Spring Security系列-Spring Security生命周期之诞生

最新推荐文章于 2023-05-10 16:51:16 发布
最新推荐文章于 2023-05-10 16:51:16 发布
阅读量891 收藏 1
点赞数
分类专栏: SpringBoot Spring Security java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/camel84/article/details/105258929
版权
Spring Security 同时被 3 个专栏收录
10 篇文章 1 订阅
订阅专栏
java
10 篇文章 0 订阅
订阅专栏
SpringBoot
4 篇文章 0 订阅
订阅专栏

前言

接着上一篇,我们来谈谈WebSecurity的规则是如何从我们配置规则加入到整个SpringSecurity的认证链条的。

配置

回顾一下上一篇那个简单的WebSecurity配置

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
            .authorizeRequests()
                .anyRequest().authenticated()
            .and()
                .httpBasic();
        // @formatter:on
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        // @formatter:off
        auth
            .inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder.encode("123456"))
                .authorities("admin");
        // @formatter:on
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/favicon.ico");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}

配置方法

上面的三个config配置方法里,应用了许多配置项。
比如httpBasic()方法,从下面的源代码可以看出,它会实例化HttpBasicConfigurer类,并应用到HttpSecurity里。

public HttpBasicConfigurer<HttpSecurity> httpBasic() throws Exception {
	return getOrApply(new HttpBasicConfigurer<>());
}

又比如inMemoryAuthentication()方法。

public InMemoryUserDetailsManagerConfigurer<AuthenticationManagerBuilder> inMemoryAuthentication()
			throws Exception {
	return apply(new InMemoryUserDetailsManagerConfigurer<>());
}

无论是HttpBasicConfigurer还是InMemoryUserDetailsManagerConfigurer,都有同一个父类SecurityBuilder。

builder设计模式

SecurityBuilder类是一个建造者类,只有一个build方法。

public interface SecurityBuilder<O> {
	O build() throws Exception;
}

SecurityBuilder有众多继承类,下面展示了其中的一部分。
在这里插入图片描述
还记得上一篇setFilterChainProxySecurityConfigurer方法创建的webSeurity对象,它也继承SecurityBuilder类。当webSeurity.build()后,就会引发它下面所有的SecurityBuild继承类的调用build方法,如上面说到的HttpBasicConfigurer和InMemoryUserDetailsManagerConfigurer类。

诞生

开始进入主题,看看webSecurity.build()是怎么一步步应用我们的配置三个方法的。

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();
	}

1. 三个自定义配置

1.1 configure(AuthenticationManagerBuilder auth)

先看看是如何一步步来到的configure(AuthenticationManagerBuilder auth)方法。
WebSecurity.build() ->
AbstractSecurityBuilder.build() ->
AbstractConfiguredSecurityBuilder.doBuild() ->
AbstractConfiguredSecurityBuilder.init()->
WebSecurityConfigurerAdapter.init(final WebSecurity web)->
WebSecurityConfigurerAdapter.getHttp()->
WebSecurityConfigurerAdapter.authenticationManager()->
自定义WebSecurityConfig->configure(AuthenticationManagerBuilder auth)

1.2 configure(HttpSecurity http)

然后是来到的configure(HttpSecurity http)方法。
WebSecurity.build() ->
AbstractSecurityBuilder.build() ->
AbstractConfiguredSecurityBuilder.doBuild() ->
AbstractConfiguredSecurityBuilder.init()->
WebSecurityConfigurerAdapter.init(final WebSecurity web)->
WebSecurityConfigurerAdapter.getHttp()->
自定义WebSecurityConfig->configure(HttpSecurity http)

1.3 configure(WebSecurity web)

最后是来到的configure(WebSecurity http)方法。
WebSecurity.build() ->
AbstractSecurityBuilder.build() ->
AbstractConfiguredSecurityBuilder.doBuild() ->
AbstractConfiguredSecurityBuilder.configure()->
自定义WebSecurityConfig->configure(WebSecurity web)

FilterChainProxy

在springSecurityFilterChain Bean的构建中,会调用下面的performBuild()方法。于是就创建了FilterChainProxy实例,并会添加我们自定义配置到securityFilterChains中。ignoredRequests就是我们配置configure(WebSecurity web)方法中的web.ignoring().antMatchers("/css/", "/js/", “/favicon.ico”);而securityFilterChainBuilders就是我们配置的configure(HttpSecurity http)。

protected Filter performBuild() throws Exception {
	int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
	List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
			chainSize);
	for (RequestMatcher ignoredRequest : ignoredRequests) {
		securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
	}
	for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
		securityFilterChains.add(securityFilterChainBuilder.build());
	}
	FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);

