Spring Security Config : AbstractInterceptUrlConfigurer

最新推荐文章于 2024-01-06 18:05:55 发布
最新推荐文章于 2024-01-06 18:05:55 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: Spring Security 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy_zhang2007/article/details/93350686
版权

概述

介绍

AbstractInterceptUrlConfigurerSpring Security Config的一个安全配置器抽象基类。它定义了为安全构建器HttpSecurity配置一个FilterSecurityInterceptor的安全配置器的通用行为逻辑。具体定义如下 :

  • 安全配置器接口SecurityConfigurer约定的配置方法 configure

    对目标安全构建器 http 进行配置,http 实际上可以理解成就是HttpSecurity
    主要就是调用当前类所定义的各种方法创建目标FilterSecurityInterceptor并设置到目标安全构建器http

  • 抽象方法 createMetadataSource

    抽象方法,要求子类提供实现。用于创建安全元数据对象FilterInvocationSecurityMetadataSource,供目标安全拦截过滤器FilterSecurityInterceptor使用。

  • 抽象方法 getDecisionVoters

    抽象方法,要求子类提供实现。创建缺省AccessDecisionManager的方法createDefaultAccessDecisionManager会用到这个方法提供的一组AccessDecisionVoter

  • 私有方法 createDefaultAccessDecisionManager

    创建目标FilterSecurityInterceptor用到的AccessDecisionManager可以由调用者设置,如果不设置,则使用该方法创建一个缺省的AccessDecisionManager,该缺省的AccessDecisionManager实现类使用AffirmativeBased,一票赞成即可通过。

  • 私有方法 getAccessDecisionManager

    该方法被configure用于获取最终用于目标FilterSecurityInterceptor要使用的AccessDecisionManager。如果调用者设置了当前安全配置器的AccessDecisionManager属性则使用它,否则使用createDefaultAccessDecisionManager创建一个缺省的AccessDecisionManager

  • 私有方法 createFilterSecurityInterceptor

    创建createFilterSecurityInterceptor的具体过程方法。configure正式使用该方法创建FilterSecurityInterceptor,然后设置到目标安全构建器http

  • 内嵌静态类抽象类 AbstractInterceptUrlRegistry

    该类继承自AbstractConfigAttributeRequestMatcherRegistry,表示一个URL pattern到所需的权限的映射表。这里每个映射项内部通过AbstractConfigAttributeRequestMatcherRegistry.UrlMapping来表示,其中URL pattern通过RequestMatcher来表示,所需要的权限通过ConfigAttribute集合来表示。该映射表是构建目标FilterSecurityInterceptor所要使用的安全元数据源SecurityMetadataSource对象的来源。
    AbstractInterceptUrlRegistry也必须要由AbstractInterceptUrlConfigurer的具体实现子类提供自己的具体实现类。

继承关系

AbstractInterceptUrlConfigurer

源代码

源代码版本 Spring Security Config 5.1.4.RELEASE

package org.springframework.security.config.annotation.web.configurers;

import java.util.List;

import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDecisionVoter;
import org.springframework.security.access.vote.AffirmativeBased;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.SecurityConfigurer;
import org.springframework.security.config.annotation.web.HttpSecurityBuilder;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;

/**
 * A base class for configuring the FilterSecurityInterceptor.
 *
 *
 * @param <C> the AbstractInterceptUrlConfigurer
 * @param <H> the type of HttpSecurityBuilder that is being configured
 *
 * @author Rob Winch
 * @since 3.2
 * @see ExpressionUrlAuthorizationConfigurer
 * @see UrlAuthorizationConfigurer
 */
abstract class AbstractInterceptUrlConfigurer<C extends AbstractInterceptUrlConfigurer<C, H>, 
		H extends HttpSecurityBuilder<H>>
		extends AbstractHttpConfigurer<C, H> {
	private Boolean filterSecurityInterceptorOncePerRequest;

	private AccessDecisionManager accessDecisionManager;

