【Spring Security】—— WebSecurity

最新推荐文章于 2025-03-25 06:30:00 发布
最新推荐文章于 2025-03-25 06:30:00 发布
阅读量750 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33471737/article/details/118198322
版权

官网地址 Spring Security Reference

版本:Version 5.5.0

WebSecurity 的继承关系图

在这里插入图片描述

在前面了解过 WebSecurity、HttpSecurity、AuthenticationManagerBuilder 这三个重要构建者公共的部分:

|- SecurityBuilder
	|- AbstractSecurityBuilder
		|- AbstractConfiguredSecurityBuilder

公共的这部分对构建者做扩展,点击这里可以回顾一下,这里主要看看 WebSecurity 类。

Aware 和 ApplicationContextAware

当一个类时限了 Aware 接口时,Spring 框架就会赋予它一种感知力。比如 ApplicationContextAware ,它有一个方法发:

void setApplicationContext(ApplicationContext var1) throws BeansException;

Spring容器在实例化对应的 Bean 时,通过实现 Aware 就能够感知到当前实例化的 Bean 需要什么东西,这里实现 ApplicationContextAware 接口,Spring 容器就能感知到这个 Bean 需要 Spring 容器上下文实例,并在创建 Bean 对象的后置处理中把这个实例注入其中。

大概逻辑:创建Bean时会调用 invokeAwareInterfaces(Object bean) 方法,这里会判断当前 Bean 是不是 Aware,在往下细分了很对种特殊的 ***Aware,这些 ***Aware 都需要注入 applicationContext 。
在这里插入图片描述
【这里的描述是用 ApplicationContextAwareProcessor 为例作为解释的,详细可以看源码。】

WebSecurity

WebSecurity 构建器是来创建一个Web过滤器的。
在这里插入图片描述

在这里插入图片描述

内部类
  1. IgnoredRequestConfigurer
    允许注册应该被 Spring Security 忽略的 RequestMatcher 实例。
  2. MvcMatchersIgnoredRequestConfigurer
    一个 WebSecurity.IgnoredRequestConfigurer(说明继承关系),允许有选择地配置 MvcRequestMatcher.setMethod(HttpMethod)

MvcMatchersIgnoredRequestConfigurer 是 IgnoredRequestConfigurer 的子类。可以把它们看作是一个请求匹配注册表,当接受到请求时他们会与请求信息做匹配,根据匹配结果做出响应的操作。

成员变量
  1. ignoredRequests
    这是一个 List<RequestMatcher> 集合,用于存储将要被Spring Security 忽略的请求的请求匹配器。
  2. securityFilterChainBuilders
    也是一个 List 集合,用于存放 SecurityFilterChain 过滤器链的构造器。List<SecurityBuilder<? extends SecurityFilterChain>>
  3. ignoredRequestRegistry
    这是一个忽略请求注册表,所有将要忽略的请求都注册到这里注册表中。
  4. filterSecurityInterceptor
    FilterSecurityInterceptor 拦截器
  5. httpFirewall
    字面理解就是 Http 防火墙,猜测它的功能应该也是拦截 http 请求的
  6. privilegeEvaluator
  7. defaultWebSecurityExpressionHandler
    默认的 WebSecurityExpressionHandler (Web安全表达式处理器)
  8. expressionHandler
    表达式处理器

后面几个成员变量暂时没有理解,后面理解了再做补充。这里主要理解 WebSecurity 的工作内容,其他细节暂时先不要过于钻牛角尖。等对整个框架有了宏观的认识之后,应用到具体项目的时候再结合实践去看,应该就容易理解了。

构造函数

略。就是 super(objectPostProcessor);,父类 AbstractConfiguredSecurityBuilder 的构造器。

performBuild 方法

构建对象的具体实现方法。通过源码可以看出 WebSecurity 实际上构建的是一个 FilterChainProxy (过滤器链代理) 对象。

@Override
protected Filter performBuild() throws Exception {
	Assert.state(
			!securityFilterChainBuilders.isEmpty(),
			() -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "
					+ "Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. "
					+ "More advanced users can invoke "
					+ WebSecurity.class.getSimpleName()
					+ ".addSecurityFilterChainBuilder directly");
	int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
	List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
			chainSize);
	for (RequestMatcher ignoredRequest : ignoredRequests) {
		securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
	}
	for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
		securityFilterChains.add(securityFilterChainBuilder.build());
	}
	FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
	if (httpFirewall != null) {
		filterChainProxy.setFirewall(httpFirewall);
	}
	filterChainProxy.afterPropertiesSet();