	Filter result = filterChainProxy;
	postBuildAction.run();
	return result;
}

2. ignoredRequest

下图可以清楚的看到3个ignoredRequest
在这里插入图片描述

3. securityFilterChain

securityFilterChain情况就比较复杂了,会合并我们自定义配置和默认配置

3.1默认配置

在WebSecurity.build()方法被调用时,还有一段SpringSecurity设置默认配置的代码,如下

protected final HttpSecurity getHttp() throws Exception {
	...
	http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
			sharedObjects);
	if (!disableDefaults) {
		// @formatter:off
		http
			.csrf().and()                                       // 1
			.addFilter(new WebAsyncManagerIntegrationFilter())  // 2
			.exceptionHandling().and()                          // 3
			.headers().and()                                    // 4
			.sessionManagement().and()                          // 5
			.securityContext().and()                            // 6
			.requestCache().and()                               // 7
			.anonymous().and()                                  // 8
			.servletApi().and()                                 // 9
			.apply(new DefaultLoginPageConfigurer<>()).and()    //10
			.logout();                                          //11
		// @formatter:on
		...
	}
	configure(http);
	return http;
}

从上面SpringSecurity提供的默认配置可以看出,SpringSecurity默认地为我们添加了11个SecurityConfigurer和Filter。

3.2 SecurityConfigurer和Filter

以SpringSecurity提供的默认配置,csrf()方法为例。
首先,csrf()方法应用了一个CsrfConfigurer配置类,这个类继承自SecurityConfigurer

public final class HttpSecurity extends
	AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity>
	implements SecurityBuilder<DefaultSecurityFilterChain>,
	HttpSecurityBuilder<HttpSecurity> {
	...
	public CsrfConfigurer<HttpSecurity> csrf() throws Exception {
		ApplicationContext context = getContext();
		return getOrApply(new CsrfConfigurer<>(context));
	}
	...
}

接着,CsrfConfigurer实现了configure(H http)方法,此方法会实例化一个CsrfFilter。

public final class CsrfConfigurer<H extends HttpSecurityBuilder<H>>
		extends AbstractHttpConfigurer<CsrfConfigurer<H>, H> {
	...
	@Override
	public void configure(H http) throws Exception {
		CsrfFilter filter = new CsrfFilter(this.csrfTokenRepository);
		RequestMatcher requireCsrfProtectionMatcher = getRequireCsrfProtectionMatcher();
		if (requireCsrfProtectionMatcher != null) {
			filter.setRequireCsrfProtectionMatcher(requireCsrfProtectionMatcher);
		}
		AccessDeniedHandler accessDeniedHandler = createAccessDeniedHandler(http);
		if (accessDeniedHandler != null) {
			filter.setAccessDeniedHandler(accessDeniedHandler);
		}
		LogoutConfigurer<H> logoutConfigurer = http.getConfigurer(LogoutConfigurer.class);
		if (logoutConfigurer != null) {
			logoutConfigurer
					.addLogoutHandler(new CsrfLogoutHandler(this.csrfTokenRepository));
		}
		SessionManagementConfigurer<H> sessionConfigurer = http
				.getConfigurer(SessionManagementConfigurer.class);
		if (sessionConfigurer != null) {
			sessionConfigurer.addSessionAuthenticationStrategy(
					new CsrfAuthenticationStrategy(this.csrfTokenRepository));
		}
		filter = postProcess(filter);
		http.addFilter(filter);
	}
	...
}

最终,这个Filter会被添加到到http,而这个http就是HttpSecurity类,是本篇在开头提到的getHttp()方法中实例出来的,同时也是我们的自定义配置类中可以看到的那个HttpSecurity http。

4. 最终产物

上篇提到的springSecurityFilterChain是一个Bean。如果按照我们自定义的配置,它会包括4个DefaultSecurityFilterChain。其中三个filterChain是我们配置的web.ignoring().antMatchers("/css/", "/js/", “/favicon.ico”),另外一个是我们配置的configure(HttpSecurity http)。HttpSecurity因为保留了SpringSecurity的默认配置,所以会有我们配置之外的默认配置。
在这里插入图片描述
从上图可以看出,每一个HttpRequest都会经过4个FilterChain。

总结

本篇介绍了springSecurityFilterChain的形成,它最终包含了4个filterChain。其中HttpSecurity生成的filterChainer,包含了多个filter。那么下篇再谈谈这些Filter是怎么帮助我们来拦截或者处理HttpRequest的。

