SpringSecurity: 默认添加的15个Filter是怎么添加进去的?

最新推荐文章于 2023-11-20 21:16:57 发布
最新推荐文章于 2023-11-20 21:16:57 发布
阅读量625 收藏
点赞数
分类专栏: SpringBoot SpringSecurity 文章标签: java bash spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amadeus_liu2/article/details/129335096
版权

总的流程分为两部分,一是先用Map把configurer收集起来,然后再把maper中所有的configurer应用到HttpSecurity对象。

其中的map位于AbstractConfiguredSecurityBuilder这个类。

    private final LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, List<SecurityConfigurer<O, B>>> configurers;

configurer添加分为两部分,都通过WebSecurityConfigurerAdapter的init方法来实现,

    public void init(WebSecurity web) throws Exception {
        HttpSecurity http = this.getHttp();
        web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
            FilterSecurityInterceptor securityInterceptor = (FilterSecurityInterceptor)http.getSharedObject(FilterSecurityInterceptor.class);
            web.securityInterceptor(securityInterceptor);
        });
    }

其中init方法会调用的 protected final HttpSecurity getHttp() throws Exception方法:

    protected final HttpSecurity getHttp() throws Exception {
        if (this.http != null) {
            return this.http;
        } else {
            AuthenticationEventPublisher eventPublisher = this.getAuthenticationEventPublisher();
            this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
            AuthenticationManager authenticationManager = this.authenticationManager();
            this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
            Map<Class<?>, Object> sharedObjects = this.createSharedObjects();
            this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
            if (!this.disableDefaults) {
                //添加第一部分configurer
                this.applyDefaultConfiguration(this.http);
                ClassLoader classLoader = this.context.getClassLoader();
                List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
                Iterator var6 = defaultHttpConfigurers.iterator();

                while(var6.hasNext()) {
                    AbstractHttpConfigurer configurer = (AbstractHttpConfigurer)var6.next();
                    this.http.apply(configurer);
                }
            }

            //这句代码调用本类中的configure方法继续添加configurer
            this.configure(this.http);
            return this.http;
        }
    }

该方法中执行了this.applyDefaultConfiguration(this.http),其代码为:

   private void applyDefaultConfiguration(HttpSecurity http) throws Exception {
        http.csrf();
        http.addFilter(new WebAsyncManagerIntegrationFilter());
        http.exceptionHandling();
        http.headers();
        http.sessionManagement();
        http.securityContext();
        http.requestCache();
        http.anonymous();
        http.servletApi();
        http.apply(new DefaultLoginPageConfigurer());
        http.logout();
    }

另一部分是通过WebSecurityConfigurerAdapter的config方法添加的configurer

    protected void configure(HttpSecurity http) throws Exception {
        this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
        http.authorizeRequests((requests) -> {
            ((AuthorizedUrl)requests.anyRequest()).authenticated();
        });
        http.formLogin();
        http.httpBasic();
    }

至此,configurers填充完毕。
在这里插入图片描述

AbstractConfigedSecurityBuilder的private void configure() throws Exception
这个方法会遍历之前填充好的configurer,将其应用到HttpSecurity对象,也就是添加了Fliter

   private void configure() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = this.getConfigurers();
        Iterator var2 = configurers.iterator();

        while(var2.hasNext()) {
            SecurityConfigurer<O, B> configurer = (SecurityConfigurer)var2.next();
            configurer.configure(this);
        }

    }

该方法的循环体执行完成后HttpSecurity对象就包含了15个过滤器。
在这里插入图片描述
以上是使用Spring Security5进行的分析。
Spring Security 6使用AuthorizationFilter取代了FilterSecurityInterceptor

