Spring Security系列-Spring Security生命周期之起源

最新推荐文章于 2023-05-10 16:51:16 发布
最新推荐文章于 2023-05-10 16:51:16 发布
阅读量570 收藏
点赞数 1
分类专栏: Spring Security java SpringBoot 文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/camel84/article/details/105255344
版权
Spring Security 同时被 3 个专栏收录
10 篇文章 1 订阅
订阅专栏
java
10 篇文章 0 订阅
订阅专栏
SpringBoot
4 篇文章 0 订阅
订阅专栏

前言

Springboot项目中,SpringSecurity作为用户认证已经成为标配。在引入SpringSecurity的项目后,我们往往会写一个WebSecurityConfig来配置用户认证规则。接下来,笔者会分三篇文章来介绍,这个认证规则是怎么应用到项目中的。

配置

下面是一个简单的WebSecurity配置,重载了三个config方法。分别配置了登录方式、用户来源和过滤特定url。

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private PasswordEncoder passwordEncoder;
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
            .and()
                .httpBasic();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder.encode("123456"))
                .authorities("admin");
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/favicon.ico");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}

源头

1. SpringBootAutoconfigure

在使用SpringBoot时,我们都可会引用或者间接引用到SpringBootAutoconfigure这个包,而这个包已经包含了一些常用的jar包的默认配置,如大家熟悉的server.port=8080。当然,SpringSecurity的默认配置也会在SpringBootAutoconfigure包内。
SpringBootAutoconfigure包会加载一系列配置类,也包括SpringSecurity的配置类,如下图。
在这里插入图片描述

1.1 SecurityAutoConfiguration

其中有一个SecurityAutoConfiguration类,会在项目初始化是被加载。从下面的源代码可以看到SecurityAutoConfiguration类import了WebSecurityEnablerConfiguration类

@Configuration
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
		SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {
	...
}

1.2 WebSecurityEnablerConfiguration

WebSecurityEnablerConfiguration类加上了一个EnableWebSecurity注解

@Configuration
@EnableWebSecurity
public class WebSecurityEnablerConfiguration {

}

1.3 EnableWebSecurity

EnableWebSecurity注解又import了WebSecurityConfiguration类

...
@Import({ WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
	...
}

1.4 WebSecurityConfiguration

WebSecurityConfiguration类中,有两个比较重要的步骤,如下。

@Configuration
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
	...
	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		// 这里的webSecurityConfigurers就是我们在程序里的SpringSecurity配置
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();
	}
	...
	@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
		webSecurity = objectPostProcessor
			.postProcess(new WebSecurity(objectPostProcessor));
		...
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
			webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}
	...
}

一个是setFilterChainProxySecurityConfigurer方法,负责初始化webSecurity和webSecurityConfigurers。webSecurity可以理解为顶层的WebSecurity配置,webSecurityConfigurers是通过beanFactory找到的所有继承WebSecurityConfigurer接口的类,也包括我们自定义的WebSecurity配置。实例化后的顶层webSecurity,再应用其它的webSecurityConfigurers配置。

接下来谈谈另一个重要的方法springSecurityFilterChain的Bean注入。这个springSecurityFilterChain会调用webSecurity的build方法,会根据自定义的WebSecurity配置,来建造相应的规则。

