Security配置生效源码分析

最新推荐文章于 2024-09-13 10:44:41 发布
最新推荐文章于 2024-09-13 10:44:41 发布
阅读量820 收藏
点赞数
分类专栏: 源码分析 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xjzzon/article/details/123017804
版权
本文详细分析了Spring Security配置生效的流程,从启动类的注解解析到WebSecurityConfiguration,再到配置注入和生效入口。讲解了WebSecurityConfigurerAdapter的init和configure方法如何调用用户自定义的配置,以及如何构建FilterChainProxy。最后总结了配置生效过程中的关键点和设计模式的借鉴之处。
摘要由CSDN通过智能技术生成
文章概述

本文主要解决几个问题:

  • security配置生效的入口是哪里
  • 我们平时写的security配置是如何被调用的
  • 为什么我们写的配置需要继承WebSecurityConfigurerAdapter
  • HttpSecurity和WebSecurity是干嘛用的
配置核心类
  • 启动Security,需要在启动类上添加@EnableSecurity注解
@SpringBootApplication
@EnableWebSecurity
public class ThingsboardApp {
   
    ...
}
  • @EnableSecurity解析
@Import({
    WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
   

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;
}

@EnableSecurity注解通过@Import引入了WebSecurityConfiguration作为bean。

  • WebSecurityConfiguration类,是一个bean,spring启动后,关于security的配置生效从这里开始。
@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
   
    ...
}

实现了ImportAware接口,ImportAware接口作用是将引入了@Import注解的类的AnnotationMetadata信息通过setImportMetadata方法传入ImportAware的实现类中。借鉴点:@Import是叠加在@EnableSecurity注解上的,而@EnableSecurity又是注解在启动类上的,于是在WebSecurityConfiguration类就能拿到启动类上的注解信息,通常关心的是@EnableXXXX注解的信息,因为这里可能包含一些开启的配置信息。
实现了BeanClassLoaderAware接口,将Spring容器的BeanClassLoader设置到属性中,目前没看到有用到这个属性。

配置注入

WebSecurityConfiguration类

@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
   
        ...
}

方法参数利用SPEL将注入类型为WebSecurityConfigurer.class的bean,WebSecurityConfigurer的重要实现类WebSecurityConfigurerAdapter,是我们配置security通常需要继承的基类。于是这里拿到了我们的配置bean,将它们设置到webSecurityConfigurers属性中。

