一、Spring Boot集成Spring Security之自动装配

已于 2024-09-30 11:16:20 修改
阅读量911 收藏 18
点赞数 8
分类专栏: 技术研究 #Spring Security 文章标签: spring spring boot java spring security
于 2024-09-29 16:27:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhbfjh/article/details/142634408
版权

Spring Boot集成Spring Security之自动装配介绍

一、实现功能及软件版本说明

  1. 使用Spring Boot集成Spring Security实现Servlet项目的安全个性化配置
  2. Spring Boot版本:2.7.18
  3. Spring Security版本:5.7.11

二、创建Spring Boot项目

  1. 创建Spring Boot项目,目录结构如下
    Spring Boot目录结构
  2. 引入Spring Security包,完成pom.xml如下
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.18</version>
        <relativePath/>
    </parent>

    <groupId>com.yu</groupId>
    <artifactId>spring-boot-security2-demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spring-boot-security2-demo</name>
    <description>Spring Boot集成Spring Security样例</description>

    <properties>
        <java.version>8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>

</project>

三、查看自动装配配置类

  1. 查看Security Servlet相关自动装配配置类
    自动装配配置

四、自动装配配置类之SecurityAutoConfiguration

1、SecurityAutoConfiguration部分源码

@AutoConfiguration
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {

	@Bean
	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
	public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
		return new DefaultAuthenticationEventPublisher(publisher);
	}

}

2、主要作用

  1. 导入SpringBootWebSecurityConfiguration

3、SpringBootWebSecurityConfiguration

3.1、SpringBootWebSecurityConfiguration部分源码

@Configuration(proxyBeanMethods = false)
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {

	@Configuration(proxyBeanMethods = false)
	@ConditionalOnDefaultWebSecurity
	static class SecurityFilterChainConfiguration {

		@Bean
		@Order(SecurityProperties.BASIC_AUTH_ORDER)
		SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
			http.authorizeRequests().anyRequest().authenticated();
			http.formLogin();
			http.httpBasic();
			return http.build();
		}

	}

	@Configuration(proxyBeanMethods = false)
	@ConditionalOnMissingBean(name = BeanIds.SPRING_SECURITY_FILTER_CHAIN)
	@ConditionalOnClass(EnableWebSecurity.class)
	@EnableWebSecurity
	static class WebSecurityEnablerConfiguration {

	}

}

3.2、主要作用

  1. 默认Security配置(Spring容器中没有SecurityFilterChain和WebSecurityConfigurerAdapter)时,向Spring容器中注入默认过滤器链,即用户没有自定义过滤器链时,生成默认过滤器链
    默认过滤器链
  2. Spring容器中不存在名称为springSecurityFilterChain对象时,启用WebSecurity,即用户未显示的启用WebSecurity时,隐式的启用WebSecurity
    在这里插入图片描述

4、@EnableWebSecurity

4.1、部分源码

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
@Import({ WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class,
		HttpSecurityConfiguration.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;

}

4.2、主要作用

  1. 导入WebSecurityConfiguration
  2. 导入HttpSecurityConfiguration

5、WebSecurityConfiguration

5.1、部分源码

@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasConfigurers = this.webSecurityConfigurers != null && !this.webSecurityConfigurers.isEmpty();
		boolean hasFilterChain = !this.securityFilterChains.isEmpty();
		Assert.state(!(hasConfigurers && hasFilterChain),
				"Found WebSecurityConfigurerAdapter as well as SecurityFilterChain. Please select just one.");
		if (!hasConfigurers && !hasFilterChain) {
			WebSecurityConfigurerAdapter adapter = this.objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			this.webSecurity.apply(adapter);
		}
		for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
			this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
			for (Filter filter : securityFilterChain.getFilters()) {
				if (filter instanceof FilterSecurityInterceptor) {
					this.webSecurity.securityInterceptor((FilterSecurityInterceptor) filter);
					break;
				}
			}
		}
		for (WebSecurityCustomizer customizer : this.webSecurityCustomizers) {
			customizer.customize(this.webSecurity);
		}
		return this.webSecurity.build();
	}
}

