spring security启动流程解析(一)SecurityAutoConfiguration

最新推荐文章于 2024-03-09 18:50:00 发布
最新推荐文章于 2024-03-09 18:50:00 发布
阅读量3.2k 收藏 5
点赞数 2
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a807719447/article/details/109882686
版权

在springboot体系下我们一般是找 xxxAutoConfiguration,那么这里我们可以通过查找securityAutoConfiguration可以找到如下类:

  • SecurityAutoConfiguration
  • SecurityFilterAutoConfiguration
  • SecurityRequestMatcherProviderAutoConfiguration
  • ManagementWebSecurityAutoConfiguration
  • MockMvcSecurityAutoConfiguration
  • ReactiveManagementWebSecurityAutoConfiguration
  • ReactiveSecurityAutoConfiguration
    这些类都是在springboot-autoconfig 包下面,即我们一旦引入spring-security的相关包时将初始化加载以上的一些配置。
SecurityAutoConfiguration
@Configuration
//当引入了spring-security-core包时即自动启用该类
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
//启用配置
@EnableConfigurationProperties(SecurityProperties.class)
//导入以下几个类,我们知道import即加载实例化类到ioc容器
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
		SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {
//实例化认证事件发布器
	@Bean
	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
	public DefaultAuthenticationEventPublisher authenticationEventPublisher(
			ApplicationEventPublisher publisher) {
		return new DefaultAuthenticationEventPublisher(publisher);
	}

}

接着我们来看这三个类

  • SpringBootWebSecurityConfiguration
  • WebSecurityEnablerConfiguration
  • SecurityDataConfiguration
SpringBootWebSecurityConfiguration
@Configuration
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = Type.SERVLET)
public class SpringBootWebSecurityConfiguration {
	//配置一个空的 WebSecurityConfigurerAdapter 静态子类实际没做什么操作
	@Configuration
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

	}

}
WebSecurityEnablerConfiguration
@Configuration
@ConditionalOnBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(name = BeanIds.SPRING_SECURITY_FILTER_CHAIN)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
//最重要的是这个注解
@EnableWebSecurity
public class WebSecurityEnablerConfiguration {

}

我们看这个注解@EnableWebSecurity

@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value = { java.lang.annotation.ElementType.TYPE })
@Documented
//这里又导入了三个配置类
@Import({ WebSecurityConfiguration.class,
//这两个类的作用大家如果不了解可以去看ImportSelector相关文章这里不多介绍
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
//此处启用了这个配置实际导入了AuthenticationConfiguration此类
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
	//可以给注解配置一个debug属性用于调试
	boolean debug() default false;
}
SecurityDataConfiguration 此类纯粹只是为了整合spring-data模块使用。这里暂不解释

接着我们来看@EableWebSecurity中导入的类

  • WebSecurityConfiguration
  • SpringWebMvcImportSelector
  • OAuth2ImportSelector
  • AuthenticationConfiguration
    上面的系类步骤就为了此处服务,我们先来看一张官方图再来看这个类
    在这里插入图片描述
WebSecurityConfiguration
@Configuration
//此处实现了importAware以及BeanClassLoaderAware两个接口,在springIOC中
//相当于赋予当前类拥有这两个类的能力
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
	private WebSecurity webSecurity;
	//从注解中获得的debug属性
	private Boolean debugEnabled;
	//安全配置容器
	private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;
	//由父类接口提供的能力
	private ClassLoader beanClassLoader;
	
	@Autowired(required = false)
	private ObjectPostProcessor<Object> objectObjectPostProcessor;
	//实例化一个委托应用监听器
	@Bean
	public static DelegatingApplicationListener delegatingApplicationListener() {
		return new DelegatingApplicationListener();
	}
	//实例化security表达式处理器
	@Bean
	@DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public SecurityExpressionHandler<FilterInvocation> webSecurityExpressionHandler() {
		return webSecurity.getExpressionHandler();
	}

    // 通过webSecurity build 构造出 Spring Security Filter Chain
	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();
	}

	//创建一个web调用评估器
	@Bean
	@DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public WebInvocationPrivilegeEvaluator privilegeEvaluator() throws Exception {
		return webSecurity.getPrivilegeEvaluator();
	}

	//从springioc容器获取所有的securityConfigure并缓存到当前webSecurityConfigurers容器中备用。
	@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
		webSecurity = objectPostProcessor
				.postProcess(new WebSecurity(objectPostProcessor));
		if (debugEnabled != null) {
			webSecurity.debug(debugEnabled);
		}

		Collections.sort(webSecurityConfigurers, AnnotationAwareOrderComparator.INSTANCE);

