深入理解 HttpSecurity【源码篇】

于 2024-04-07 18:22:23 发布
阅读量1.2k 收藏 22
点赞数 17
分类专栏: 程序员 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048006/article/details/137473292
版权
文章详细介绍了SpringSecurity中HttpSecurityBuilder、SecurityBuilder和DefaultSecurityFilterChain的作用,以及它们在构建过滤器链过程中的角色,包括如何配置、添加过滤器和管理对象。
摘要由CSDN通过智能技术生成

public RequestMatcher getRequestMatcher() {

return requestMatcher;

}

public List getFilters() {

return filters;

}

public boolean matches(HttpServletRequest request) {

return requestMatcher.matches(request);

}

@Override

public String toString() {

return "[ " + requestMatcher + ", " + filters + “]”;

}

}

DefaultSecurityFilterChain 只是对 SecurityFilterChain 中的方法进行了实现,并没有特别值得说的地方,松哥也就不啰嗦了。

那么从上面的介绍中,大家可以看到,DefaultSecurityFilterChain 其实就相当于是 Spring Security 中的过滤器链,一个 DefaultSecurityFilterChain 代表一个过滤器链,如果系统中存在多个过滤器链,则会存在多个 DefaultSecurityFilterChain 对象。

接下来我们把 HttpSecurity 的这几个父类捋一捋。

1.2 SecurityBuilder

public interface SecurityBuilder {

O build() throws Exception;

}

SecurityBuilder 就是用来构建过滤器链的,在 HttpSecurity 实现 SecurityBuilder 时,传入的泛型就是 DefaultSecurityFilterChain,所以 SecurityBuilder#build 方法的功能很明确,就是用来构建一个过滤器链出来。

1.3 HttpSecurityBuilder

HttpSecurityBuilder 看名字就是用来构建 HttpSecurity 的。不过它也只是一个接口,具体的实现在 HttpSecurity 中,接口定义如下:

public interface HttpSecurityBuilder<H extends HttpSecurityBuilder> extends

SecurityBuilder {

<C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C getConfigurer(

Class clazz);

<C extends SecurityConfigurer<DefaultSecurityFilterChain, H>> C removeConfigurer(

Class clazz);

void setSharedObject(Class sharedType, C object);

C getSharedObject(Class sharedType);

H authenticationProvider(AuthenticationProvider authenticationProvider);

H userDetailsService(UserDetailsService userDetailsService) throws Exception;

H addFilterAfter(Filter filter, Class<? extends Filter> afterFilter);

H addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter);

H addFilter(Filter filter);

}

这里的方法比较简单:

  1. getConfigurer 获取一个配置对象。Spring Security 过滤器链中的所有过滤器对象都是由 xxxConfigure 来进行配置的,这里就是获取这个 xxxConfigure 对象。

  2. removeConfigurer 移除一个配置对象。

  3. setSharedObject/getSharedObject 配置/获取由多个 SecurityConfigurer 共享的对象。

  4. authenticationProvider 方法表示配置验证器。

  5. userDetailsService 配置数据源接口。

  6. addFilterAfter 在某一个过滤器之前添加过滤器。

  7. addFilterBefore 在某一个过滤器之后添加过滤器。

  8. addFilter 添加一个过滤器,该过滤器必须是现有过滤器链中某一个过滤器或者其扩展。

这便是 HttpSecurityBuilder 中的功能,这些接口在 HttpSecurity 中都将得到实现。

1.4 AbstractSecurityBuilder

AbstractSecurityBuilder 类实现了 SecurityBuilder 接口,该类中主要做了一件事,就是确保整个构建只被构建一次。

public abstract class AbstractSecurityBuilder implements SecurityBuilder {

private AtomicBoolean building = new AtomicBoolean();

private O object;

public final O build() throws Exception {

if (this.building.compareAndSet(false, true)) {

this.object = doBuild();

return this.object;

}

throw new AlreadyBuiltException(“This object has already been built”);

}

public final O getObject() {

if (!this.building.get()) {

throw new IllegalStateException(“This object has not been built”);

}

return this.object;

}

protected abstract O doBuild() throws Exception;

}

可以看到,这里重新定义了 build 方法,并设置 build 方法为 final 类型,无法被重写,在 build 方法中,通过 AtomicBoolean 实现该方法只被调用一次。具体的构建逻辑则定义了新的抽象方法 doBuild,将来在实现类中通过 doBuild 方法定义构建逻辑。

1.5 AbstractConfiguredSecurityBuilder

AbstractSecurityBuilder 方法的实现类就是 AbstractConfiguredSecurityBuilder。

AbstractConfiguredSecurityBuilder 中所做的事情就比较多了,我们分别来看。

首先 AbstractConfiguredSecurityBuilder 中定义了一个枚举类,将整个构建过程分为 5 种状态,也可以理解为构建过程生命周期的五个阶段,如下:

private enum BuildState {

UNBUILT(0),

INITIALIZING(1),

CONFIGURING(2),

BUILDING(3),

BUILT(4);

private final int order;

BuildState(int order) {

this.order = order;