   // 接口 SecurityConfigurer 定义的配置方法,对目标安全构建器 http 进行配置, http 实际上可以理解成就是
   // HttpSecurity
	@Override
	public void configure(H http) throws Exception {
       // 创建 FilterInvocationSecurityMetadataSource, FilterInvocationSecurityMetadataSource
       // 是接下来创建 FilterSecurityInterceptor 所需要的, 在该类中,createMetadataSource方法
       // 是一个抽象方法,也就是说,其实现逻辑必须有该类的实现子类提供。
		FilterInvocationSecurityMetadataSource metadataSource = createMetadataSource(http);
		if (metadataSource == null) {
			return;
		}
        
       // 创建  FilterSecurityInterceptor, 方法 createFilterSecurityInterceptor 的逻辑由本类提供,
       // 并且被定义为 private,无需由子类覆盖,
       // 这里创建 FilterSecurityInterceptor 使用到了 :
       // 1. 目标安全构建器 http
       // 2. 上面创建的安全元数据对象 metadataSource
       // 3. 保存在目标安全构建器中的 AuthenticationManager 共享对象
		FilterSecurityInterceptor securityInterceptor = createFilterSecurityInterceptor(
				http, metadataSource, http.getSharedObject(AuthenticationManager.class));
		if (filterSecurityInterceptorOncePerRequest != null) {
			securityInterceptor
					.setObserveOncePerRequest(filterSecurityInterceptorOncePerRequest);
		}
       // 对新建安全拦截过滤器 FilterSecurityInterceptor 的后置处理
		securityInterceptor = postProcess(securityInterceptor);
        
       // 将新建的安全拦截过滤器  FilterSecurityInterceptor 添加到目标安全构建器 http 的Filter清单,
       // 也添加为目标安全构建器的一个共享对象
		http.addFilter(securityInterceptor);
		http.setSharedObject(FilterSecurityInterceptor.class, securityInterceptor);
	}

	/**
	 * Subclasses should implement this method to provide a
	 * FilterInvocationSecurityMetadataSource for the
	 * FilterSecurityInterceptor.
	 *
	 * @param http the builder to use
	 *
	 * @return the FilterInvocationSecurityMetadataSource to set on the
	 * FilterSecurityInterceptor. Cannot be null.
	 */
	abstract FilterInvocationSecurityMetadataSource createMetadataSource(H http);

	/**
	 * Subclasses should implement this method to provide the AccessDecisionVoter
	 * instances used to create the default AccessDecisionManager
	 *
	 * @param http the builder to use
	 *
	 * @return the AccessDecisionVoter instances used to create the default
	 * {@link AccessDecisionManager}
	 */
	abstract List<AccessDecisionVoter<? extends Object>> getDecisionVoters(H http);

	abstract class AbstractInterceptUrlRegistry<R extends AbstractInterceptUrlRegistry<R, T>, T>
			extends AbstractConfigAttributeRequestMatcherRegistry<T> {

		/**
		 * Allows setting the AccessDecisionManager. If none is provided, a
		 * default AccessDecisionManager is created.
		 *
		 * @param accessDecisionManager the AccessDecisionManager to use
		 * @return the AbstractInterceptUrlConfigurer for further customization
		 */
		public R accessDecisionManager(AccessDecisionManager accessDecisionManager) {
			AbstractInterceptUrlConfigurer.this.accessDecisionManager = accessDecisionManager;
			return getSelf();
		}

		/**
		 * Allows setting if the FilterSecurityInterceptor should be only applied
		 * once per request (i.e. if the filter intercepts on a forward, should it be
		 * applied again).
		 *
		 * @param filterSecurityInterceptorOncePerRequest if the
		 * FilterSecurityInterceptor should be only applied once per request
		 * @return the AbstractInterceptUrlConfigurer for further customization
		 */
		public R filterSecurityInterceptorOncePerRequest(
				boolean filterSecurityInterceptorOncePerRequest) {
			AbstractInterceptUrlConfigurer.this.filterSecurityInterceptorOncePerRequest =
				 filterSecurityInterceptorOncePerRequest;
			return getSelf();
		}

