Spring Security 是如何起作用的

最新推荐文章于 2024-07-03 20:47:38 发布
最新推荐文章于 2024-07-03 20:47:38 发布
阅读量761 收藏 1
点赞数
分类专栏: spring 文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mynah886/article/details/101024766
版权

我们知道, Spring Security配置成功后, 可以拦截制定的http请求来进行检证和授权.
拦截http请求, 通常都是Filter做的事情, 那Spring Security的Filter是哪个类, 又是怎么生效的呢?

@EnableWebSecurity简析

@EnableWebSecurity是开启Spring Security的注解. 主要代码有:

@Import({ WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })

首先分析:WebSecurityConfiguration
有一个创建Filter的方法:

	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();
	}

 

 

这个Bean的name是: springSecurityFilterChain

这里引起了2个问题:

  1. 一般的Filter需要通过Servlet的标准注解, 才能让Servlet容器识别并生效, 并且还要配置匹配的url等信息.通过Spring 搞出的这个Filter只是一个受Spring 容器管理的一个Bean而已, 并不能被Servlet容器识别, 响应http请求.
  2. 这个Filter的真正实现类是什么? webSecurity.build()只是一个构建者模式的表达.

我们先分析问题2.
build()方法的定义实际上是在AbstractSecurityBuilder中定义:

 

真正的逻辑委托给抽象方法doBuild实现, 显然doBuild需要子类去实现:

也就是在AbstractConfiguredSecurityBuilder(WebSecurity的父类)中实现的:

 

可见核心是委托给了抽象方法:performBuild, 这个performBuild的实现是在WebSecurity中, 所以现在把焦点移回到:WebSecurity的performBuild

 

这里终于知道这个Filter的真正身份了:
FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
就是这个:FilterChainProxy

看看这个类的构造子:

 

里面包含了一个SecurityFilterChain的集合.
再看下SecurityFilterChain

里面包含了一组真正的Filter.
下面我们分析下这个: securityFilterChains
我们再看下performBuild()的前面几行代码:

		int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
		List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
				chainSize);
		for (RequestMatcher ignoredRequest : ignoredRequests) {
			securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
		}
		for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
			securityFilterChains.add(securityFilterChainBuilder.build());
		}
		FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);

可以看到这个securityFilterChains的集合的值来源于2部分:ignoredRequestssecurityFilterChainBuilders

ignoredRequests就是我们不想应用过滤器的url的集合, 就是通常配置在Spring Security的配置类中的, 比如有个自定义的配置类:

public class WebSecurityConfig extends WebSecurityConfigurerAdapter implements InitializingBean {
}

里面关于有些不要经过Filter chain的url的定义方式如下:

    @Override
    public void configure(WebSecurity web) throws Exception {

        List<String> antUrlList = authProperties().getAntUrl();
        antUrlList.add("/404");
        antUrlList.add("/403");
        antUrlList.add("/500");
        antUrlList.add("/error");
        String[] antUrls = authProperties().getAntUrl().toArray(new String[antUrlList.size()]);
        web.ignoring().antMatchers(antUrls);
        super.configure(web);
    }

下面主要看看:securityFilterChainBuilders是什么
默认情况下securityFilterChainBuilders里面只有一个对象,那就是HttpSecurity
具体原理, 我们后面分析.

到这里, 我们知道了FilterChainProxy这个Filter 表示的就是:springSecurityFilterChain

那它是怎么起作用的呢, 这就引入了:DelegatingFilterProxy
AbstractSecurityWebApplicationInitializer实现了WebApplicationInitializer接口. 这个接口会被Servlet识别并调用onStartup()方法.
也就是说, DelegatingFilterProxy可以被Servlet容器识别.
在AbstractSecurityWebApplicationInitializer的有:

可见:在onStartup()方法里调用了:insertSpringSecurityFilterChain, 这里创建了
DelegatingFilterProxy, 它是一个真正的filter

默认拦截所有的请求. 拦下来后做什么呢?

我们再看DelegatingFilterProxy

其父类GenericFilterBean继承了Filter, 所以本质上DelegatingFilterProxy也是一个Filter, 它的doFilter方法:

	protected void invokeDelegate(
			Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		delegate.doFilter(request, response, filterChain);
	}

也就是说delegate才是真正的doFilter的宿主.
那:delegate是什么呢?

那doFilter()之前会执行init()方法, 看代码发现最终会执行到:

	@Override
	protected void initFilterBean() throws ServletException {
		synchronized (this.delegateMonitor) {
			if (this.delegate == null) {
				// If no target bean name specified, use filter name.
				if (this.targetBeanName == null) {
					this.targetBeanName = getFilterName();
				}
				// Fetch Spring root application context and initialize the delegate early,
				// if possible. If the root application context will be started after this
				// filter proxy, we'll have to resort to lazy initialization.
				WebApplicationContext wac = findWebApplicationContext();
				if (wac != null) {
					this.delegate = initDelegate(wac);
				}
			}
		}
	}

这里最关键的就变成了:targetBeanName

再看看DelegatingFilterProxy的构造子:

	public DelegatingFilterProxy(String targetBeanName, @Nullable WebApplicationContext wac) {
		Assert.hasText(targetBeanName, "Target Filter bean name must not be null or empty");
		this.setTargetBeanName(targetBeanName);
		this.webApplicationContext = wac;
		if (wac != null) {
			this.setEnvironment(wac.getEnvironment());
		}
	}

那这个构造函数又是怎么调用的呢?