amadeus_liu2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Filter详解
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
四、Spring Security之默认的过滤器链及自定义Filter
panchang199266的博客
05-26 8640
别名 类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SE...
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
最新发布
treewithwater的博客
11-20 1004
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
SpringSecurity学习笔记(二)加载的Filter,默认配置
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-02 1071
()
【第五篇】深入理解HttpSecurity的设计
波波烤鸭的博客
04-28 3704
深入理解HttpSecurity的设计 一、HttpSecurity的应用   在前章节的介绍中我们讲解了基于配置文件的使用方式,也就是如下的使用。   也就是在配置文件中通过 security:http 等标签来定义了认证需要的相关信息,但是在SpringBoot项目中,我们慢慢脱离了xml配置文件的方式,在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置文件中定义的http标签。要使用的话方式如下。   通过代码结果来看和配置文件.
SpringSecurity之基本原理——过滤器加载过程
ybb_ymm的专栏
04-13 508
前一篇讲解了SpringSecurity的过滤器链的基本只是,今天我们就要进入过滤器,看看其加载过程是如何的?相信认真度过第一篇文章的小伙伴还记得,我说在SpringBoot出现后,帮助我们省去了那些繁琐的配置,实现了自动配置。那么,我们更应该了解他是如何实现自动加载的了!
SpringSecurity 5.7.3中使用withObjectPostProcessor遇到的配置无效问题
胡海龙
09-12 2507
使用Spring Security 5.7.3 的时候在配置withObjectProcessor时遇到配置无效的问题,主要原因是authorizeHttpRequest的原因,改为authorizeRequest后配置生效,authorizeHttpRequest为Spring Security 官方后续推荐的配置方式,它有新的替代配置方式。
Spring Security源码解析(三)—— HttpSecurity
demon7552003的小本本
07-15 1969
HttpSecurity的performBuild()方法,会构造一个DefaultSecurityFilterChain,需要传入Filters。 private List<Filter> filters = new ArrayList<>(); @Override protected DefaultSecurityFilterChain performBuild() { filters.sort(comparator); return new Defau
spring security (一) Filter(过滤器)
weixin_54515490的博客
08-09 475
大多数情况下,默认的 security filter 足以为你的应用程序提供安全。然而,有时你可能想在 security filter chain 中添加一个自定义的 filter。例如,假设你想添加一个 Filter,获得一个租户 id header 并检查当前用户是否有访问该租户的权限。前面的描述已经给了我们一个添加 filter 的线索,因为我们需要知道当前的用户,所以我们需要在认证 filter 之后添加它。
Spring Security在标准登录表单中添加一个额外的字段
08-26
主要介绍了Spring Security在标准登录表单中添加一个额外的字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
springsecurity:Spring安全学习总结
01-29
spring security 学习总结暑假的时候在学习了Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 ...
SpringSecurity:Spring Security 5x
04-08
SpringSecurity Spring Security 5x
SpringSecurity:Spring安全
05-05
SpringSecurity第1部分初始设定第2部分我们向您展示了如何使用Spring的UserDetailService接口来实现自己的身份验证。第三部分定制表格第4部分使用Spring Security保护您的REST调用。
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity添加过滤器
xkshihaoren的博客
11-28 4655
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security对过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
Spring Security 默认的 11 道 Filter
weixin_34342578的博客
10-29 199
如果你有使用过 Spring Security,我相信你对下面的配置肯定不会陌生: @Override protected void configure(final HttpSecurity http) throws Exception { // @formatter:off http .authorizeRequests() ...
springSecurity添加自定义过滤器
远方的少年
04-07 6307
        我们知道,springSecurity其实就是将过滤器和aop进行整合。其实我们也可以添加自己的过滤器。        很简单,配置如下       &lt;http use-expressions="false" entry-point-ref="loginEntryPoint"&gt; &lt;intercept-url pattern="/user.jsp" access...
spring security添加自定义filter
wyccyw123456的专栏
07-14 3424
applicationContext.xml <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:context="http://www.springframework.org/sch
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 7778
Spring Security 学习之配置 HttpSecurity
springsecurity默认页面是什么
07-29
回答: Spring Security的默认登录页面是由DefaultLoginPageConfigurer提供的。在configure方法中,如果启用了loginPageGeneratingFilter,并且没有设置AuthenticationEntryPoint,那么会添加一个默认的登录页面生成过滤器。这个过滤器会生成一个默认的登录页面。\[3\] #### 引用[.reference_title] - *1* *2* [SpringSecurity的简单概述以及配置SpringSecurity默认登录页面](https://blog.csdn.net/weixin_46852039/article/details/120242397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Spring Security默认登录页面](https://blog.csdn.net/ttaannkkee/article/details/118336632)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值