马各马它
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Config : HttpSecurity安全配置器 HttpBasicConfigurer
Details Inside Spring
06-09 1302
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,HttpBasicConfigurer的配置任务如下 : 配置如下安全过滤器Filter BasicAuthenticationFilter 创建的共享对象 AuthenticationEntryPoint 缺省是 BasicAuthenticationEntryPoint 在配置过程...
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5250
HttpSecuritySpring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
Spring Security生命周期简述
justlpf的专栏
05-10 245
自定义WebSecurityConfig->configure(AuthenticationManagerBuilder auth)有兴趣的读者可以试一下下面的代码,当tomcat收到httpRequest的时候,就会触发doFilter方法。@Component@Override@Override@OverrideSpringSecurity之所以能过滤,主要还是继承了javax.servlet.Filter接口。
Spring Security系列-Spring Security生命周期之起源
马各马它
04-02 570
前言 本篇介绍SpringSecurity是加载过程。在引入SpringSecurity的项目中,我们往往会写一个WebSecurityConfig来配置用户认证规则。接下来,笔者会分三篇文章来介绍,这个认证规则是怎么应用到项目中的。 配置 下面是一个简单的WebSecurity配置,重载了三个config方法。分别配置了登录方式、用户来源和过滤特定url。 @Configuration publ...
Spring Security】—— WebSecurity
qq_33471737的博客
06-28 642
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurity 的继承关系图 在前面了解过 WebSecurity、HttpSecurity、AuthenticationManagerBuilder 这三个重要构建者公共的部分: |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder 公共的这部分对构建者做扩展,点击这里可以回顾
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
Spring-Security:安全攻击对策
05-13
会话管理功能:保护用户免受会话劫持或会话固定攻击控制会话的生命周期(创建,破坏,超时)。 CSRF预防功能:保护用户免受跨站请求伪造(CSRF)攻击。 具有浏览器安全功能的链接功能:在攻击中滥用了与浏览器安全...
spring-security.zip
05-26
4. **会话管理**:可以控制会话的生命周期,包括会话超时、会话固定化防御等。 5. **安全HTTP支持**:支持各种HTTP安全特性,如HTTP基本认证、摘要认证、HSTS(HTTP严格传输安全)、XSS防护、点击劫持防护等。 6. ...
spring-security-oauth-master
09-23
六、令牌类型与生命周期 1. 授权码(Authorization Code):适用于Web应用,通过交换授权码获取访问令牌。 2. 简化模式(Implicit):适用于无状态客户端,直接在URL中返回访问令牌。 3. 密码模式(Resource Owner ...
Spring Security系列-Spring Security生命周期之出征
马各马它
04-06 310
Spring Security是怎么对request请求进行拦截处理的
Spring Security静态资源过滤
大后生大大大的博客
11-23 1008
静态资源过滤、WebSecurity、ignoredRequests
Spring-Security源码分析】WebSecurity
通往神秘的道路的专栏
02-21 4605
上一篇我们分析了AuthenticationManagerBuilder的实现,这一篇分析另一个SecurityBuilder实现类——WebSecurity。 1、FilterChainProxy的创建 WebSecurity由WebSecurityConfiguration创建,用于创建称为Spring Security Filter Chain(springSecurityFilterC...
spring-session源码解读-4
weixin_34187862的博客
12-15 172
spring session的生命周期 Session获取 spring-session实现了HttpServletRequest的子类–SessionRepositoryRequestWrapper,由它覆盖getSession方法,将由web容器处理的逻辑接管过来。 public HttpSession getSe...
Spring Security教程系列》三.HttpSecurity的使用
AndyCat的知识库
11-30 1万+
HttpSecurity到目前为止我们的 SecurityConfig 只包含了关于如何验证我们的用户的信息。Spring Security怎么知道我们想对所有的用户进行验证?Spring Security怎么知道我们需要支持基于表单的验证?原因是我们的SecurityConfig类继承的WebSecurityConfigurerAdapter在 configure(HttpSecurity htt
spring 生命周期最详解
热门推荐
王者之峰
08-09 6万+
目的 在大三开始学习spring时,老师就说spring bean周期非常重要,当时也有仔细看,但是说实话搞不大懂,后面工作面试也问过,还是有点模糊,就是没有掌握好,进行深入理解,这次“老大”又问到了。不允许再回避了,所以这次坚决搞明白,理解生命周期作用,为啥要这样设计,我们能在生命周期做哪些更高层次的编程。 生命周期流程图 先总体看下spring生命周期流程图,实现(继承)这些接口(...
spring security xml配置官方详解
不甘平庸的人
05-02 9765
6. Security Namespace Configuration 6.1 Introduction 自2.0版本的spring框架以来,命名空间配置已可用。 它允许您使用来自附加XML模式的元素来补充传统的Spring beans应用程序上下文语法。 您可以在Spring参考文档中找到更多信息。 命名空间元素可以简单地用于允许配置单个bean的更简洁的方式,或者更有力地定义更紧密地匹
spring security 认证与授权流程上篇
c1523456的博客
06-30 2447
spring security context spring security context 谈到他我们就得谈一谈他的作用,生命周期接口如下 public interface SecurityContext extends Serializable { Authentication getAuthentication(); void setAuthentication(A...
Spring Security用户认证流程源码详解
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
spring security项目
最新发布
02-20
4. 会话管理(Session Management):管理用户会话的生命周期,并提供了一些与会话相关的功能,如并发登录控制、会话过期处理等。 5. 记住我(Remember Me):提供了“记住我”功能,允许用户在下次访问应用程序时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值