「技术原理」Spring Security的核心功能和加载运行流程的原理分析

本文链接：https://blog.csdn.net/2401_84049088/article/details/137295236

WebAsyncManagerIntegrationFilter：集成SecurityContext到 Spring Web 异步请求机制中的WebAsyncManager。
注：SecurityContext就是安全上下文，主要职能就是用于存储用户认证的一些信息。
SecurityContextPersistenceFilter：在每次请求处理之前，从 Session（默认使用HttpSessionSecurityContextRepository）中获取SecurityContext，然后将其设置给到SecurityContextHolder；在请求结束后，就会将SecurityContextHolder中存储的SecurityContext重新保存到 Session 中，并且清除SecurityContextHolder中的SecurityContext。
SecurityContextPersistenceFilter可以通过HttpSecurity#securityContext()及相关方法引入其配置对象SecurityContextConfigurer来进行配置。
HeaderWriterFilter：该过滤器可为响应添加一些响应头，比如添加X-Frame-Options，X-XSS-Protection和X-Content-Type-Options等响应头，让浏览器开启保护功能。
HeaderWriterFilter可以通过HttpSecurity#headers()来定制。
CorsFilter：处理跨域资源共享（CORS）。
CorsFilter可以通过HttpSecurity#cors()来定制。
CsrfFilter：处理跨站请求伪造(CSRF)。
CsrfFilter可以通过HttpSecurity#csrf()来开启或关闭。在前后端分离项目中，不需要使用 CSRF。
LogoutFilter：处理退出登录请求。
LogoutFilter可以通过HttpSecurity#logout()来定制退出逻辑。
OAuth2AuthorizationRequestRedirectFilter：用于构建 OAuth 2.0 认证请求，将用户请求重定向到该认证请求接口。
注：该过滤器需要添加spring-security-oauth2等相关模块。
Saml2WebSsoAuthenticationRequestFilter：基于 SAML 的 SSO 单点登录认证请求过滤器。
注：Saml2WebSsoAuthenticationRequestFilter需要添加 Spring Security SAML 模块。
X509AuthenticationFilter：X509 认证过滤器。
X509AuthenticationFilter可以通过SecurityContext#X509()来启用和配置相关功能。
AbstractPreAuthenticatedProcessingFilter：认证预处理请求过滤器基类，其中认证主体已经由外部系统进行了身份验证。目的只是从传入请求中提取主体上的必要信息，而不是对它们进行身份验证。可以继承该类进行具体实现并通过HttpSecurity#addFilter方法来添加个性化的AbstractPreAuthenticatedProcessingFilter。
CasAuthenticationFilter：用于处理 CAS 单点登录认证。
注： CasAuthenticationFilter需要添加 Spring Security CAS 模块。
OAuth2LoginAuthenticationFilter：OAuth2.0 登录认证过滤器。
注： OAuth2LoginAuthenticationFilter需要添加spring-security-oauth2等相关模块。
Saml2WebSsoAuthenticationFilter：基于 SAML 的 SSO 单点登录认证过滤器。
注：Saml2WebSsoAuthenticationFilter需要添加 Spring Security SAML 模块。
UsernamePasswordAuthenticationFilter：用于处理表单登录认证。默认处理接口为/login，表单必须提供两个参数：用户名和密码，默认的参数名(key)为username和password，可以通过usernameParameter和passwordParameter方法进行修改。

UsernamePasswordAuthenticationFilter可以通过HttpSecurity#formLogin()及相关方法引入其配置对象FormLoginConfigurer来进行配置。