		Integer previousOrder = null;
		Object previousConfig = null;
		for (SecurityConfigurer<Filter, WebSecurity> config : webSecurityConfigurers) {
			Integer order = AnnotationAwareOrderComparator.lookupOrder(config);
			if (previousOrder != null && previousOrder.equals(order)) {
				throw new IllegalStateException(
						"@Order on WebSecurityConfigurers must be unique. Order of "
								+ order + " was already used on " + previousConfig + ", so it cannot be used on "
								+ config + " too.");
			}
			previousOrder = order;
			previousConfig = config;
		}
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
			webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}

	//实例化一个AutowiredWebSecurityConfigurersIgnoreParents对象用于获取所有配置类。
	//上一个方法中注入此示例调用getWebSecurityConfigurers获取到的所有configure。
	//并做了加载排序以及设置属性等操作。
	@Bean
	public static AutowiredWebSecurityConfigurersIgnoreParents autowiredWebSecurityConfigurersIgnoreParents(
			ConfigurableListableBeanFactory beanFactory) {
		return new AutowiredWebSecurityConfigurersIgnoreParents(beanFactory);
	}

	//获取所有ordered注解用于排序加载
	private static class AnnotationAwareOrderComparator extends OrderComparator {
		private static final AnnotationAwareOrderComparator INSTANCE = new AnnotationAwareOrderComparator();

		@Override
		protected int getOrder(Object obj) {
			return lookupOrder(obj);
		}

		private static int lookupOrder(Object obj) {
			if (obj instanceof Ordered) {
				return ((Ordered) obj).getOrder();
			}
			if (obj != null) {
				Class<?> clazz = (obj instanceof Class ? (Class<?>) obj : obj.getClass());
				Order order = AnnotationUtils.findAnnotation(clazz, Order.class);
				if (order != null) {
					return order.value();
				}
			}
			return Ordered.LOWEST_PRECEDENCE;
		}
	}

	
	//用于获取一些源数据,此处用于获取@EnableWebSecurity中的debug属性。
	public void setImportMetadata(AnnotationMetadata importMetadata) {
		Map<String, Object> enableWebSecurityAttrMap = importMetadata
				.getAnnotationAttributes(EnableWebSecurity.class.getName());
		AnnotationAttributes enableWebSecurityAttrs = AnnotationAttributes
				.fromMap(enableWebSecurityAttrMap);
		debugEnabled = enableWebSecurityAttrs.getBoolean("debug");
		if (webSecurity != null) {
			webSecurity.debug(debugEnabled);
		}
	}

	//父类功能提供类加载器
	public void setBeanClassLoader(ClassLoader classLoader) {
		this.beanClassLoader = classLoader;
	}
}

