04.Spring Boot 中的 Spring Security 自动配置初探

最新推荐文章于 2024-07-07 15:57:46 发布
最新推荐文章于 2024-07-07 15:57:46 发布
阅读量416 收藏
点赞数
分类专栏: 认证授权 文章标签: spring spring boot hive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43409973/article/details/132277374
版权

1. 前言

我们在前几篇对 Spring Security 的用户信息管理机制,密码机制进行了探讨。我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找到。今天我们进一步来解密 Spring SecuritySpring Boot 的配置和使用。

2. Spring Boot 下 Spring Security 的自动配置

我们可以通过 org.springframework.boot.autoconfigure.security.servlet 路径下找到 Spring Security 关于Servlet的自动配置类。我们来大致了解一下。

2.1 SecurityAutoConfiguration

 package org.springframework.boot.autoconfigure.security.servlet;
 
 import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
 import org.springframework.boot.autoconfigure.condition.ConditionalOnClass;
 import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
 import org.springframework.boot.autoconfigure.security.SecurityDataConfiguration;
 import org.springframework.boot.autoconfigure.security.SecurityProperties;
 import org.springframework.boot.context.properties.EnableConfigurationProperties;
 import org.springframework.context.ApplicationEventPublisher;
 import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
 import org.springframework.context.annotation.Import;
 import org.springframework.security.authentication.AuthenticationEventPublisher;
 import org.springframework.security.authentication.DefaultAuthenticationEventPublisher;
 
 /**
  * {@link EnableAutoConfiguration Auto-configuration} for Spring Security.
  *
  * @author Dave Syer
  * @author Andy Wilkinson
  * @author Madhura Bhave
  * @since 1.0.0
  */
 @Configuration
 @ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
 @EnableConfigurationProperties(SecurityProperties.class)
 @Import({
    SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
 		SecurityDataConfiguration.class })
 public class SecurityAutoConfiguration {
   
 
 	@Bean
 	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
 	public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
   
 		return new DefaultAuthenticationEventPublisher(publisher);
 	}
 
 }

SecurityAutoConfiguration 顾名思义安全配置类。该类引入(@import)了 SpringBootWebSecurityConfigurationWebSecurityEnablerConfigurationSecurityDataConfiguration 三个配置类。 让这三个模块的类生效。是一个复合配置,是 Spring Security 自动配置最重要的一个类之一。 Spring Boot 自动配置经常使用这种方式以达到灵活配置的目的,这也是我们研究 Spring Security 自动配置的一个重要入口 同时 SecurityAutoConfiguration 还将 DefaultAuthenticationEventPublisher 作为默认的 AuthenticationEventPublisher 注入 Spring IoC 容器。如果你熟悉 Spring 中的事件机制你就会知道该类是一个 Spring 事件发布器。该类内置了一个HashMap<String, Constructor<? extends AbstractAuthenticationEvent>>维护了认证异常处理和对应异常事件处理逻辑的映射关系,比如账户过期异常 AccountExpiredException 对应认证过期事件AuthenticationFailureExpiredEvent ,也就是说发生不同认证的异常使用不同处理策略。

2.2 SpringBootWebSecurityConfiguration

 @Configuration
 @ConditionalOnClass(WebSecurityConfigurerAdapter.class)
 @ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
 @ConditionalOnWebApplication(type = Type.SERVLET)
 public class SpringBootWebSecurityConfiguration {
   
 
 	@Configuration
 	@Order(SecurityProperties.BASIC_AUTH_ORDER)
 	static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {
   
 
 	}
 
 }

这个类是Spring Security 对 Spring Boot Servlet Web 应用的默认配置。核心在于WebSecurityConfigurerAdapter 适配器。从 @ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class) 我们就能看出 WebSecurityConfigurerAdapter 是安全配置的核心。 默认情况下 DefaultConfigurerAdapter 将以SecurityProperties.BASIC_AUTH_ORDER-5) 的顺序注入 Spring IoC 容器,这是个空实现。如果我们需要个性化可以通过继承 WebSecurityConfigurerAdapter 来实现。我们会在以后的博文重点介绍该类。

2.3 WebSecurityEnablerConfiguration

 @Configuration
 @ConditionalOnBean(WebSecurityConfigurerAdapter.class)
 @ConditionalOnMissingBean(name = BeanIds.SPRING_SECURITY_FILTER_CHAIN)
 @ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
 @EnableWebSecurity
 public class WebSecurityEnablerConfiguration {
   
 
 }

该配置类会在SpringBootWebSecurityConfiguration 注入 Spring IoC 容器后启用 @EnableWebSecurity 注解。也就是说 WebSecurityEnablerConfiguration 目的仅仅就是在某些条件下激活 @EnableWebSecurity 注解。那么这个注解都有什么呢?

