SpringSecurity中关键的类

已于 2022-11-17 10:26:19 修改
阅读量143 收藏
点赞数
分类专栏: SpringSecurity源码分析 文章标签: java spring servlet
于 2022-11-01 21:18:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenjie901/article/details/127640978
版权

Filter链相关接口

SpringSecurity简单理解,就是将一堆Filter通过SecurityFilterChain有效的组织起来,并通过代理的方式放到Spring中执行

  1. SecurityFilterChain表示在对需要处理的URL匹配时获取在该URL中对于的Filter列表
public interface SecurityFilterChain {
	// 当前FilterChain是否为需要执行filterchain处理的请求
	boolean matches(HttpServletRequest request);
	// matches匹配上后,对应的Filter链
	List<Filter> getFilters();
}
  1. FilterChainProxy对应有多个SecurityFilterChain,该类只是一个代理类,代理N个请求的处理链,
    其中getFilters根据匹配规则找到第一个匹配的SecurityFilterChain并通过VirtualFilterChain执行执行SecurityFilterChain中的filter方法
    真正执行的入口在doFilterInternal方法中,执行
private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		List<Filter> filters = getFilters(fwRequest);
		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

找到请求执行的SecurityFilterChain

private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters(); //返回的实际是SecurityFilterChain下的所有filter
			}
		}
		return null;
	}

对匹配上的FilterChain按顺序执行Filter

// 内部类VirtualFilterChain
public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
		if (currentPosition == size) {
			// 执行ServletFilter,走下一个filter执行
			originalChain.doFilter(request, response);
		} else {
			currentPosition++;
			Filter nextFilter = additionalFilters.get(currentPosition - 1);
			nextFilter.doFilter(request, response, this);
		}
	}
}

可以看到FilterChainProxy是执行请求处理的核心,该类是如何创建的后面单点

  1. DelegatingFilterProxy作为Spring Security处理的入口
    类中的一个属性targetBeanName表示在IOC容器中的 FilterChainProxy bean的名字,默认有两个

  • SessionRepositoryFilter名字

  • SpringSecurityFilterChain
    可以看到启动时拿到的就是在这里插入图片描述
    那么这些Filter是如何,有效的组织起来的呢?
    实际上,就是使用构建者模式,通过WebSecurity,HttpSecurity这两个Builder构造出来的

SecurityFilterChain的构造

HttpSecurity构造出DefaultSecurityFilterChain,该DefaultSecurityFilterChain是一个默认实现
观测HttpSecurity可以发现SecurityBuilder接口定义出构建的成果是啥,AbstractConfiguredSecurityBuilder–>AbstractSecurityBuilder–>SecurityBuilder

public final class HttpSecurity extends
		AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity>
		implements SecurityBuilder<DefaultSecurityFilterChain>,
		HttpSecurityBuilder<HttpSecurity> {
}
//该类需要在Configurer的帮助下构建
public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>>
		extends AbstractSecurityBuilder<O> {
    @Override
	protected final O doBuild() throws Exception {
		synchronized (configurers) {
			buildState = BuildState.INITIALIZING;
			beforeInit();
			init();
			buildState = BuildState.CONFIGURING;
			beforeConfigure();
			configure(); //将所有的configurer应用到当前builder上,
			buildState = BuildState.BUILDING;
			O result = performBuild();
			buildState = BuildState.BUILT;
			return result;
		}
	}
}
//保证builder只初识化一次
public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> {
	private AtomicBoolean building = new AtomicBoolean();
	private O object;
	public final O build() throws Exception {
		if (this.building.compareAndSet(false, true)) {
			this.object = doBuild();
			return this.object;
		}
		throw new AlreadyBuiltException("This object has already been built");
	}

	public final O getObject() {
		if (!this.building.get()) {
			throw new IllegalStateException("This object has not been built");
		}
		return this.object;
	}
	//真正执行build的地方,模板方法模式
	protected abstract O doBuild() throws Exception;
}
//SecurityBuilder
public interface SecurityBuilder<O> {
	O build() throws Exception;
}

简单理解就是SecurityBuilder在配置器SecurityConfigurer的帮助下,完成SecurityFitlerChain的构建

FilterChainProxy的构造

FilterChainProxy是通过WebSecurity`构造出来的

public final class WebSecurity extends
		AbstractConfiguredSecurityBuilder<Filter, WebSecurity> implements
		SecurityBuilder<Filter>, ApplicationContextAware {
// 持有所有的FilterChain		
private final List<SecurityBuilder<? extends SecurityFilterChain>> securityFilterChainBuilders = new ArrayList<SecurityBuilder<? extends SecurityFilterChain>>();

//将所有的FilterChain通过FilterChainProxy组织起来
protected Filter performBuild() throws Exception {
		int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
		List<SecurityFilterChain> securityFilterChains = new ArrayList<SecurityFilterChain>(
				chainSize);
		for (RequestMatcher ignoredRequest : ignoredRequests) {
			securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
		}
		for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
			securityFilterChains.add(securityFilterChainBuilder.build());
		}
		FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
		if (httpFirewall != null) {
			filterChainProxy.setFirewall(httpFirewall);
		}
		filterChainProxy.afterPropertiesSet();
		Filter result = filterChainProxy;
		}
		postBuildAction.run();
		return result;
	}