让我们接着抽丝剥茧, 离真相已经非常接近了!
利用IDE的find usage功能, 查看这个构造谁调用了:

只有一处类的调用,没错,就是它:
DelegatingFilterProxyRegistrationBean

	@Override
	public DelegatingFilterProxy getFilter() {
		return new DelegatingFilterProxy(this.targetBeanName,
				getWebApplicationContext()) {

			@Override
			protected void initFilterBean() throws ServletException {
				// Don't initialize filter bean on init()
			}

		};
	}

我cha, 这个吊玩意, 又是:this.targetBeanName, this.targetBeanName,是啥?

我cha, 居然又是它的构造的参数, 那这个玩意又是谁跟谁生成来的呢? 真相真的不远了.
再次祭出神器, 看看这个鸟玩意是谁生的?

终于发现是:SecurityFilterAutoConfiguration

没错 ,就是它:private static final String DEFAULT_FILTER_NAME = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME;
他:

cha, 蹂躏它一百遍!!!!

就是它:springSecurityFilterChain, 它真正对应的是谁, 还记得吗???, 往前翻:FilterChainProxy
好, 那最后一个问题: SecurityFilterAutoConfiguration是咋执行的?
让我们再次关注这个文件:

发现org.springframework.boot.autoconfigure.EnableAutoConfiguration的值里面是有SecurityFilterAutoConfiguration的

OK, 那一切都明了!

 

Mynah886
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot Security工作原理
qq_33590654的博客
02-14 1391
一、概述 Spring Security是解决安全访问控制的问题,说白了就是认证和授权两个问题。而至于像之前示例中页面控件的查看权限,是属于资源具体行为。SpringSecurity虽然也提供了类似的一些支持,但是这些不是Spring Security控制的重点。Spring Security功能的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是通过Filter来实现的,所以要从Filter入手,逐步深入Spring Sec
Spring-Security的使用以及其作用
zcjbiubiubiu的博客
03-15 2008
Spring-Security Spring中提供安全认证服务的框架 认证:验证用户密码是否正确的过程 授权:对用户能访问的资源进行控制 步骤: 1.导Pom.xml包 <!--spring-Security 架包--> <dependency> <groupId>org.springframework.security</groupId> ...
构建安全稳定的应用:Spring Security 实用指南
最新发布
DC1020的博客
07-03 1471
在现代 Web 应用程序中,安全性是至关重要的一个方面。Spring Security 作为一个功能强大且广泛使用的安全框架,为 Java 应用程序提供了全面的安全解决方案。本文将深入介绍 Spring Security 的基本概念、核心功能以及如何在应用程序中使用它来实现认证和授权。
Spring Security介绍与使用
lkking的博客
10-15 149
Spring Security概述 Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。(https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是
springSecurity的宏观理解与使用
qq_37857224的博客
08-07 114
在pom.xml中 添加依赖 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 添加配置文件SecurityConfig.java //首先需要开启一个
SpringSecurity使用详细讲解,附源码详细每一步的引导
m0_53464000的博客
08-23 389
权限认证的思路其实非常简单,我在登录的时候根据用户查询到权限信息,然后交给SpringSecurity框架,并且存到reids中就可以。截止到这一步,简单的登录校验就做好了,sucrity会根据返回的user自己比较密码,注意密码存储数据库时一定要加密,否则比对不成功。截至这里我们测试,登录成功之后,拿到返回的token,将token放在请求头中,成功访问,如果没有token就说明请求非法。前面我们说到了,当用户登录成功之后,我们会把生成的jwt返回给前端,然后前端在每次请求的时候都要带上这个token,
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
总结springsecurity中的一些类的作用
05-06 2494
一。org.springframework.security.ui.AbstractProcessingFilter 抽象类        包含 AuthenticationManager              exceptionMappings等参数       包含方法              1。abstract Authentication attemptAuth
Security简介
p354262的博客
02-28 342
然后通过PasswordEncoder对比UserDtails中的密码是否正确,如果正确就把UserDetails中的权限信息设置到Authentication对象中,并返回Authentication对象,时,security会将用户名和密码封装到Authentication对象中,并将对象传递给AuthenticationManager对象,调用Authentica方法进行认证,这个方法会调用DaoAuthenticationProvider对象的authticate方法,可验证同一时间重复登录。
Security笔记
Doudou_4174的博客
03-29 873
概述 ​ Security是一个安全框架,主要作用为认证和授权 认证:登录功能,验证用户身份 授权:给用户授予特定权限,并设置权限所能访问的页面 添加pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 添加
SpringSecurity的集成以及相关组件的介绍
m0_63437643的博客
02-19 3194
Spring Boot Security支持 在企业应用系统安全方面,比较常用的安全框架有 SpringSecurity 和 Apache Shiro,相对于Shiro, Spring Security功能强大、扩展性强,同时学习难度也稍大一些。 Spring Security是专门针对 Spring 项目的安全框架,关于 Spring Security 的应用,我们可以通过专业书籍来学习,在本章我们重点放在Spring Boot对Spring Security的集成以及相关组件的介绍。 在具体项目实践
day5 SpringSecurity权限控制jsr250注解不起作用 AOP日志排除不需要织入的方法 web.xml配置错误码页面...
diaopitian0181的博客
06-25 178
转载于:https://www.cnblogs.com/mozq/p/11086924.html
security添加记住我功能
gaston的博客
11-02 366
原理图先来一张: 就说原理吧,心情不好不写了,去资源下载我的源码就行,就叫security记住我
Spring Security学习——核心原理
Benson的博客
01-29 422
Spring Security学习——核心原理       Spring SecuritySpring生态系统的一个安全组件,而且和Spring MVC整合非常方便。Spring Security最基本的原理是基于J2EE的拦截器原理,拦截器会形成一个拦截器链,这是一种责任链设计模式。Spring Security使用实现的一些拦截器来对访问的url进行拦截,通过对缓存中的角色进行相应判定后决
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5416
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 3070
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值