个方面,包括Spring Security框架的核心概念、关键组件、以及如何通过源码来掌握其安全机制的实现原理。 首先,Spring Security...
基于Java语言的SpringSecurity框架设计源码学习仓库
最新发布
10-06
这个“基于Java语言的SpringSecurity框架设计源码学习仓库”是一个宝贵的资源,它不仅包含了大量的实践代码和演示应用,还深入剖析了SpringSecurity框架的内部工作原理。无论是对于想要掌握框架细节的新手,还是寻求...
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战()的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
SpringSecurity源码分析
吴大侠的博客
11-27 259
一、过滤器链加载源码 1.1 过滤器链加载流程分析 1.2 过滤器链加载流程源码分析 1.2.1 spring boot启动中会加载spring.factories文件, 在文件中有对应针对Spring Security的过滤器链的配置信息 # 安全过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.Security...
SpringSecurity源码理解
qq_42859722的博客
12-23 389
SpringSecurity源码理解 1.用户输入用户名和密码,通过SecurityContextPersistenceFilter传递参数,经过UsernamePasswordAuthentication封装到token中 2.检查缓存中是否存在该token的信息,不存在则通过AuthenticationManager调用authenticate方法去数据库查询是否存在3.AbstractUserDetailauthenticationprovider的子类DaoAuthenticationProvid
Spring Security源码分析
sober_pluto的博客
06-19 1056
SpringSecurity源码分析
Spring Security源码(一):整体框架设计
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-06 2330
整个框架的核心就是构建一个名字为 springSecurityFilterChain 的过滤器,它的类型是 FilterChainProxy
spring Security源码讲解-UsernamePasswordAuthenticationFilter
以爱护甲,爱满枫林。
09-05 591
UsernamePasswordAuthenticationFilter 这是 UsernamePasswordAuthenticationFilter的构造方法和attemptAuthentication方法 主要内容在attemptAuthentication public UsernamePasswordAuthenticationFilter() { super(new AntPathRequestMatcher("/login", "POST")); } public Authen
springsecurity源码分析
wjl31802的博客
04-28 594
学习ssm项目时,学习了浅显的部分源码,分享小伙伴,共同进步! 在web.xml中有这样的配置 <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.Delegating...
Spring Security源码解析(一)
qq_40577332的博客
05-30 3499
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
spring security源码解析
tbb678822的博客
08-12 1965
spring security源码解析
SpringSecurity源码学习(六)
ifeengwd2012的博客
03-11 1367
本文讨论HttpSecurity这个构建器中的配置器在HttpSecurity构建SecurityChainFilter的过程中做的事情。
可运行的Spring Security源码案例分析
综上,该文档应提供一个Spring Security的实际案例,演示如何通过源码进行深入学习,以及如何在真实项目中应用Spring Security以实现安全控制。通过阅读这个案例,开发人员可以更有效地理解和掌握Spring Security的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值