一文上手SpringSecurity【二】

最新推荐文章于 2025-06-16 15:56:27 发布
原创 最新推荐文章于 2025-06-16 15:56:27 发布 · 1.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #spring #后端

书接上回,我们直接引入了spring security的依赖,之后啥也没有干,在访问接口的时候, 就需要认证之后才能访问了 ,咱们没有主动干啥,那肯定有人帮助我们干啥了,这一切都利益出spring boot自动装配机制,下面咱们就看看spring security的自动装配,帮助我们干啥了.

一、Spring Security自动装配

1.1 回顾一下spring boot的自动装配

spring boot会根据类路径中的jar包、类,为jar包里的类自动配置,这样可以极大的减少配置的数量。也就是说spring boot会根据定义在classpath下的类,自动的给你生成一些Bean,并加载到Spring的Context中。

spring boot通过条件注解的配置决定哪些bean可以被自动装配,这些条件定义成具体的xxxAutoConfiguration, 将xxxAutoConfiguration配置到spring.factories文件当中,最好基于spi机制进行加载.但是需要注意的是在spring boot 2.7.0版本及之后的版本,此种方式已经不被推荐使用了,而是加载:
META-INF/spring/org.springframework.boot.autoconfigure.AutoConfiguration.imports, 如下图所示:
加载
文件内容:

// 部分内容 .... 
org.springframework.boot.autoconfigure.web.servlet.WebMvcAutoConfiguration
org.springframework.boot.autoconfigure.websocket.reactive.WebSocketReactiveAutoConfiguration
org.springframework.boot.autoconfigure.websocket.servlet.WebSocketServletAutoConfiguration
org.springframework.boot.autoconfigure.websocket.servlet.WebSocketMessagingAutoConfiguration
org.springframework.boot.autoconfigure.webservices.WebServicesAutoConfiguration
org.springframework.boot.autoconfigure.webservices.client.WebServiceTemplateAutoConfiguration

其核心注解@Import(AutoConfigurationImportSelector.class)读取类路径下的文件需要自动装配的类, 一般都是以xxxAutoConfiguration结尾, 再加载的时候,结合条件注解,过滤一下哪些个bean需要加载.以WebMvcAutoConfiguration为例进行说明.

当读取到了WebMvcAutoConfiguration这个类,开始加载所对应的bean.
webmvc
条件注解
同样在WebMvcAutoConfiguration类当中,观察一下WebMvcAutoConfigurationAdapter类,如下图所示:
属性配置
属性配置

  • 重要的小总结
    • 读取META-INF/spring/org.springframework.boot.autoconfigure.AutoConfiguration.imports文件,加载各种各样的Bean
    • 结合条件注解@Condition,决定加载哪些、不加载哪些Bean
    • 一般自动装配的类都是以xxxAutoConfigufation结尾
    • 一般默认属性配置类都会在xxxAutoConfiguration类当中引入,以xxxProperties结尾

以Redis自动装配为例,再体会一下.目前我们的工程当中没有引入spring-boot-starer-data-redis依赖,但是在META-INF/spring/org.springframework.boot.autoconfigure.AutoConfiguration.imports文件当中,有它的自动装配类,如下图所示:
redis
打开瞅瞅
redis
有了以上的知识作为铺垫,我们直接来看spring security自动装配.

1.2 spring security自动装配

1.2.1 @Conditional(DefaultWebSecurityCondition.class)注解

按照我们之前说的,一般都会有xxxAutoConfiguration,我们直接搜索一下瞅瞅. 费劲扒拉的搜了半天,发现直接搜索SpringSecurityAutoConfiguration没有,得搜SecurityAutoConfiguration才能找到.