本节只是简单讲了Spring Filter是如何组织起来,处理请求的,接下来聊聊具体到1个Filter中的关键点

chenjie901
关注
专栏目录
Spring security认证两用户代码实例
08-19
在这个,我们可以根据用户型(例如,用户的角色或权限)执行不同的逻辑。以下是一个简化的实现: ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired ...
This object has not been built解决方案
DRNB666的博客
10-15 1913
今天在登录的时候,出现了一个异常,权限模块使用的是SpringSecurity,用了好几年没遇到这个错误,今天弹出一个提示然后登录异常,一脸懵逼。。。。。看百度上都没解决方案,这里记录一下 解决方案:maven工程里clean一下,重新打包即可正常运行 ...
SpringSecurity登陆受权出现This object has not been built问题解决
萧曳丶
07-08 3389
问题 在使用SpringSecurity作登陆受权时,出现了这样的异常:java.lang.IllegalStateException: This object has not been builtjava @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity // 原因 .csr
Spring零散笔记
yichengjie_c的博客
05-14 167
ImportAware的使用 编写注解@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME) @Target(value = { java.lang.annotation.ElementType.TYPE }) @Documented // 这里使用@Import导入ImportAware的实现WebSecurityConfiguration @Import({ WebSecurityConfiguration.class,Sp
spring security关键
积累与备忘
08-11 219
OAuth2AuthenticationProcessingFilter过滤器,token登录验证
SpringSecurity.pdf
05-24
Spring Security的配置灵活,可以通过XML配置文件、Java配置或者注解来定制安全策略。它还提供了大量的扩展点,允许开发者根据自己的业务需求进行定制和扩展。 Spring Security的学习过程可以分为入门、进阶和...
Spring Security实现验证码登录功能
08-25
Spring Security,生成验证码的控制器是通过@Autowired注入SecurityProperties配置属性来实现的。该控制器将生成一个随机的验证码图片,并返回给用户。 知识点三:验证码图片的生成 验证码图片的生成是...
springsecurity使用demo
03-03
在本示例,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
SpringSecurity素材.rar
03-02
2. **配置SpringSecurity**:讲解如何在SpringBoot项目引入SpringSecurity依赖,并配置相应的安全配置。这通常涉及到定义自定义的`HttpSecurity`配置,比如设置登录页面、未授权页面、CSRF防护等。 3. **用户...
第一章:Spring Security(三):Security重要的几个
ayong95的专栏
01-08 991
文章目录 前言 一、Spring Security的重要 二、 1. 2. 总结 前言 前面我们在访问资源时,没有登录到系统,所以会跳转到login请求。本章节,我们就来了解下Spring Security重要的几个。 一、SpringSecurity的重要 1. UserDetailsService 2. UserDetails 二、 1. 2.读入数据 代码如下(示例): 该处使用的url网络请求...
Spring Security项目涉及到的重要说明以及可以使用的地方
11-25 498
Spring Security 介绍 Spring Security 应该属于 Spring 全家桶学习曲线比较陡峭的几个模块之一,下面我将从起源和定义这两个方面来简单介绍一下它。 起源:Spring Security 实际上起源于 Acegi Security,这个框架能为基于 Spring 的企业应用提供强大而灵活安全访问控制解决方案,并且框架这个充分利用 Spring 的 IoC 和...
spring-security核心解析--整理....
徐靖峰的专栏
03-31 4527
前言这一篇文章可能会陆续更新很久,主要是不一定有空,有精力整理那么多。不太习惯连载教程,网上其他的博客也很多了。可不太令我满意的是,大多数spring-security的配置都是停留在xml配置,springboot如何整合spring-security讲解的不多。所以本篇博客的定位是基于javaConfig,结合springboot的一些自动配置,详解一些spring-security的核心和接
spring security 核心
DQchat的博客
08-14 210
Authentication Authentication 是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个 Authentication 具体实现的对象,在登录认证成功之后又会生成一个信息更全面,包含用户权限等信息的 Authentication 对象,然后把它保存在 SecurityContextHolder 所持有的 SecurityContext ,供...
Spring Security——核心简介
shuangyidehudie的专栏
11-19 824
目录 1.1     Authentication 1.2     SecurityContextHolder 1.3     AuthenticationManager和AuthenticationProvider 1.3.1    认证成功后清除凭证 1.4     UserDetailsService 1.4.1    JdbcDaoImpl 1.4.2    I
spring security核心说明
天地为炉
08-08 572
Authentication SecurityContextHolder AuthenticationManager和AuthenticationProvider 认证成功后清除凭证 UserDetailsService JdbcDaoImpl InMemoryDaoImpl GrantedAuthority 原文:http://elim.iteye.com/blog/2...
Spring Security 初识(四)--请求拦截
热门推荐
只有变秃 才能变强
12-29 2万+
Spring Security 初识(四)–请求拦截在我们前面的文章Spring Security 初识(一),我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigure
Spring Security核心详解
林木森的博客
11-22 1048
Spring Security是什么 Spring Security 是一种基于 Spring AOP 和 Servlet 过滤器 Filter 的安全框架,它提供了全面的安全解决方案,提供在 Web 请求和方法调用级别的用户鉴权和权限控制。 Web 应用的安全性通常包括两方面:用户认证(Authentication)和用户授权(Authorization)。 用户认证指的是验证某个用户是否为系统合法用户,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认
Spring Security核心介绍
ruanhao1203的专栏
01-24 1065
1.1     Authentication        Authentication是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个Authentication具体实现的对象,在登录认证成功之后又会生成一个信息更全面,包含用户权限等信息的Authentication对象,然后把它保存在SecurityContextHolder所持有的SecurityContext
Spring Security 3.0 文参考手册
1. **Core-spring-security-core.jar**: 核心模块,包含核心的权限管理和认证,如`Authentication`和`Authorization`接口。 2. **Web-spring-security-web.jar**: 专门针对Web应用的安全模块,包含过滤器链来处理...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值