}

public boolean isInitializing() {

return INITIALIZING.order == order;

}

public boolean isConfigured() {

return order >= CONFIGURING.order;

}

}

五种状态分别是 UNBUILT、INITIALIZING、CONFIGURING、BUILDING 以及 BUILT。另外还提供了两个判断方法,isInitializing 判断是否正在初始化,isConfigured 表示是否已经配置完毕。

AbstractConfiguredSecurityBuilder 中的方法比较多,松哥在这里列出来两个关键的方法和大家分析:

private <C extends SecurityConfigurer<O, B>> void add(C configurer) {

Assert.notNull(configurer, “configurer cannot be null”);

Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer

.getClass();

synchronized (configurers) {

if (buildState.isConfigured()) {

throw new IllegalStateException("Cannot apply " + configurer

  • " to already built object");

}

List<SecurityConfigurer<O, B>> configs = allowConfigurersOfSameType ? this.configurers

.get(clazz) : null;

if (configs == null) {

configs = new ArrayList<>(1);

}

configs.add(configurer);

this.configurers.put(clazz, configs);

if (buildState.isInitializing()) {

this.configurersAddedInInitializing.add(configurer);

}

}

}

private Collection<SecurityConfigurer<O, B>> getConfigurers() {

List<SecurityConfigurer<O, B>> result = new ArrayList<>();

for (List<SecurityConfigurer<O, B>> configs : this.configurers.values()) {

result.addAll(configs);

}

return result;

}

第一个就是这个 add 方法,这相当于是在收集所有的配置类。将所有的 xxxConfigure 收集起来存储到 configurers 中,将来再统一初始化并配置,configurers 本身是一个 LinkedHashMap ,key 是配置类的 class,value 是一个集合,集合里边放着 xxxConfigure 配置类。当需要对这些配置类进行集中配置的时候,会通过 getConfigurers 方法获取配置类,这个获取过程就是把 LinkedHashMap 中的 value 拿出来,放到一个集合中返回。

另一个方法就是 doBuild 方法。

@Override

protected final O doBuild() throws Exception {

synchronized (configurers) {

buildState = BuildState.INITIALIZING;

beforeInit();

init();

buildState = BuildState.CONFIGURING;

beforeConfigure();

configure();

buildState = BuildState.BUILDING;

O result = performBuild();

buildState = BuildState.BUILT;

return result;

}

}

private void init() throws Exception {

Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

for (SecurityConfigurer<O, B> configurer : configurers) {

configurer.init((B) this);

}

for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {

configurer.init((B) this);

}

}

private void configure() throws Exception {

Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

for (SecurityConfigurer<O, B> configurer : configurers) {

configurer.configure((B) this);

}

}

在 AbstractSecurityBuilder 类中,过滤器的构建被转移到 doBuild 方法上面了,不过在 AbstractSecurityBuilder 中只是定义了抽象的 doBuild 方法,具体的实现在 AbstractConfiguredSecurityBuilder。

doBuild 方法就是一边更新状态,进行进行初始化。

beforeInit 是一个预留方法,没有任何实现。

init 方法就是找到所有的 xxxConfigure,挨个调用其 init 方法进行初始化。

beforeConfigure 是一个预留方法,没有任何实现。

configure 方法就是找到所有的 xxxConfigure,挨个调用其 configure 方法进行配置。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img
线程、数据库、算法、JVM、分布式、微服务、框架、Spring相关知识

一线互联网P7面试集锦+各种大厂面试集锦

学习笔记以及面试真题解析

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!
备注Java获取)**

img
线程、数据库、算法、JVM、分布式、微服务、框架、Spring相关知识

[外链图片转存中…(img-y0LGc28T-1712485330113)]

一线互联网P7面试集锦+各种大厂面试集锦

[外链图片转存中…(img-xh2hWcEj-1712485330113)]

学习笔记以及面试真题解析

[外链图片转存中…(img-ahygzsx8-1712485330114)]

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!