	Filter result = filterChainProxy;
	if (debugEnabled) {
		logger.warn("\n\n"
				+ "********************************************************************\n"
				+ "**********        Security debugging is enabled.       *************\n"
				+ "**********    This may include sensitive information.  *************\n"
				+ "**********      Do not use in a production system!     *************\n"
				+ "********************************************************************\n\n");
		result = new DebugFilter(filterChainProxy);
	}
	postBuildAction.run();
	return result;
}

主要完成了:

  1. 断言:securityFilterChainBuilders 非空

    在这里插入图片描述

  2. 创建一个集合 Lis\t<SecurityFilterChain> securityFilterChains,存放过滤器链的集合
    过滤器链的来源有两个:

    • ignoredRequest
      通过将要忽略的 ignoredRequest 构建一个默认过滤器链,每一个请求路径都会创建一个过滤器,这些过滤器组成一个过滤器链。

      ignoredRequest 从哪里来的再后面的方法中可以看到。

    • securityFilterChainBuilders
      根据 securityFilterChainBuilders 中的构建器调用 build 方法构建出来,每一个构建器都会构建出一个过滤器链。

      关于 securityFilterChainBuilders 中构建器的来源是通过 WebSecurity 的 addSecurityFilterChainBuilder 方法添加的。

  3. 创建 FilterChainProxy 对象。

  4. 如果 httpFirewall 不为空就设置 FilterChainProxy 的 firewall 属性。

  5. 返回构建好的 FilterChainProxy 对象。

setApplicationContext 方法

通过实现了 ApplicationContextAware 接口,再创建 WebSecurity 对象时会触发这个方法,并注入 ApplicationContext 实例。这个方法中做了一些初始的设置。

ignoring 方法
public IgnoredRequestConfigurer ignoring() {
	return ignoredRequestRegistry;
}

返回 ignoredRequestRegistry 实例,便于配置。
在这里插入图片描述
这个内部类还有一个 and 方法,这个方法会返回当前的 WebSecurity 实例,方便继续做自定义配置。
在这里插入图片描述

其他方法
  1. addSecurityFilterChainBuilder 方法
    添加 SecurityFilterChainBuilder 到 securityFilterChainBuilders 链表
  2. httpFirewall 方法
    设置 httpFirewall 属性
  3. debug 方法
    设置 debugEnabled 属性,标记调试模式开启状态
  4. expressionHandler 方法
    设置 expressionHandler 属性
  5. securityInterceptor 方法
    设置 filterSecurityInterceptor 属性
  6. postBuildAction 方法
    设置后置处理器对象

这些 方法都是之间传入响应的类的对象实例来完成对 WebSecurity 的属性设置,并且再设置完成后都会立刻返回 WebSecurity 实例,方便后期的设置。