3. @EnableWebSecurity 注解

 @Retention(value = java.lang
最低0.47元/天 解锁文章
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
fudaihb的博客
05-18 1599
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 1930
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
spring-security-getting-start:http
05-05
Spring安全性样本 来源我遵循了 。 只有非常基本的设置和应用方法。 稍后,在阅读《 我打算将其应用于一个简单的项目。
springsecurity自动配置
weixin_40655902的博客
05-18 541
使用版本 为springboot 2.2.7 1.springboot默认配置文件 2.默认配置类 3.SecurityAutoConfiguration 默认到入了三个类 SpringBootWebSecurityConfiguration、 WebSecurityEnablerConfiguration、 SecurityDataConfiguration @Configuration(proxyBeanMethods = false) @ConditionalOnClass(DefaultAuth
浅谈 SpringSecurity使用方式——自动配置原理(一)
小爽帅到拖网速的博客
09-10 1190
1、用户身份认证 快速开始 基于Spring Boot实现 引入依赖 <!-- 实现对 Spring MVC 的自动化配置 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- 实现对 Spri
SpringSecurity (1) Quickstart
O_o
05-02 1434
从简单的 Quickstart 开始... SpringSecurity 5 的快速入门案例。主要涉及 HttpSecurity 的 csrf,httpBasic,failureHandler 和 successHandler
Spring Security 实战干货:Spring Boot 中的 Spring Security 自动配置初探
码农小胖哥
10-14 2539
1. 前言 我们在前几篇对 Spring Security 的用户信息管理机制,密码机制进行了探讨。我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot....
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 611
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
SpringSecuritySpringBoot中的自动装配
最新发布
qq_43676797的博客
07-07 307
约定大于配置,这里的内容就相当于在web.xml配置文件中配置springSecurityFilterChain的过程由spring自动实现.spring自动注入DelegatingFilterProxy对象,这样就可以将security中的过滤器切到spring中,在请求的时候会被DelegatingFilterProxyRegistrationBean拦截,然后去执行security中的过滤器链。注册逻辑在父类DynamicRegistrationBean中。
Spring Boot Security 自动配置
白石的专栏
12-05 1656
在本文中,我们重点介绍了 Spring Boot 提供的默认安全配置。我们看到了如何禁用或覆盖安全自动配置机制。然后我们研究了如何应用新的安全配置
Spring Security渐入佳境(一) -- Getting Start
分享技术,共同进步!
12-05 196
一、概念 Spring Security 是一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,应用的安全性包括用户认证(Authentication)、用户授权(Authorization)和 攻击防护(防止伪造身份)。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成...
SpringSecurity系列 - 01 SpringSecurity自动配置原理
你今天真好看呀
09-10 1083
经过上面的分析可以看出,默认情况下,条件都是满足的。http . authorizeRequests() // 对所有的请求开启权限认证,认证之后才能访问 . anyRequest() . authenticated() . and() // 支持表单认证 . formLogin() . and() // 支持basic认证 . httpBasic();} }WebSecurityConfigurerAdapter 这个类极其重要,Spring Security 核心配置都在这个类中,
org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration
slxz001的博客
08-16 2588
异常描述 Springboot整合activiti6.0,启动项目时异常 java.lang.IllegalArgumentException: Could not find class [org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration] at org.springframework.util.ClassUtils.resolveClassName(ClassUtils.java:334) ~[sprin
源码解读Spring-Security之初始化启动
夫礼者的专栏
01-30 339
基于 SpringBoot2.4.2 + Spring-Security5.4.2。鉴于最近两年使用到的技术栈中Spring的权重越来越高,加之近期所参与的一个项目需求,遂决定加深以下对于Spring-Security的理解,做到"胸有成竹,遇事不慌"。
Spring Security渐入佳境(一)[附] --SpringSecurity的基本原理及源码剖析
分享技术,共同进步!
09-06 270
知识预备 一、概念 Spring Security 是一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。...
springSecurity简单使用
qq_32865713的博客
09-10 433
目录 传统用户名登录流程 使用SpringSecurity的流程 一.maven导入依赖 二.在web.xml中配置过滤器(固定写法) 三.编写spring-security.xml文件 1.无数据库情况下使用spring-security 2.有数据库情况下的springSecurity.xml 四.创建对应的页面文件 五.创建业务类存入ioc容器,按上方配置的userSer...
Spring Security 学习笔记(四)-- Spring Security应用详解
SuperArc1999的博客
01-03 449
4.1SpringBoot集成Spring Security 4.1.1SpringBoot介绍 略。 4.1.2创建SprngBoot工程 引入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependen
Spring Security安全框架
weixin_66307949的博客
08-02 1737
创建配置类:webSecurityConfigureAdapter(去继承它)(1)查询username、password、validate(用户是否有效)config(HttpSecuritr http):设置访问控制。(2)查询username、authority(权限)布尔类型的字段:用户是否有效。启动项目,自定义进行安全管理(默认的安全管理模式)密码:必须进行加密操作。授权:定用户的权限,对用户权限进行管理。认证:认用户是否登录,对登录进行管控。创建工具类(config层)......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值