5.2、主要作用

  1. 两种方式注册过滤器链:
    • 继承WebSecurityConfigurerAdapter(本质是实现SecurityConfigurer接口) (已弃用)
    • 直接向Spring容器种注册SecurityFilterChain对象
  2. 没有默认的过滤器链时,使用WebSecurityConfigurerAdapter中默认配置生成过滤器链
  3. 根据配置的SecurityFilterChain集合构建FilterChainProxy类型的对象并注入到Spring容器中名称为springSecurityFilterChain

6、HttpSecurityConfiguration

6.1、部分源码

@Configuration(proxyBeanMethods = false)
class HttpSecurityConfiguration {

	@Bean(HTTPSECURITY_BEAN_NAME)
	@Scope("prototype")
	HttpSecurity httpSecurity() throws Exception {
		WebSecurityConfigurerAdapter.LazyPasswordEncoder passwordEncoder = new WebSecurityConfigurerAdapter.LazyPasswordEncoder(
				this.context);
		AuthenticationManagerBuilder authenticationBuilder = new WebSecurityConfigurerAdapter.DefaultPasswordEncoderAuthenticationManagerBuilder(
				this.objectPostProcessor, passwordEncoder);
		authenticationBuilder.parentAuthenticationManager(authenticationManager());
		authenticationBuilder.authenticationEventPublisher(getAuthenticationEventPublisher());
		HttpSecurity http = new HttpSecurity(this.objectPostProcessor, authenticationBuilder, createSharedObjects());
		// @formatter:off
		http
			.csrf(withDefaults())
			.addFilter(new WebAsyncManagerIntegrationFilter())
			.exceptionHandling(withDefaults())
			.headers(withDefaults())
			.sessionManagement(withDefaults())
			.securityContext(withDefaults())
			.requestCache(withDefaults())
			.anonymous(withDefaults())
			.servletApi(withDefaults())
			.apply(new DefaultLoginPageConfigurer<>());
		http.logout(withDefaults());
		// @formatter:on
		applyDefaultConfigurers(http);
		return http;
	}
}

6.2、主要作用

  1. Spring容器中注册HttpSecurity对象
  2. httpSecurity用于配置构建自定义过滤器链

五、自动装配配置类之UserDetailsServiceAutoConfiguration

1、部分源码

@AutoConfiguration
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean(
		value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class,
				AuthenticationManagerResolver.class },
		type = { "org.springframework.security.oauth2.jwt.JwtDecoder",
				"org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector",
				"org.springframework.security.oauth2.client.registration.ClientRegistrationRepository",
				"org.springframework.security.saml2.provider.service.registration.RelyingPartyRegistrationRepository" })
public class UserDetailsServiceAutoConfiguration {
	@Bean
	@Lazy
	public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
			ObjectProvider<PasswordEncoder> passwordEncoder) {
		SecurityProperties.User user = properties.getUser();
		List<String> roles = user.getRoles();
		return new InMemoryUserDetailsManager(User.withUsername(user.getName())
			.password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
			.roles(StringUtils.toStringArray(roles))
			.build());
	}
	private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
		String password = user.getPassword();
		if (user.isPasswordGenerated()) {
			logger.warn(String.format(
					"%n%nUsing generated security password: %s%n%nThis generated password is for development use only. "
							+ "Your security configuration must be updated before running your application in "
							+ "production.%n",
					user.getPassword()));
		}
		if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
			return password;
		}
		return NOOP_PASSWORD_PREFIX + password;
	}

2、主要作用

  1. 用户未自定义认证接口时,生成默认认证接口inMemoryUserDetailsManager(基于内存用户认证)
  2. 生成默认名称为user,密码为随机生成的uuid(项目启动时会打印在控制台中),角色为空的用户存入内存中
#UserDetailsServiceAutoConfiguration.inMemoryUserDetailsManager方法中获取user对象
SecurityProperties.User user = properties.getUser();
#SecurityProperties中的Userpublic static class User {
		private String name = "user";
		private String password = UUID.randomUUID().toString();
		private List<String> roles = new ArrayList<>();
	}
  1. 通过配置文件可以修改默认用户名、密码、角色(示例如下)
    配置默认用户名、密码、角色

六、自动装配配置类之SecurityFilterAutoConfiguration

1、部分源码

@AutoConfiguration(after = SecurityAutoConfiguration.class)
@ConditionalOnWebApplication(type = Type.SERVLET)
@EnableConfigurationProperties(SecurityProperties.class)
@ConditionalOnClass({ AbstractSecurityWebApplicationInitializer.class, SessionCreationPolicy.class })
public class SecurityFilterAutoConfiguration {

	private static final String DEFAULT_FILTER_NAME = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME;