总结

构建 FilterChainProxy (过滤器链代理) 对象实例。

Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security——"复杂"验证逻辑的实现
xiaxuepiaopiao的博客
12-10 515
Spring Security——"复杂"验证逻辑的实现 最近在复习spring security,随手写下这个文章,以方便自己记忆。本文将粗略介绍如何实现复杂验证逻辑,以及介绍一部分源码。适合小白、中白看,需要之前对spring security有那么一丢丢的认识。 我们将实现以下场景: 1)使用用户名、密码、手机号、暗号进行登陆,其中用户名、密码、手机号是用户注册时填写...
Spring Security Web安全性解决方案
HideonHacker的博客
04-11 969
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
Spring SecurityWebSecurity
be Free & Happy
10-09 196
首先,查看WebSecurity类图,如下: SecurityBuilder是基础接口,代码如下: public interface SecurityBuilder<O> { /** * Builds the object and returns it or null. * * @return the Object to be built or null if...
SpringSecurity Web安全配置:HttpSecurityWebSecurityConfigurerAdapter
最新发布
程序媛学姐的博客
03-25 2171
Spring Security的配置体系围绕着安全过滤器链构建,通过一系列配置类和构建器模式提供了声明式的安全定义方式。在Spring Security 5.7之前,WebSecurityConfigurerAdapter是配置的核心基类,开发者通过继承并重写其方法定义安全规则。从5.7版本开始,Spring Security推荐使用基于组件的配置方式,直接定义SecurityFilterChain Bean,但核心概念保持不变。
Spring Security : Web安全构建器 WebSecurity
Details Inside Spring
09-02 2499
package org.springframework.security.config.annotation.web.builders; // 这里省略了各个 import 导入行 /** * * WebSecurityWebSecurityConfiguration 创建,用于创建 FilterChainProxy, 这个 FilterChainProxy * 也就是通常我们...
松哥手把手带你入门 Spring Security,别再问密码怎么解密了
热门推荐
江南一点雨的专栏
03-25 2万+
文章目录1.新建项目2.用户配置2.1 配置文件2.2 配置类2.2.1 为什么要加密2.2.2 加密方案2.2.3 PasswordEncoder2.2.4 配置3.自定义表单登录页3.1 服务端定义3.2 前端定义4.小节 因为之前有小伙伴在松哥群里讨论如何给微人事的密码解密,我看到聊天记录后就惊呆了。 无论如何我也得写一篇文章,带大家入门 Spring Security!当我们在一个项目中引...
SpringSecurity---web
tianynnb的博客
07-28 1092
1. SpringSecurity 特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而设计。 旧版本不能脱离 Web 环境使用。 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。 重量级 1.1Shiro特点 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。 通用性。 好处:不局限于 Web 环境,可以脱离 Web 环境使用。 缺陷:在 Web 环境下一些特定的
深入解析 Spring Security —— 打造高效安全的权限管理体系
cooldream2009的博客
12-10 1451
随着互联网技术的发展,安全性已经成为每个应用程序的核心要素。Spring Security 作为 Java 生态中的强大安全框架,提供了全面的认证和授权支持。本文将重点介绍 Spring Security 的核心功能及其实现方式,为开发者提供构建安全应用的最佳实践。
spring security——基本介绍(一)
m0_68850571的博客
04-10 2638
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求; 是否包含username
SpringSecurity的配置详解——websecurity
C_1_1_的博客
06-09 4785
Websecurity类主要的继承关系为自Websecurity->AbstractConfiguredSecurityBuilder->AbstractSecurityBuilder,其中上一步调用的build方法就在AbstractSecurityBuilder中 SpringSecurity在这个类中实现了创建FilterChain的方法——performbuild /*...
WebSecurity
04-21
通过高级加密标准(AES)和安全断言标记语言(SAML)在Web上的安全性
Spring Security_web权限方案_笔记
weixin_43206491的博客
05-18 1328
Spring Security 简介 基于Spring 框架,提供了一套Web 应用安全性的完整解决方案。 关于安全方面的主要两个区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点是 Spirng Security 重要核心功能。 用户认证:**就是系统认为用户是否能登录。**验证某个用户是否为系统中的合法体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统
Web 安全(Web Security
Linux运维老纪的博客
09-23 1814
Web安全主要指的是保护Web应用程序免受恶意攻击和数据泄露的措施,因为它对于保护用户数据和系统安全至关重要。Web应用程序经常成为攻击目标,因此采取适当的安全措施至关重要。这些措施包括但不限于防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等常见的网络攻击。此外,使用安全扫描软件进行定期的安全检查也是维护Web安全的重要手段之一‌。本章详细介绍web安全以及常见的安全防护。
SpringSecurity(二)Web安全
陈橙橙
03-10 5388
Web安全 ​ 在SpringSecurity中,认证、授权等功能都是基于过滤器来完成的。如下表: 过滤器 过滤器作用 是否默认加载 ChannelProcessingFilter 过滤请求协议,如HTTPS和HTTP 否 WebAsyncManagerIntegrationFilter 将WebAsyncManager与Spring Security上下文进行集成 是 SecurityContextPersistenceFilter 在处理请求之前,将安全信息加载导Security
webSecurity安全
jijisaq的博客
06-04 1758
大家好,今天跟大家讨论的是Electron的安全配置选项 ——这在之前的文章《Electron安全与你我息息相关》中就已经提到过了,该选项的意义是开启同源策略,是Electron的默认值,即默认即开启同源策略之前我们在讨论Goby的漏洞时,我们发现,利用的Payload如下php?})();在这里我们注意到放置Payload的地方在外部的JavaScript文件,虽然上面写的是127.0.0.1,实际是想说我们恶意服务器上的JavaScript。
SpringWebSecurity 笔记
owisho_java的专栏
07-26 207
用户自定义WebSecurityConfig初始化流程: WebSecurityConfiguration配置类在初始化时,通过setFilterChainProxySecurityConfigurer方法注入用户自定义WebSecurityConfigurerAdapter子类;用户自定义子类被放入到WebSecurityConfiguration配置类的webSecurity对象中; @Autowired(required=false) public void se...
Spring Security框架——安全访问控制解决方案
Spring Security是一个功能强大且可高度定制的身份验证和访问控制框架,它是安全领域事实上的标准解决方案之一。Spring Security为基于Spring的应用程序提供全面的安全服务,其中包括身份验证(Authentication)和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值