OpenIDAuthenticationFilter：基于 OpenID 认证协议的认证过滤器。
DefaultLoginPageGeneratingFilter：如果没有配置登录页面，那么就会默认采用该过滤器生成一个登录表单页面。
注：默认的登录页面接口为/login
DefaultLogoutPageGeneratingFilter：生成默认退出登录页面。
注：默认的退出登录页面接口为/logout
ConcurrentSessionFilter：主要用来判断 Session 是否过期以及更新最新访问时间。该过滤器可能会被多次执行。
DigestAuthenticationFilter：用于处理 HTTP 头部显示的摘要式身份验证凭据。
DigestAuthenticationFilter可以通过HttpSecurity#addFilter()来启用和配置相关功能。
BearerTokenAuthenticationFilter：处理 Token 认证。
BasicAuthenticationFilter：用于检测和处理 Http Baisc 认证。
BasicAuthenticationFilter可以通过HttpSecurity#httpBasic()及相关方法引入其配置对象HttpBaiscConfigurer来进行配置。
RequestCacheAwareFilter：用于用户认证成功后，重新恢复因为登录被打断的请求。当匿名访问一个需要授权的资源时。会跳转到认证处理逻辑，此时请求被缓存。在认证逻辑处理完毕后，从缓存中获取最开始的资源请求进行再次请求。
RequestCacheAwareFilter可以通过HttpSecurity#requestCache()及相关方法引入其配置对象RequestCacheConfigurer来进行配置。
SecurityContextHolderAwareRequestFilter：对请求对象进行包装，增加了一些安全相关方法。
SecurityContextHolderAwareRequestFilter可以通过HttpSecurity#servletApi()及相关方法引入其配置对象ServletApiConfigurer来进行配置。
JaasApiIntegrationFilter：适用于 JAAS （Java 认证授权服务）。如果SecurityContextHolder中拥有的Authentication是一个JaasAuthenticationToken，那么该JaasApiIntegrationFilter将使用包含在JaasAuthenticationToken中的Subject继续执行FilterChain。
RememberMeAuthenticationFilter：当用户没有登录而直接访问资源时，从 cookie 里找出用户的信息，如果 Spring Security 能够识别出用户提供的 remember me cookie，用户将不必填写用户名和密码，而是直接登录进入系统。它先分析 SecurityContext 里有没有Authentication对象，如果有，则不做任何操作，直接跳到下一个过滤器；如果没有，则检查请求里有没有包含 remember-me 的 cookie 信息。如果有，则解析出 cookie 里的验证信息，判断是否有权限。
RememberMeAuthenticationFilter可以通过HttpSecurity#rememberMe()及相关方法引入其配置对象RememberMeConfigurer来进行配置。
AnonymousAuthenticationFilter：匿名认证过滤器，检测SecurityContextHolder中是否存在Authentication对象，如果不存在，就生成一个匿名Authentication对象。
AnonymousAuthenticationFilter可以通过HttpSecurity#anonymous()及相关方法引入其配置对象AnonymousConfigurer来进行配置。
OAuth2AuthorizationCodeGrantFilter：OAuth 2.0 授权码模式，用于处理 OAuth 2.0 授权码响应。
SessionManagementFilter：检测用户是否通过认证，如果已认证，就通过SessionAuthenticationStrategy进行 Session 相关管理操作。
SessionManagementFilter可以通过HttpSecurity#sessionManagement()及相关方法引入其配置对象SessionManagementConfigurer来进行配置。
ExceptionTranslationFilter：可以用于捕获FilterChain上所有的异常，但只处理AccessDeniedException和AuthenticationException异常。
FilterSecurityInterceptor：对 web资源进行一些安全保护操作。
SwitchUserFilter：主要用来作用户切换。

自动配置

依据 Spring Boot 自动配置原理，其会自动加载spring-boot-autoconfigure.jar中/META-INF/spring.factories内键值org.springframework.boot.autoconfigure.EnableAutoConfiguration指定的自动配置类。查看该文件，可以看到，与 Spring Security 相关的自动配置类有如下几个：

org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration, \

org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration, \

org.springframework.boot.autoconfigure.security.servlet.SecurityFilterAutoConfiguration, \

org.springframework.boot.autoconfigure.security.reactive.ReactiveSecurityAutoConfiguration, \

org.springframework.boot.autoconfigure.security.reactive.ReactiveUserDetailsServiceAutoConfiguration, \

org.springframework.boot.autoconfigure.security.rsocket.RSocketSecurityAutoConfiguration, \

org.springframework.boot.autoconfigure.security.saml2.Saml2RelyingPartyAutoConfiguration, \

org.springframework.boot.autoconfigure.security.oauth2.client.servlet.OAuth2ClientAutoConfiguration, \

org.springframework.boot.autoconfigure.security.oauth2.client.reactive.ReactiveOAuth2ClientAutoConfiguration, \

org.springframework.boot.autoconfigure.security.oauth2.resource.servlet.OAuth2ResourceServerAutoConfiguration, \

org.springframework.boot.autoconfigure.security.oauth2.resource.reactive.ReactiveOAuth2ResourceServerAutoConfiguration, \