	@Bean
	@ConditionalOnBean(name = DEFAULT_FILTER_NAME)
	public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration(
			SecurityProperties securityProperties) {
		DelegatingFilterProxyRegistrationBean registration = new DelegatingFilterProxyRegistrationBean(
				DEFAULT_FILTER_NAME);
		registration.setOrder(securityProperties.getFilter().getOrder());
		registration.setDispatcherTypes(getDispatcherTypes(securityProperties));
		return registration;
	}

	private EnumSet<DispatcherType> getDispatcherTypes(SecurityProperties securityProperties) {
		if (securityProperties.getFilter().getDispatcherTypes() == null) {
			return null;
		}
		return securityProperties.getFilter()
			.getDispatcherTypes()
			.stream()
			.map((type) -> DispatcherType.valueOf(type.name()))
			.collect(Collectors.toCollection(() -> EnumSet.noneOf(DispatcherType.class)));
	}

}

2、主要作用

  1. 注册DelegatingFilterProxyRegistrationBean(委托过滤器代理注册Bean)
  2. 设置代理目标Bean对象名称为springSecurityFilterChain
那你为何对我三笑留情
关注
专栏目录
Spring BootSpring Boot自动装配原理
DreamSun的博客
03-12 391
Spring Boot的核心理念是简化Spring应用的搭建和开发过程,提出了约定大于配置和自动装配的思想。开发Spring项目通常要配置xml文件,当项目变得复杂的时候,xml的配置文件也将变得极其复杂。为了解决这个问题,我们将一些常用的通用的配置先配置好,要用的时候直接装上去,不用的时候卸下来,这些就是Spring Boot框架在Spring框架的基础上要解决的问题。Spring Boot自动装配得益于有一批优秀的程序员写好了很多场景启动器(starter),比如web场景下的spring-boot-
Spring Boot框架、Spring Security框架
yifan_1001的博客
07-20 242
一、Spring Boot框架一、Spring Boot框架1.1 Spring Boot框架的作用1.2 依赖管理在开发实践中,需要使用到的依赖项很多,而且,添加的某个依赖项可能还依赖了其他依赖项,例如,当添加时,还依赖了,另外,在添加时,spring-jdbc也会依赖spring-context,如果spring-webmvc和spring-jdbc依赖的spring-context的版本并不相同,则项目是不可用的。
Spring Boot 自动装配 Spring Security 详解
ywhjames的专栏
10-13 770
Spring Boot 自动装配 Spring Security 详解 文章目录Spring Boot 自动装配 Spring Security 详解Spring Security 原理(Servlet)关键结构1. SecurityFilterChain 和 FilterChainProxy2. DelegatingFilterProxy3. WebSecurity 和 HttpSecurity3.1. SecurityBuilder 接口3.2. AbstractSecurityBuilder 抽像类3
SpringBoot 集成 SpringSecurity 从入门到深入理解
Wayfreem的博客
09-13 980
从最简单的工程开始了解Spring Security,到逐渐深入,并且有源码提供可以方便于搭建自己的Spring Security项目
Spring Boot 自动装配
天天的专栏
02-09 960
关于这个话题网上的文章早已铺天盖地,但是自己不重新研究理解还是不深。 先推荐一个写的非常好的 :SpringBoot(二)自动装配正文 - @SpringBootApplication、@EnableAutoConfiguration - 龙四丶 - 博客园[toc] 前言 最近在学习Spring Boot相关的课程,过程中以笔记的形式记录下来,方便以后回忆,同时也在这里和大家探讨探讨,文章中有漏的或者有补充的、错误的都希望大家能够及时提出来,本人在此先https://www.cnblogs.com/lo
Minio入门系列【7】Spring Boot集成Minio
热门推荐
吴名氏的博客
09-20 6万+
Minio入门系列【7】Spring Boot集成Minio
spring bootspring-security 自动配置源码分析
zhenghuangyu的博客
10-12 575
