Spring Security源码

原创 已于 2024-03-29 10:49:06 修改 · 613 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #windows #java

于 2024-03-17 12:50:52 首次发布
文章讲述了WebSecurityConfigurerAdapter的废弃以及官方推荐的HttpSecurity和SecurityBuilder接口的使用。重点介绍了SecurityBuilder的构建过程,以及如何通过HttpSecurity控制过滤器链和配置。同时提到了debug模式的启用和虚拟过滤器的应用.

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
在这里插入图片描述
WebSecurityConfigurerAdapter已废弃,官方推荐使用HttpSecurity 或WebSecurity。
在这里插入图片描述
在这里插入图片描述
都继承了SecurityBuilder

public interface SecurityBuilder<O> {

	O build() throws Exception;

}

亮点:通过这种方式很容易知道知道自己构建的Object

HttpSecurity

public interface SecurityFilterChain {
	/**
	** 判断请求是否能够匹配上这些过滤器
	**/
	boolean matches(HttpServletRequest request);
	/**
	** 过滤器列表
	**/
	List<Filter> getFilters();
}

AbstractSecurityBuilder.class 用途:确保仅构建1次,调用子类的doBuild方法去构建对象

public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> {

	private AtomicBoolean building = new AtomicBoolean();

	private O object;
	/**
	* 防止重复构建
	**/
	@Override
	public final O build() throws Exception {
		if (this.building.compareAndSet(false, true)) {
			this.object = doBuild();
			return this.object;
		}
		throw new AlreadyBuiltException("This object has already been built");
	}

	/**
	 * Gets the object that was built. If it has not been built yet an Exception is
	 * thrown.
	 * @return the Object that was built
	 */
	public final O getObject() {
		if (!this.building.get()) {
			throw new IllegalStateException("This object has not been built");
		}
		return this.object;
	}

	/**
	 * 给子类自己实现
	 */
	protected abstract O doBuild() throws Exception;

}

AbstractConfiguredSecurityBuilder.class
扩展点:beforeInit、beforeConfigure

	@Override
	protected final O doBuild() throws Exception {
		synchronized (this.configurers) {
			this.buildState = BuildState.INITIALIZING;
			beforeInit();
			init();
			this.buildState = BuildState.CONFIGURING;
			beforeConfigure();
			configure();
			this.buildState = BuildState.BUILDING;
			O result = performBuild();
			this.buildState = BuildState.BUILT;
			return result;
		}
	}
	protected void beforeInit() throws Exception {
	}
	protected void beforeConfigure() throws Exception {
	}
	/**
	* 重要方法
	**/
	protected abstract O performBuild() throws Exception;
	
	@SuppressWarnings("unchecked")
	private void init() throws Exception {
		Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
		for (SecurityConfigurer<O, B> configurer : configurers) {
			configurer.init((B) this);
		}
		for (SecurityConfigurer<O, B> configurer : this.configurersAddedInInitializing) {
			configurer.init((B) this);
		}
	}

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ee30dc929c5d4198a7720973fd04a77f.png

AbstractConfiguredSecurityBuilder.class

	private final LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, List<SecurityConfigurer<O, B>>> configurers = new LinkedHashMap<>();
	// 初始化添加的过滤器
	private final List<SecurityConfigurer<O, B>> configurersAddedInInitializing = new ArrayList<>();

	private final Map<Class<?>, Object> sharedObjects = new HashMap<>();
	private final boolean allowConfigurersOfSameType;
	// 构建状态
	private BuildState buildState = BuildState.UNBUILT;
	// 后置处理
	private ObjectPostProcessor<Object> objectPostProcessor;
	private <C extends SecurityConfigurer<O, B>> void add(C configurer) {
		Assert.notNull(configurer, "configurer cannot be null");
		Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer
				.getClass();
		synchronized (this.configurers) {
			if (this.buildState.isConfigured()) {
				throw new IllegalStateException("Cannot apply " + configurer + " to already built object");
			}
			List<SecurityConfigurer<O, B>> configs = null;
			if (this.allowConfigurersOfSameType) {
				configs = this.configurers.get(clazz);
			}
			configs = (configs != null) ? configs : new ArrayList<>(1);
			configs.add(configurer);
			this.configurers.put(clazz, configs);
			// 如果正在初始化往里面添加configurer,会在doBuild方法中使用
			if (this.buildState.isInitializing()) {
				this.configurersAddedInInitializing.add(configurer);
			}
		}
	}

HttpSecurity.class

	@Override
	protected void beforeConfigure() throws Exception {
		if (this.authenticationManager != null) {
			setSharedObject(AuthenticationManager.class, this.authenticationManager);
		}
		else {
			setSharedObject(AuthenticationManager.class, getAuthenticationRegistry().build());
		}
	}

private void configure() throws Exception {
	Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
	for (SecurityConfigurer<O, B> configurer : configurers) {
		configurer.configure((B) this);
	}
}

performBuild方法
在这里插入图片描述
WebSecurity.java 本质上一个FilterChainProxy 

	@Override
	protected Filter performBuild() throws Exception {
		......
		FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
		......
		Filter result = filterChainProxy;
		if (this.debugEnabled) {
			.....
			result = new DebugFilter(filterChainProxy);
		}
		return result;
	}

可以通过@EnableWebSecurity(debug = true)开启debug模式
new DebugFilter(filterChainProxy)对filterChainProxy进行装饰

	public FilterChainProxy(List<SecurityFilterChain> filterChains) {
		this.filterChains = filterChains;
	}
	