@AutoConfiguration(before = UserDetailsServiceAutoConfiguration.class)
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({
   
    SpringBootWebSecurityConfiguration.class, SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {
   
   
	@Bean
	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
	public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
   
   
		return new DefaultAuthenticationEventPublisher(publisher);
	}
}

@EnableConfigurationProperties(SecurityProperties.class),表示启用默认装配的各种属性.
@Import({ SpringBootWebSecurityConfiguration.class, SecurityDataConfiguration.class }), 表示引入其它的配置.我们看SpringBootWebSecurityConfiguration.class这个类. 核心代码如下所示:


// Web 安全性的默认配置。它依赖于 Spring Security 的内容协商策略来确定要使用的身份验证类型。
// 如果用户指定了自己的 SecurityFilterChain bean,这将完全回退,
// 用户应该指定他们想要作为自定义安全配置的一部分配置的所有位。
@Configuration(proxyBeanMethods = false)
	@ConditionalOnDefaultWebSecurity
	static class SecurityFilterChainConfiguration {
   
   
		@Bean
		@Order(SecurityProperties.BASIC_AUTH_ORDER)
		SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
   
   
			http.authorizeHttpRequests((requests) -> requests.anyRequest().authenticated());
			http.formLogin(withDefaults());
			http.httpBasic(withDefaults());
			return http.build();
		}
	}

@ConditionalOnDefaultWebSecurity注解用于条件化地配置 Web 安全相关的组件,只有在满足特定条件时才会生效. 其核心代码如下所示:

@Target({
   
    ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Conditional(DefaultWebSecurityCondition.class)
public @interface ConditionalOnDefaultWebSecurity {
   
   
}

@Conditional(DefaultWebSecurityCondition.class),这个注解告诉 Spring,只有当DefaultWebSecurityCondition中定义的条件满足时,才会应用被注解的配置类、方法或 Bean. 终于到关键代码了:

class DefaultWebSecurityCondition extends AllNestedConditions {
   
   
	DefaultWebSecurityCondition() {
   
   
		super(ConfigurationPhase.REGISTER_BEAN);
	}

	@ConditionalOnClass({
   
    SecurityFilterChain.class, HttpSecurity.class })
	static class Classes {
   
   
	}

	@ConditionalOnMissingBean({
   
    SecurityFilterChain.class })
	static class Beans {
最低0.47元/天 解锁文章

200万优质内容无限畅学
【异常】解决报错[org/springframework/security/web/AuthenticationEntryPoint.class] cannot be opened because
本本本添哥
01-03 1875
【异常】解决报错[org/springframework/security/web/AuthenticationEntryPoint.class] cannot be opened because
一文上手SpringSecurity【一】
ldcigame的专栏
09-25 1118
安全框架介绍、spring security入门使用
nacos启动报错: Error creating bean with name ‘instanceOperatorClientImpl‘ ..........
君临天下tjm的博客
03-13 7260
nacos所在路径有中文导致。
nacos2.0启动报错Error creating bean with name ‘grpcSdkServer‘
热门推荐
weixin_42706234的博客
09-20 1万+
"nacos is starting with standalone" ,--. ,--.'| ,--,: : | Nacos 2.0.0-ALPHA.1 ,`--.'`| ' : ,---. Running in stand alone mode, All function modules | ...
Spring Boot 项目整合Spring Security 进行身份验证
最新发布
维基框架,分享技术,开源框架,开源软件。
06-16 930
该抽象类需要应用服务端实现/*** @Description: java类作用描述*/@Component/*** 查询用户信息* @param username 用户名* @return 返回用户信息* @throws UsernameNotFoundException 用户未找到异常信息*/@Override以上只是博主自己在实际项目中总结出来,然后在将其实封成工具分享给大家。相关源码在:维基框架Gitee:如果喜欢博主的分享记得给博主点点小星星。
Nacos安装过程记录-centos
BBIE的博客
05-25 1802
nacos centos
spring security验证流程
qiuqiuit的专栏
02-13 583
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
一文上手SpringSecurity【五】
ldcigame的专栏
09-27 1690
后端分离认证流程分析、实现,密码处理
一文上手SpringSecurity【九】
ldcigame的专栏
09-29 1035
引入Redis避免频繁查询数据库、自定义认证对象,实现UserDetails接口、反序列化的注意事项
SpringSecurity认证授权
qq_49474843的博客
09-11 1385
RBAC模型详解,SpringSecurity入门到精通一文搞定
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 9166
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
SpringCloud详细教程5-nacos的安装配置
妃妃不妃的小博客
03-08 626
SpringCloud详细教程5-nacos的安装配置 今天我们先把nacos安装配置完成,接下来就不需要在来说这个了。 环境:win10、nacos1.4、MySQL 5.56+ 一、下载nacosnacos下载地址 提取码:0812 、压缩我们下载好的nacos-server-1.4.0.zip文件 三、由于我们是第一次安装,解压之后呢,先进入到bin目录下运行:startup.cmd,这个时候会报错,暂时先不管。 四、由于我们第一次是单机配置,所有我们要把startup.cmd运行文件的
Spring Security五 自动配置
weixin_43172297的博客
07-16 1170
文章目录自动配置一、SecurityAutoConfiguration1、SpringBootWebSecurityConfiguration2、WebSecurityEnablerConfiguration2.1 WebSecurityConfiguration2.2 @SpringWebMvcImportSelector2.3 @SpringWebMvcImportSelector2.4 @HttpSecurityConfiguration2.5 @EnableGlobalAuthentication总
Spring Security 6,Spring Boot 3 使用 access 进行自定义方法权限控制时,出现:EL1057E: No bean resolver registered
萌新的博客
02-06 947
解决 Spring Security 使用 access 进行自定义方法权限控制时,没有 BeanResolver 的问题。
初识spring security (一),一文弄懂默认配置
冬阳
08-21 979
spirng security 从基本入门到原理讲解,不在只会使用,完全不知道里面是如何实现的,为后续的扩展做更好的准备;
HandlerMapping
1
11-23 497
默认情况下,Spring MVC会加载在当前系统中所有实现了HandlerMapping接口的bean,再进行按优先级排序。如果只期望Spring MVC只加载指定的HandlerMapping,可以修改web.xml中的DispatcherServlet的初始化参数,将detectAllHandlerMappings的值设置为false。这样,Spring MVC就只会查找名为“handlerMapping”的bean,并作为当前系统的唯一的HandlerMapping。所以在DispatcherServ
springmvc】九大组件之HandlerMapping
morris
05-15 1016
HandlerMapping表示的是一个URL与一个Handler(可以简单的理解为Controller中有@RequestMapping注解的方法)之间的映射关系。 HandlerMapping的继承关系图如下: 我们主要关注这3个HandlerMapping: RequestMappingHandlerMapping BeanNameUrlHandlerMapping SimpleUrlHandlerMapping RequestMappingHandlerMapping RequestMappi
Spring SecurityWeb应用安全
qq_32734365的博客
08-04 3042
Web应用安全 Security Filter Chain DelegatingFilterProxy FilterChainProxy 跳过过滤器链 过滤器顺序 请求匹配和HttpFirewall 和其他基于过滤器的框架一起使用 高级命名空间配置 安全核心过滤器 FilterSecurityInterceptor ExceptionTranslationFilter Authenti...
spring security 6.0
09-01
Spring Security 6.0是一个版本兼容性的关键点。在Spring Security 6.0版本中,配置方面引入了许多改变。WebSecurityConfigurerAdapter这个废弃类已经被删除,取而代之的是基于Lambda表达式的DSL配置方式。这使得配置更加灵活和直观。另外,一些方法名称也进行了修改,例如antMatchers替换为requestMatchers。 另外,在Spring Security 6.0版本中,鉴权模块发生了很大变化。FilterSecurityInterceptor被废弃,被AuthorizationFilter取而代之。同时,AccessDecisionManager和AccessDecisionVoter也被AuthorizationManager替换了。因此,这些变化只适用于6.0版本及之后的版本。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [一文带你读懂Spring Security 6.0的实现原理](https://blog.csdn.net/m0_71777195/article/details/131975198)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值