概述 最近使用了spring-boot整合spring-security,比较想知道spring-boot到底在里面给我配置了什么bean,以及我自己写的 UserDetailService 是怎么生效的。特地跟踪源码分析了一遍,在这里记录一下。 入口是spring-boot自动装配 @EnableAutoConfiguration ,使用了这个注解spring-boot会加载spring.f...
SpringSecurity6从入门到实战之SpringSecurity整合自动装配详解(源码级讲解,耐心看完)
helloworld工程师的博客
06-03 1463
这里我先引出问题然后再来一步步进行剖析,SpringSecurity到底是如何实现引入依赖后所有请求都需要进行认证并且会弹出login登录表单页面.接下来会对SpringBoot自动装配进行详解,SpringSecurity也是通过自动装配实现以上一系列操作的。
15.Spring Boot 使用Spring security
Ajekseg的博客
08-13 398
实际开发中,不可能都用security提供的默认配置,我们需要自定义一些配置,比如拦截的请求路径,以及从数据库中获取用户等等,那么接下来说说一些常用的配置。以下代码建立在以上工程中。4.1新建security配置类:SecurityConfig/**定义认证用户信息获取来源,密码校验规则等*/@Override//inMemoryAuthentication 从内存中获取//jdbcAuthentication从数据库中获取,但是默认是以security提供的表结构。...
spring boot
10-01
Spring Boot为开发者提供了一种无需大量配置即可创建独立的、生产级别的基于Spring的应用程序的方式。 #### 二、Spring Boot特性 1. **依赖管理**:Spring Boot自动提供了大量的默认配置来简化项目搭建,同时也...
Spring Boot 多模块项目跨包自动注入的方法
iOS逆向与安全
03-25 310
ComponentScan会扫描该类所在的包及其子包中的Spring组件(如@Component, @Service, @Repository等),如果不指定basePackages,则默认会扫描该启动类所在的包及其子包。在使用 Maven 多模块开发的时候,A模块引入B模块,却无法注入B模块中被@Service、@Mapper、@Compoment、@Configuration 等注解修饰的类。Spring Boot 多模块项目跨包自动注入的方法,解决SpringBoot引用别的模块无法注入的问题。
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 976
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
SpringBoot Validation不生效该怎么办?
m0_63164811的博客
09-25 211
SpringBoot Validation不生效该怎么办?
SpringBoot--为什么Controller是串行的?怎样才能并行?
最新发布
IT利刃出鞘的博客
09-29 220
本文介绍SpringBoot为什么Controller是串行的?在什么场景下才能并行执行?
【从0开始搭建微服务并进行部署】SpringBoot+dubbo+zookeeper
高朗的博客
09-29 802
从0开始搭建微服务并进行部署:Springboot+dubbo+zookeeper
spring-boot 整合 mybatis
m0_72168501的博客
09-29 355
spring boot 整合 mybatis
如何使用ssm实现基于SpringMVC网上选课系统的设计与实现
a253399414的博客
09-25 491
【代码】ssm基于SpringMVC网上选课系统的设计与实现+jsp
Spring Cloud 教程(二) | 搭建SpringCloudAlibaba
qq_20236937的博客
09-26 467
搭建SpringCloudAlibaba
spring boot自动装配
05-10
Spring Boot自动装配Spring框架的一种特性,它能够自动配置应用程序中的各个部分,包括数据源、Web容器、JPA、Spring Security等。通过自动装配,我们可以避免手动配置繁琐的XML文件和Java代码,从而提高开发效率。 Spring Boot自动装配的原理是通过条件注解和Spring的SPI机制实现的。Spring Boot在启动时会扫描classpath下的META-INF/spring.factories文件,读取其中的配置信息,并根据条件进行自动装配。 例如,我们可以在项目的pom.xml文件中引入spring-boot-starter-web依赖,它会自动配置Spring MVC、Tomcat等相关组件。如果我们需要使用其他Web容器,只需要排除spring-boot-starter-tomcat依赖,并引入其他容器的依赖即可。 Spring Boot还提供了一些注解来控制自动装配,例如@ConditionalOnClass、@ConditionalOnMissingBean、@ConditionalOnProperty等。这些注解可以根据条件来判断是否需要进行自动装配,从而实现更加精细的控制。 总的来说,Spring Boot自动装配是一个非常强大的特性,它可以让我们专注于业务逻辑的开发,而不用过多关注底层的配置和细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值