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
			......
			doFilterInternal(request, response, chain);
			......
	}

	private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// HttpFirewall实例用于验证传入请求并创建包装请求,该请求提供一致的路径值以进行匹配。
		FirewalledRequest firewallRequest = this.firewall.getFirewalledRequest((HttpServletRequest) request);
		// 获取到匹配的filter
		List<Filter> filters = getFilters(firewallRequest);
		......
		// 虚拟过滤器,挨个应用filters
		VirtualFilterChain virtualFilterChain = new VirtualFilterChain(firewallRequest, chain, filters);
		virtualFilterChain.doFilter(firewallRequest, firewallResponse);
	}

	// 获取匹配的filter
	private List<Filter> getFilters(HttpServletRequest request) {
		int count = 0;
		for (SecurityFilterChain chain : this.filterChains) {
			......
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}
		return null;
	}

// 虚拟过滤器,挨个应用filters
@Override
		public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
			if (this.currentPosition == this.size) {
				if (logger.isDebugEnabled()) {
					logger.debug(LogMessage.of(() -> "Secured " + requestLine(this.firewalledRequest)));
				}
				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();
				this.originalChain.doFilter(request, response);
				return;
			}
			this.currentPosition++;
			Filter nextFilter = this.additionalFilters.get(this.currentPosition - 1);
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(),
						this.currentPosition, this.size));
			}
			nextFilter.doFilter(request, response, this);
		}

HttpSecurity.java

	@SuppressWarnings("unchecked")
	@Override
	protected DefaultSecurityFilterChain performBuild() {
	......
	// 确保其中一个为null
		boolean oneConfigurerPresent = expressionConfigurer == null ^ httpConfigurer == null;
		return new DefaultSecurityFilterChain(this.requestMatcher, sortedFilters);
	}

在这里插入图片描述
在这里插入图片描述
饿汉模式创建的一个任意请求匹配器,matches返回的都是true
在这里插入图片描述
在这里插入图片描述

moernagedian
关注
Spring Security源码解析(一)
qq_40577332的博客
05-30 3496
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
springsecurity安全框架源码
11-27
springsecurity安全框架下载 .
SpringSecurity源码
05-29
SpringSecurity教程配套源码 专栏地址:http://blog.youkuaiyun.com/column/details/springsecurity.html
spring-security源码
09-04
基于SpringSecurity4.2.2权限框架搭建教程的详细源码,实现用户登录时,验证其合法性,并通过security访问数据库可以获取到相对应角色和资源信息存储到SecurityContext里面等功能。
spring security 源码
05-28
关于spring security 源码的研究及详细资料的讨论,等一些设计理念。最好的文档是源码
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
Spring Security源码分析
sober_pluto的博客
06-19 1052
SpringSecurity源码分析
springsecurity源码(鉴权有缺陷)
05-20
- **代码审查**:定期审查Spring Security的配置和自定义代码,确保没有遗漏的授权规则。 - **使用标准实践**:遵循最佳实践,如最小权限原则,只授予执行任务所需的最小权限。 - **异常处理**:确保所有异常都...
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
spring security源码
qq_42338293的博客
03-21 182
我们在使用spring security时发现配置了一个过滤器 <!--security的过滤器--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
SpringSecurity源码分析
凉茶铺的博客
07-18 2676
在整个过滤器链中,FilterSecurityInterceptor是来处理整个用户授权流程的,也是距离用户API最后一个非常重要的过滤器链,所以下面我们主要针对用户授权来看下源码是如何实现的?在整个过滤器链中,UsernamePasswordAuthenticationFilter是来处理整个用户认证的流程的,所以下面我们主要针对用户认证来看下源码是如何实现的?在整个过滤器链中,CsrfFilter是起到csrf防护的,所以下面我们主要针对记住我看下源码是如何实现的?...
Spring Security 源码
12-07
Spring Security 安全权限管理源码
Spring Security 源码详解
王林的博客
09-20 820
这里主要介绍 SpringSecurity 的整体流程,方便以后查阅!!!
SpringSecurity源码讲解
风力雾里
09-07 420
一、权限认证框架 认证:你是谁 授权:你能干什么 二、快速入门 1.更换版本号 2.导入jar包 3.创建controller 4.访问 用户名:user 密码:打印窗户找 三、基本原理 本质:是一个过滤器链 源码: 1.FilterSecurityIntercptor:方法级的权限过滤器,基本位于过滤的最底部。 2.ExceptionTranslationFilter:异常过滤器,用来出来在认证授权过程中抛出的异常 3.UsernamePasswordAuthenticationFilter:对/
SpringSecurity源码学习(一)
ifeengwd2012的博客
03-07 786
本文讨论基于java配置的SpringSecurity源码学习。
Spring Security源码阅读
Mr1ght的博客
02-28 1009
1. SecurityContextHolder 上下文持有器 内部封装一个SecurityContextHolderStrategy(一种针对线程存储安全上下文信息的策略),通过配置文件初始化对应的策略,以达到获取和设置上下文的目的(SecurityContext) 1.1 SecurityContextHolderStrategy 针对线程存储安全上下文信息的策略 ThreadLocalSecurityContextHolderStrategy:利用ThreadLocal来存储一个SecurityC
SpringSecurity源码解析
zheyangyebuxingaaa的博客
01-08 626
Springboot 下 SpringSecurity 的自动配置源码解读
SpringSecurity源码理解
qq_42859722的博客
12-23 388
SpringSecurity源码理解 1.用户输入用户名和密码,通过SecurityContextPersistenceFilter传递参数,经过UsernamePasswordAuthentication封装到token中 2.检查缓存中是否存在该token的信息,不存在则通过AuthenticationManager调用authenticate方法去数据库查询是否存在3.AbstractUserDetailauthenticationprovider的子类DaoAuthenticationProvid
spring security源码解析
最新发布
tbb678822的博客
08-12 1953
spring security源码解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值