配置生效入口
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
   
    ..
最低0.47元/天 解锁文章
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
SpringBoot2.0之Security-Oauth2配置踩坑+源码分析
KingdomCoder
01-17 1482
最近使用SpringBoot2.0新版构建项目,新版的SpringBoot相关依赖的jar很多包结构做了变更,相关依赖也有很多不同,本人负责公司的基础服务,相关登录认证,资源认证采用了开源的 Spring-Security-Oauth2来构建,但是构建过程中会遇到很多坑,所以做此记录。 坑一: Spring boot 2.0.X引用的security 依赖是 spring security 5....
Spring Security源码解析(二)
qq_40577332的博客
05-31 1261
上篇文章已经简述了Spring Security是什么和Spring Security的整体架构设计,下面我们分析一下Spring Security主流程的源码,进一步的加深对Spring Security的了解。 Spring Security主流程源码解析 上篇文章中已经提到Spring Security主要的类和接口分别为DetegatingFilterProxy、FilterChainProxy和SecurityFilterChain,对于主流程的源码解析主要围绕这些类进行。本篇文章是根据S..
Spring Security 源码分析
snkkka163的博客
07-26 418
Spring Security 源码分析 1.Spring Security基本执行流程分析: 现在假设我们要发送一个新的请求给我们的项目,默认我们的项目已经配置Spring Security 这个请求会先进入 1.UsernamePasswordAuthenticationFilter: 验证我们的请求中是否有这个过滤器所需要的信息,比如说账号密码 如果说带了账号密码,那将会尝试使用这些参数进行登录,如果没有带这个过滤器所需要的参数,那就往下走,进入BasicAuthenticationFilter
SpringSecurity原理解析(六):SecurityConfigurer 解析
最新发布
liang8999的博客
09-13 1044
UserDetailsManagerConfigurer 中实现了 UserDetailsServiceConfigurer 中定义的。AbstractDaoAuthenticationConfigurer 也只有一个子类,即UserDetailsServiceConfigurer。UserDetailsManagerConfigurer是 UserDetailsServiceConfigurer 的子类,
Security认证流程源码分析
程序三两行
07-13 1791
security 认证流程分析
spring security源码分析_DelegatingFilterProxy
crazygeek_的专栏
11-20 750
SpringSecurity3源码分析 web.xml中的过滤器:DelegatingFilterProxy        springSecurityFilterChain        org.springframework.web.filter.DelegatingFilterProxy          springSecurityFilterChain      
Spring Security源码解析(一.基础知识点与流程介绍)
qq_30905661的博客
07-17 8146
目录 一、Authentication,AuthenticationManager,AuthenticationProvider ​二、UserDetails,UserDetailsService,UserCache,User 三、SecurityContext,SecurityContextHolder 四、WebSecurityConfigurerAdapter 五、总结 首先回想...
spring bootspring-security 自动配置源码分析
zhenghuangyu的博客
10-12 594
概述 最近使用了spring-boot整合spring-security,比较想知道spring-boot到底在里面给我配置了什么bean,以及我自己写的 UserDetailService 是怎么生效的。特地跟踪源码分析了一遍,在这里记录一下。 入口是spring-boot的自动装配 @EnableAutoConfiguration ,使用了这个注解spring-boot会加载spring.f...
spring-security 3.2.8 配置及部分源码分析
ZY_cookie的专栏
10-31 1350
最近本来想研究下spring security oauth2的配置,可是oauth2的配置是基于spring security的,没办法只能先搞懂spring security配置了 先说下spring security的工作流程 以上是我自己总结的spring security的流程图 如有不正确的地方还请及时指教。 看完流程图之后我们再来分析spring security的主
Spring-Security源码解析(权限)
Judy-命中注定与众不同
04-11 901
这里写自定义目录标题前言自定义登陆配置Security流程UsernamePasswordAuthenticationFilterAuthenticationManager和AuthenticationProviderUserDetailsService成功总结 前言 在读这篇文章之前请先读 https://blog.csdn.net/dtttyc/article/details/88950201...
SpringSecurity源码分析
Mr_Jk的博客
09-09 206
title: SpringSecurity源码分析 date: 2020年9月9日22:08:26 updated: 2020年9月9日22:08:32 index_img: /img/39.png categories: 源码分析 comments: true SpringSecurity源码分析 1 在web.xml文件中配置 来获取到 protected void initFilterBean() throws ServletException { synchronized (thi
SpringSecurity源码解析(一)
baidu_40492134的博客
01-25 671
SpringSecurity登录流程源码解析
spring security-源码流程分析(一)
luoxiaomei999的博客
02-25 842
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 环境 springboot: 2.3.4.RELEASE spring security :spring-boot-starter-security版本跟随springboot 一、springboot默认自动配置security,我们看下security相关类都是在什么情况下加载的 如上图,securit.
Spring Security 源码分析(三)【授权流程】
底层码农
04-16 441
Spring Security 源码分析(三)【授权流程】
【龙飞】Spring Security源码分析三:Spring Security 记住我
weixin_44096631的博客
12-03 144
摘要: 原创出处 Spring Security源码分析七:Spring Security 记住我.欢迎转载,保留摘要,谢谢! 有这样一个场景——有个用户初访并登录了你的网站,然而第二天他又来了,却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用,然而有一件不言自明的事情,那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着,他们可以关闭浏览器,然后再关闭电脑,下周或者下个月,乃至更久以后再回来,只要这间隔时间不要太离谱,该网站总会知道谁是谁,并一如既往的为他们提供所有相
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8093
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
Spring-Security(一)-源码分析及认证流程
lbmydream的博客
06-06 1072
快速了解Spring Security 认证流程
Spring Security基本源码解析(超精细版)
边走、边悟、迟早变好
06-28 838
Spring 是非常流行和成功的 Java 应用开发框架, Spring Security 正是 Spring 家族中的 成员。 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。
SpringSecurity实战源码分析与token演示
在本实战源码资源中,将深入探讨SpringSecurity的核心概念、体系结构以及如何在实际项目中进行配置和应用。通过具体的示例项目“security-token-demo”,我们会分析和理解SpringSecurity的工作原理,并且掌握如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值