总结

上面介绍了SpringSecurity配置的起源,了解到它是从哪里来的。下一篇会介绍,build方法是怎么建造这些规则的。

马各马它
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
Spring-Security:安全攻击对策
05-13
会话管理功能:保护用户免受会话劫持或会话固定攻击控制会话的生命周期(创建,破坏,超时)。 CSRF预防功能:保护用户免受跨站请求伪造(CSRF)攻击。 具有浏览器安全功能的链接功能:在攻击中滥用了与浏览器安全...
Spring Security系列-Spring Security生命周期之诞生
马各马它
04-08 891
前言
Spring Security系列-Spring Security生命周期之出征
马各马它
04-06 310
Spring Security是怎么对request请求进行拦截处理的
Spring Security生命周期简述
justlpf的专栏
05-10 245
自定义WebSecurityConfig->configure(AuthenticationManagerBuilder auth)有兴趣的读者可以试一下下面的代码,当tomcat收到httpRequest的时候,就会触发doFilter方法。@Component@Override@Override@OverrideSpringSecurity之所以能过滤,主要还是继承了javax.servlet.Filter接口。
请求响应通过tomcat以及SpringMVC和SpringSecurity生命周期过程
Maybesss的博客
03-18 379
请求响应通过tomcat以及SpringMVC和SpringSecurity生命周期过程
Spring Security 实战干货:Spring Boot 中的 Spring Security 自动配置初探
qq_16229873的博客
10-14 762
更多写作与参考学习材料等可登录ZG文库网http://www.zgwenku.com/ 1. 前言 我们在前几篇对 Spring Security 的用户信息管理机制,密码机制进行了探讨。我们发现Spring Security Starter相关的Servlet自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot ...
spring-security.zip
05-26
4. **会话管理**:可以控制会话的生命周期,包括会话超时、会话固定化防御等。 5. **安全HTTP支持**:支持各种HTTP安全特性,如HTTP基本认证、摘要认证、HSTS(HTTP严格传输安全)、XSS防护、点击劫持防护等。 6. ...
spring-security-oauth-master
09-23
六、令牌类型与生命周期 1. 授权码(Authorization Code):适用于Web应用,通过交换授权码获取访问令牌。 2. 简化模式(Implicit):适用于无状态客户端,直接在URL中返回访问令牌。 3. 密码模式(Resource Owner ...
spring 生命周期最详解
热门推荐
王者之峰
08-09 6万+
目的 在大三开始学习spring时,老师就说spring bean周期非常重要,当时也有仔细看,但是说实话搞不大懂,后面工作面试也问过,还是有点模糊,就是没有掌握好,进行深入理解,这次“老大”又问到了。不允许再回避了,所以这次坚决搞明白,理解生命周期作用,为啥要这样设计,我们能在生命周期做哪些更高层次的编程。 生命周期流程图 先总体看下spring生命周期流程图,实现(继承)这些接口(...
spring security xml配置官方详解
不甘平庸的人
05-02 9764
6. Security Namespace Configuration 6.1 Introduction 自2.0版本的spring框架以来,命名空间配置已可用。 它允许您使用来自附加XML模式的元素来补充传统的Spring beans应用程序上下文语法。 您可以在Spring参考文档中找到更多信息。 命名空间元素可以简单地用于允许配置单个bean的更简洁的方式,或者更有力地定义更紧密地匹
Spring Security用户认证流程源码详解
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
spring security 认证与授权流程上篇
c1523456的博客
06-30 2447
spring security context spring security context 谈到他我们就得谈一谈他的作用,生命周期接口如下 public interface SecurityContext extends Serializable { Authentication getAuthentication(); void setAuthentication(A...
SpringSecurity基础:SecurityContext对象
Leon_Jinhai_Sun的博客
09-17 1130
SpringSecurity基础:SecurityContext对象
SpringSecurity SecurityContext 生命周期
qq_51045856的博客
04-26 570
众所周知 SpringSecurity 将用户认证成功后的信息存放在 SecurityContext中,通过SecurityContextHolder.getContext() 可以在任何地方获得SecurityContext从而获得用户信息,SecurityContext 存在一个请求线程中及 ThreadLocal ,当请求结束后线程关闭SecurityContext 随之消失及在下次请求中无法获得上次请求的用户信息。
springSecurity配置详解
weixin_34123613的博客
02-28 286
Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个资源来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用...
SpringSecurity简介
wunianisme的博客
06-30 793
Spring Security是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系...
关于spring security的配置权限的configure方法
earthsomeday的博客
07-20 7154
关于spring security的拦截机制中的configure方法 当部署一个项目需要使用spring security时,需要自行编写一个config类继承WebSecurityConfigurerAdapter,在其中配置项目中资源的访问权限。 1.public修饰的configure方法 源码: /** * Override this method to configure {@l...
spring security项目
最新发布
02-20
4. 会话管理(Session Management):管理用户会话的生命周期,并提供了一些与会话相关的功能,如并发登录控制、会话过期处理等。 5. 记住我(Remember Me):提供了“记住我”功能,允许用户在下次访问应用程序时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值