2401_84048006
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HttpSecurity
weixin_45822542的博客
06-12 1128
防御CSRF攻击的方法包括使用CSRF token , Referer验证 ,双重提交Cookie和设置SameSite Cookie;Spring Security 提供了内置的CSRF保护机制 ,通过简单配置启用和定制这个功能,以确保应用程序的安全性;这是Spring Security提供的配置类, 用户保护基于HTTP的请求 ,通过。,通过诱导用户在不知情的情况下执行恶意操作;
spring security 项目配置源码
01-13
在这个"Spring Security 项目配置源码"中,我们有机会深入理解这个框架如何在实际项目中配置和使用。下面将详细介绍Spring Security的核心概念、配置过程以及如何在Eclipse环境中运行该项目。 1. **核心概念** - *...
SpringSecurityHttpSecurity
weixin_43172297的博客
08-02 922
文章目录前言一、HttpSecurity是什么?1.1 定义:1.2 类图:1.3 DefaultSecurityFilterChain1.4 HttpSecurity的performBuild方法1.5 HttpSecurity常用的方法 前言 之前的文章分析了WebSecurityConfigurerAdapter,这次分析下HttpSecurity。 一、HttpSecurity是什么? 1.1 定义: HttpSecurity类似于命名空间配置中 Spring Security 的 XML 元素。
【第五深入理解HttpSecurity的设计
波波烤鸭的博客
04-28 3817
深入理解HttpSecurity的设计 一、HttpSecurity的应用   在前章节的介绍中我们讲解了基于配置文件的使用方式,也就是如下的使用。   也就是在配置文件中通过 security:http 等标签来定义了认证需要的相关信息,但是在SpringBoot项目中,我们慢慢脱离了xml配置文件的方式,在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置文件中定义的http标签。要使用的话方式如下。   通过代码结果来看和配置文件.
HttpSecurity常用方法详解
热门推荐
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
websecurityconfigureradapter_深入理解 WebSecurityConfigurerAdapter「源码
weixin_39924584的博客
11-23 539
我们继续来撸 Spring Security 源码,今天来撸一个非常重要的 WebSecurityConfigurerAdapter。我们的自定义都是继承自 WebSecurityConfigurerAdapter 来实现的,但是对于 WebSecurityConfigurerAdapter 内部的工作原理,配置原理,很多小伙伴可能都还不太熟悉,因此我们今天就来捋一捋。我们先来看一张 WebSec...
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5250
HttpSecurity是Spring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
spring security使用总结
Koikoi12的博客
08-11 3074
三种配置方法 configure(WebSecurity) 通过重载,配置Spring Security的Filter链 configure(HttpSecurity) 通过重载,配置如何通过拦截器保护请求,用来拦截请求,配置白名单和过滤 configure(AuthenticationManagerBuilder) 通过重载,配置user-detail服务,身份认证接口调用 用户存储方式 基于内存 auth.inMemoryAuthentication() .withUser(“admin”).passw
SpringSecurity的配套示例源码
最新发布
05-10
本示例源码旨在帮助开发深入理解并学习如何在实际项目中应用SpringSecurity。 1. **SpringSecurity核心概念** - **身份验证(Authentication)**:确认用户的身份,通常通过用户名和密码进行。 - **授权...
spring security 源码
05-28
文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
SpringSecurity源码 SpringSecurity jar包 简单的Demo
12-18
在本中,我们将深入探讨Spring Security的核心概念、架构和主要组件,以及如何通过简单的Demo来理解和应用这个框架。 首先,让我们了解Spring Security的基本架构。Spring Security的核心设计理念是采用过滤器链...
详解spring securityhttpSecurity使用示例
08-27
主要介绍了详解spring securityhttpSecurity使用示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity源码
05-29
本教程配套源码旨在帮助开发深入理解SpringSecurity的工作原理,通过实践提升在安全领域的技能。 在SpringSecurity中,核心概念主要包括以下几个部分: 1. **过滤器链**:SpringSecurity的核心是基于过滤器的Web...
SpringBoot - HttpSecurity是什么?
记录并分享
08-11 1090
HttpSecurity用于在实际的业务场景中针对不同的URL采用不同的权限处理策略。一般会在重载WebSecurityConfigurerAdapter基类的configure(HttpSecurity httpSecurity)方法中完成权限策略的处理。HttpSecuritySecurityBuilder接口的一个实现类,这是一个HTTP安全相关的构建器。当然我们在构建时可能需要一些配置,当我们调用HttpSecurity对象的方法时,实际上就是在进行配置。...
Spring Security源码学习——建造者之HttpSecurity
clyu的博客
09-18 526
三、HttpSecurity 它的目标是构建一个 SecurityFilterChain 过滤器链实例,它 掌握着所有Filter的“生杀大权”,想要谁过滤就配置起来,不想要谁过滤就不配置或者禁用掉(因为有些会被默认配置)。 大致可以将其内方法分为两大类型,一类是框架默认给开发者提供的认证配置方法,可供开发者选择性调用,比如: 3.1 认证配置方法 formLogin 指定支持 基于表单 的身份验证 public final class HttpSecurity ...//忽略代码...{
5.深入理解HttpSecurity的设计
飘然渡沧海的博客
03-06 347
深入理解HttpSecurity的设计
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1276
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
设置Security中的token认证过滤器
qq_42218565的博客
07-15 1219
在实现MvcSecurityConfiguration的类configure(HttpSecurity http)方法中添加如下内容: http.exceptionHandling() .authenticationEntryPoint(new UnauthorizedEntryPoint()) .and() .csrf().disable() .logout()
Spring SecurityHttpSecurity常用方法及说明
wh柒八九的博客
05-29 3405
本文来说下spring securityHttpSecurity常用方法,这个类在spring security中使用的非常多,功能十分丰富,其中包含的方法也是非常多,在实际的开发中,需要重写里面的一些方法,来实现我们自己需要的功能。 文章目录概述 概述 在idea中生成HttpSecurity的类图 ...
深入解析SpringSecurity:企业级安全框架实战
"深入浅出SpringSecurity.pdf" Spring Security 是一个广泛使用的Java...通过阅读本书,读者不仅能学会Spring Security的使用,还能通过阅读源码理解其内部的工作原理,从而更深入地掌握安全开发的实践和理论知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值