复制代码

每个配置类都为 Spring Security 注入不同的 Bean 到 Spring容器中。这里我们着重介绍一下SecurityFilterAutoConfiguration和SecurityAutoConfiguration配置类，因为这两个配置类会自动装配DelegatingFilterProxy和FilterChain到 Spring容器中。

自动装配FilterChainProxy

下面介绍下配置类SecurityAutoConfiguration，具体如下：

@Configuration(proxyBeanMethods = false)

@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)

@EnableConfigurationProperties(SecurityProperties.class)

@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,

SecurityDataConfiguration.class })

public class SecurityAutoConfiguration {

@Bean

@ConditionalOnMissingBean(AuthenticationEventPublisher.class)

public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {

return new DefaultAuthenticationEventPublisher(publisher);

}

复制代码

SecurityAutoConfiguration导入了3个配置类，注重看WebSecurityEnablerConfiguration。查看WebSecurityEnablerConfiguration配置类，其源码如下：

@Configuration(proxyBeanMethods = false)

@ConditionalOnMissingBean(name = “springSecurityFilterChain”)

@ConditionalOnClass(EnableWebSecurity.class)

@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)

@EnableWebSecurity

class WebSecurityEnablerConfiguration {

}

复制代码

当 Spring容器中没有名称为springSecurityFilterChain的 Bean 等条件时，就会加载该配置类，此时@EnableWebSecurity注解生效：

@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.TYPE)

@Documented

@Import({ WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class,

HttpSecurityConfiguration.class })

@EnableGlobalAuthentication

@Configuration

public @interface EnableWebSecurity {

boolean debug() default false;

}

复制代码

注解@EnableWebSecurity又导入了4个配置类，这里着重看下WebSecurityConfiguration：

@Configuration(proxyBeanMethods = false)

public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {

…

/**

Creates the Spring Security Filter Chain
@return the {@link Filter} that represents the security filter chain
@throws Exception

@Bean(name = “springSecurityFilterChain”)

public Filter springSecurityFilterChain() throws Exception {

…

return this.webSecurity.build();

}

…

}

复制代码

可以看到，WebSecurityConfiguration#springSecurityFilterChain()最终生成了一个名称为springSecurityFilterChain的 Bean 实体，该 Bean 的实际类型其实为FilterChainProxy，是由WebSecurity#build()方法创建的。

综上，SecurityAutoConfiguration配置类生成了很多 Bean 实体，其中最重要的一个是名称为springSecurityFilterChain的FilterChainProxy对象。

自动装配DelegatingFilterProxy

下面介绍下配置类SecurityFilterAutoConfiguration，其源码如下所示：

@Configuration(proxyBeanMethods = false)

@ConditionalOnWebApplication(type = Type.SERVLET)

@EnableConfigurationProperties(SecurityProperties.class)

@ConditionalOnClass({ AbstractSecurityWebApplicationInitializer.class, SessionCreationPolicy.class })

@AutoConfigureAfter(SecurityAutoConfiguration.class) // 须先加载 SecurityAutoConfiguration

public class SecurityFilterAutoConfiguration {

…

@Bean

@ConditionalOnBean(name = “springSecurityFilterChain”)

public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration(

SecurityProperties securityProperties) {

…

}

…

}

复制代码
自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

1200页Java架构面试专题及答案

小编整理不易，对这份1200页Java架构面试专题及答案感兴趣劳烦帮忙转发/点赞

百度、字节、美团等大厂常见面试题

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门即可获取！
https://i-blog.csdnimg.cn/blog_migrate/cfcba64c668567cf393ded6712a8c67f.jpeg" alt=“img” style=“zoom: 33%;” />