		/**
		 * Returns a reference to the current object with a single suppression of the type
		 *
		 * @return a reference to the current object
		 */
		@SuppressWarnings("unchecked")
		private R getSelf() {
			return (R) this;
		}
	}

	/**
	 * Creates the default AccessDecisionManager
	 * @return the default AccessDecisionManager
	 */
	private AccessDecisionManager createDefaultAccessDecisionManager(H http) {
       // 创建缺省使用的 AccessDecisionManager, 注意该缺省 AccessDecisionManager
       // 是一个 AffirmativeBased, 也就是只要有一票赞成即通过
		AffirmativeBased result = new AffirmativeBased(getDecisionVoters(http));
		return postProcess(result);
	}

	/**
	 * If currently null, creates a default AccessDecisionManager using
	 * #createDefaultAccessDecisionManager(HttpSecurityBuilder). Otherwise returns the
	 * AccessDecisionManager.
	 *
	 * @param http the builder to use
	 *
	 * @return the AccessDecisionManager to use
	 */
	private AccessDecisionManager getAccessDecisionManager(H http) {
       // 获取配置过程最终要使用的 AccessDecisionManager, 该 AccessDecisionManager
       // 可以由调用者指定,如果不指定,则使用缺省值,一个 AffirmativeBased:一票赞成即通过
		if (accessDecisionManager == null) {
			accessDecisionManager = createDefaultAccessDecisionManager(http);
		}
		return accessDecisionManager;
	}

	/**
	 * Creates the FilterSecurityInterceptor
	 *
	 * @param http the builder to use
	 * @param metadataSource the FilterInvocationSecurityMetadataSource to use
	 * @param authenticationManager the AuthenticationManager to use
	 * @return the FilterSecurityInterceptor
	 * @throws Exception
	 */
	private FilterSecurityInterceptor createFilterSecurityInterceptor(H http,
			FilterInvocationSecurityMetadataSource metadataSource,
			AuthenticationManager authenticationManager) throws Exception {
       // 创建最终要配置到安全构建器 http 的安全拦截过滤器 FilterSecurityInterceptor,
       // 所需要的各种属性都由该类定义的方法提供,这些方法有的由本类提供实现,有的需要由
       // 实现子类提供实现。
		FilterSecurityInterceptor securityInterceptor = new FilterSecurityInterceptor();
		securityInterceptor.setSecurityMetadataSource(metadataSource);
		securityInterceptor.setAccessDecisionManager(getAccessDecisionManager(http));
		securityInterceptor.setAuthenticationManager(authenticationManager);
		securityInterceptor.afterPropertiesSet();
		return securityInterceptor;
	}
}