篇幅有限仅能介绍完一个接口,后续接口另起篇幅。

起风哥
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring-Security 运行流程
u012156496的博客
12-06 1万+
Spring-Security 运行流程首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得
SpringSecurity启动流程
qq_36633432的博客
02-13 3005
SpringSecurity简介+启动流程 springSecurity简介 springSecurity是基于过滤器链的登录验证和权限校验框架,分为启动流程和执行流程,和实际应用三部部分,本章节介绍它的启动流程。后面陆续介绍它的执行流程和在生产实际中springSecurity+jwt的应用。 springSecurity的架构图 springSecurity启动流程springSecurity中是通过WebSecurityConfiguration类进行安全相关的配置。该类中重点关注如下代码 @
Elasticsearch 单节点部署教程,以及踩坑记录
最新发布
zwl2220943286的博客
03-09 1739
Elasticsearch8.x单机安装,以及踩坑记录
SpringSecurity 启动构建过程
u012329294的专栏
03-01 269
如上图,SpringSecurity启动构建过程 1)boot的main函数run 2)context进行refresh() 3)beans通过getBean(beanName) 创建所有注解对象 4)security在Config的annotation目录下的web/configuration下创建webSecurityConfiguration实例 构造出核心的s...
SpringSecurity - 启动流程分析(一)
业精于勤荒于嬉
07-21 1149
SpringSecurity 流程分析
详解SpringSecurity启动流程
2301_76607156的博客
04-20 265
全部弄得明明白白,必须要精研源码,在初期,我们只要知道它的一条主脉络,在之后的使用中,哪出了问题你可以直接去定位到可能是哪有问题,这样就已经很好了,学习是一个循环渐进的过程。中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东西,也知道它到底是干什么用的,但是我们却不知道这个过滤器链是由什么类什么时候去怎么样创建出来的。其次,还有一个重点就是倒数第二行代码,我也加上了注释,我们一般在我们自定义的配置类中重写的就是这个方法,所以我们的自定义配置就是在这里生效的。
Spring Boot启动过程完全解析(一)
08-30
主要介绍了Spring Boot启动过程完全解析(一),需要的朋友可以参考下
Spring Boot启动流程断点过程解析
08-25
主要介绍了Spring Boot启动流程断点过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security角色继承实现过程解析
08-18
主要介绍了Spring Security角色继承实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security启动加载流程分析
让兔子飞得更高
01-24 656
主要参考博文:Spring Security启动加载流程梳理 补充博文:DelegatingFilterProxy的作用与用法 &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt; org.springframework...
默认SpringSecurity大致启动流程源码分析
HHoao的博客
05-05 571
默认SpringSecurity大致启动流程源码分析
Spring Boot 自动配置 : SecurityAutoConfiguration
热门推荐
Details Inside Spring
05-17 1万+
SecurityAutoConfigurationSpring Boot提供的安全自动配置类。 它仅在类DefaultAuthenticationEventPublisher存在于classpath上时才进行配置。配置包含如下几个方面 : 注册安全属性bean SecurityProperties,相应的配置属性来自外部配置项 spring.security,这些属性会被相应的安全配置机制采用...
SecurityAutoConfiguration
awds18338701279的博客
07-08 643
源代码解析 @Configuration(proxyBeanMethods = false)//不使用代理 @ConditionalOnClass(DefaultAuthenticationEventPublisher.class)//当引入了spring-security-core包时即自动启用该类 @EnableConfigurationProperties(SecurityProperties.class) @Import({ SpringBootWebSecurityConfiguration.cl
解读SpringSecurity启动流程源码解析
haozige888的博客
07-15 139
前面两期我讲了SpringSecurity认证流程和SpringSecurity鉴权流程,今天是第三期,是SpringSecurity的收尾工作,讲SpringSecurity启动流程。 就像很多电影拍火了之后其续作往往是前作的前期故事一样,我这个第三期要讲的SpringSecurity启动流程也是不择不扣的"前期故事",它能帮助你真正认清SpringSecurity的整体全貌。 在之前的文章里,在说到SpringSecurity中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东
SpringSecurity的内部执行流程
weixin_39618279的博客
03-10 258
SpringSecurity是用来保护网页或者接口不被所有用户随意访问,因此它包含两个功能,认证和授权,认证就是登录,授权就是根据登录的用户的角色而给与不同的系统权限,比如你们的校园网,一般氛围管理员、教师和学生,你登录和老师登录系统后,得到的权限是不一样的,这就是权限管理。 在不用SpringSecurity等权限管理框架的情况下,我们设计的登录系统的基本逻辑就是: 前端表单输入用户名和密码——>通过用户名在数据库中查找该用户(queryByUsername)——>通过对比表单接收的密码和
Spring Boot安全自动配置
只作为个人备忘录
07-24 3869
1.简介 在本文中,我们将了解Spring Boot对安全性的看法。 简而言之,我们将专注于默认安全配置以及如何在需要时禁用或自定义它。 2.默认安全设置 为了增加Spring Boot应用程序的安全性,我们需要添加安全启动器依赖项: 1 2 3 4 &lt;dependency&gt;     &lt;groupId&gt;...
2、spring security流程解读之自动配置类
u012153127的博客
06-24 300
在上一节我们介绍了怎么去使用spring security及相关配置的使用。接下来我们来看一下spring security的整个运行流程。 我们使用的是springboot项目,那么springboot的特点是配置自动加载。所以我们第一步是先找到对应的spring security的自动配置类。 找到spring-boot-autoconfigure jar包,查看META-INF/spring.factories文件,发现有3个和security servlet相关的自动配置 ,下面对这3个配置类进
springsecurity启动流程
06-06
Spring Security启动流程如下: 1. 首先,Spring Security会读取配置文件中的安全配置信息,包括认证方式、授权方式、角色权限等。 2. 接着,Spring Security会根据配置信息创建相应的过滤器链,用于处理请求的安全验证。 3. 当一个请求到达时,Spring Security会根据请求的URL和HTTP方法,选择相应的过滤器链进行处理。 4. 过滤器链会依次执行,进行认证、授权等操作,直到最后一个过滤器完成处理。 5. 如果认证或授权失败,Spring Security会根据配置信息,跳转到相应的错误页面或返回错误信息。 6. 如果认证和授权都通过了,Spring Security会将请求转发给相应的控制器进行处理。 7. 控制器处理完请求后,Spring Security会根据配置信息,选择相应的过滤器链进行处理,最终返回响应结果。 以上就是Spring Security启动流程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值