参考文章

安迪源文
关注
专栏目录
spring-security-config-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-config-5.5.2.jar; 赠送原API文档:spring-security-config-5.5.2-javadoc.jar; 赠送源代码:spring-security-config-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-config-5.5.2.pom; 包含翻译后的API文档:spring-security-config-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-config:5.5.2; 标签:springframework、securityspringconfig、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring security config
weixin_30868855的博客
06-04 104
spring secuirty 相关的配置解析 permitAll()与web.ignoring() ingore是完全绕过了spring security的所有filter,相当于不走spring security permitall没有绕过spring security,其中包含了登录的以及匿名的。 转载于:https://www.cnblogs.com/MND1024/p/109736...
spring security 配置说明
shining的专栏
12-17 534
以下为若依框架中SecurityConfig对于spring security配置的说明: /** * anyRequest | 匹配所有请求路径 * access | SpringEl表达式结果为true时可以访问 * anonymous | 匿名可以访问 * denyAll ...
Spring SecurityConfig模块详解(TODO)
热门推荐
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security在配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring SecurityConfig模块的架构,来理清这个关系。Spring Security ConfigurerSpri
Spring Security Config : HttpSecurity安全配置器 ServletApiConfigurer
Details Inside Spring
06-16 651
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,ServletApiConfigurer的配置任务如下 : 配置如下安全过滤器Filter SecurityContextHolderAwareRequestFilter 过滤器的属性authenticationManager来自共享对象AuthenticationManager 过滤器的属性authen...
spring-security-config-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-config-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-config-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-config-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-config-5.0.7.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-security-config-5.0.7.RELEASE.jar; 赠送原API文档:spring-security-config-5.0.7.RELEASE-javadoc.jar; 赠送源代码:spring-security-config-5.0.7.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-config-5.6.1-API文档-中英对照版.zip
05-03
赠送jar包:spring-security-config-5.6.1.jar; 赠送原API文档:spring-security-config-5.6.1-javadoc.jar; 赠送源代码:spring-security-config-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-config-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-config-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-config-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-config-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息...
springsecurity的常规配置(SecurityConfig
please93的博客
02-16 1040
SecurityConfig
基于java configspringSecurity(四)--启用全局方法安全
01-16
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
Spring Security Java Config 浅析
carl.zhao的专栏
03-08 1125
在之前的项目中使用接触过 xml 配置使用 Spring Security。但是最近比较流行 java config。并且对它的 builder 模式比较感兴趣,就会查看了它的源码实现。下面就把自己的分析结果记录下来,希望对阅读这篇博客的你也有帮助。在 Spring Security 里面有两个非常重要的概念认证与授权。 - 认证:是确认某主体在某系统中是否合法、可用的过程。这里的主体既可以是登陆系统的用户也可以是接入 的设备或者其他系统 - 授权:是指当前主体通过认证之后,是否允许其执行某项操作的过程
SpringBoot学习(五)-Spring Security配置与应用
最新发布
小孔靠得住的博客
01-06 1547
Spring Security是一个基于Java的开源框架,用于在Java应用程序中提供身份验证和授权功能。它是Spring框架的一部分,可以与Spring应用程序集成,为应用程序提供安全性。
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
Spring Security (基于config配置认证与授权) (二)
959
05-10 806
认证与授权是Spring Secuirty最重要的核心功能。 认证: 代表的是用户和密码是否正确, 是建立一个他声明的主体的过程. 系统认为用户是否能登录。 授权: 系统判断用户是否有权限去做某些事情。
Spring Boot 安全框架 Spring SecuritySecurityConfig配置,以及配置权限控制会使用到的方法,BCrypt加密使用,放行静态资源
写给秋天信
01-12 2450
SecurityConfig.java package com.shuang.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springfr
Spring Security拦截配置
2301_79108888的博客
08-17 2073
除了基于角色和URL模式的拦截配置,Spring Security还支持自定义过滤器链。这允许我们添加自定义过滤器来处理特定的安全需求。创建一个实现了Filter接口的自定义过滤器类,实现doFilter方法来自定义处理逻辑。配置,将自定义过滤器注册到Spring Security中的过滤器链中。// ...省略其他配置...@Bean// ...省略其他配置...在上述示例代码中,我们创建了一个名为CustomFilter的自定义过滤器,并将其注册到URL模式为。
SpringSecurity
YiGeFive的博客
05-12 304
SecurityConfig extends WebSecurityConfigurerAdapter 重写configure方法//表单提交//自定义登录页面发现页面都可以访问,之前的验证好像失效了。@Override//表单提交//自定义登录页面//授权认证//login.html不需要被认证//所有请求都必须被认证,必须登录之后被访问可以跳转到login.html,但是没有执行到loadUserByUsername。故要改配置,让它走登录逻辑。//表单提交。
SpringSecurity最新版从入门到精通,WebSecurityConfigurerAdapter已经过时?最新版来了。
qq_42713539的博客
03-25 3647
spring security的超详细配置和使用攻略,包括从登录校验开始到不同页面、不同功能的权限管理,包括了整合thymeleaf框架、用户登录信息持久化处理、csrf防护等web安全。
Spring Security 3.1:权威参考指南
9. **多模块架构**:Spring Security由多个模块组成,如core、web、config、ldap等,每个模块都专注于特定的安全领域,便于按需选择和集成。 10. **版本更新**:Spring Security 3.1引入了许多新特性,如高级别的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值