SpringBoot--Spring Security(一)

已于 2024-01-13 20:52:25 修改
阅读量1.6k 收藏 52
点赞数 47
分类专栏: SpringBoot 文章标签: spring spring boot 后端
于 2024-01-13 20:52:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanderboy/article/details/135575582
版权

SpringBoot–Spring Security(一)

一、概述

源码基于SpringBoot 2.7.xx版本

官网:https://spring.io/projects/spring-security

1.1 自动装配概览

  • SecurityAutoConfiguration
    • DefaultAuthenticationEventPublisher
    • SpringBootWebSecurityConfiguration
      • @EnableWebSecurity
        • WebSecurityConfiguration
        • SpringWebMvcImportSelector
        • OAuth2ImportSelector
        • HttpSecurityConfiguration
        • @EnableGlobalAuthentication
          • AuthenticationConfiguration
    • SecurityDataConfiguration
  • UserDetailsServiceAutoConfiguration
    • InMemoryUserDetailsManager
  • SecurityFilterAutoConfiguration
    • DelegatingFilterProxyRegistrationBean
  • @EnableMethodSecurity
    • MethodSecuritySelector
      • PrePostMethodSecurityConfiguration
      • SecuredMethodSecurityConfiguration
      • Jsr250MethodSecurityConfiguration

二、自动装配详解

2.1 SecurityAutoConfiguration

  1. 注册 DefaultAuthenticationEventPublisher;
  2. 导入另外两个安全配置类SpringBootWebSecurityConfiguration、SecurityDataConfiguration

2.2 SpringBootWebSecurityConfiguration


@Configuration(proxyBeanMethods = false)
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {
   

    @Configuration(proxyBeanMethods = false)
    // 条件一 classpath中存在 SecurityFilterChain.class, HttpSecurity.class
    // 条件二 没有自定义 WebSecurityConfigurerAdapter.class, SecurityFilterChain.class
    @ConditionalOnDefaultWebSecurity
    static class SecurityFilterChainConfiguration {
   
        @Bean
        @Order(SecurityProperties.BASIC_AUTH_ORDER)
        SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
   
            // 默认情况下对所有请求进行权限控制
            http.authorizeRequests().anyRequest().authenticated();
            http.formLogin();
            http.httpBasic();
            return http.build();
        }
    }

    @Configuration(proxyBeanMethods = false)
    @ConditionalOnMissingBean(name = BeanIds.SPRING_SECURITY_FILTER_CHAIN)
    @ConditionalOnClass(EnableWebSecurity.class)
    @EnableWebSecurity
    static class WebSecurityEnablerConfiguration {
   

    }
}

2.2.1 SecurityFilterChain

默认的SecurityFilterChain,对所有请求进行权限控制,默认配置引入条件

  1. classpath中存在 SecurityFilterChain.class, HttpSecurity.class
  2. 没有自定义 WebSecurityConfigurerAdapter.class, SecurityFilterChain.class

2.2.2 @EnableWebSecurity

导入了如下4个类:

  1. WebSecurityConfiguration
  2. SpringWebMvcImportSelector
  3. OAuth2ImportSelector
  4. HttpSecurityConfiguration
2.2.2.1 WebSecurityConfiguration

WebSecurity配置类,创建一个FilterChainProxy bean来对用户请求进行安全过滤,这个FilterChainProxy bean的
名称为springSecurityFilterChain,它也是一个Filter,最终会被作为DelegatingFilterProxy代理的对象放入Spring容器中。

/**
 *  WebSecurity 配置类 : 
 *  1. 使用一个 WebSecurity 对象基于安全配置创建一个 FilterChainProxy 对象来对用户请求进行安全过滤。 
 *  2. 也会暴露一些必要的 bean。
 *  3. 如何定制 Spring security 的web 安全,也就是 WebSecurity 对象
 *     3.1 提供一个配置类,实现了接口 WebSecurityConfigurer
 *     3.2 或者创建一个WebSecurityCustomizer对象
 *    该配置类的配置会在使用 @EnableWebSecurity 时应用到系统。
 */
@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
   

    private WebSecurity webSecurity;
    // 是否启用了调试模式,来自注解 @EnableWebSecurity 的属性 debug,缺省值 false
    private Boolean debugEnabled;

    private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;

    private List<SecurityFilterChain> securityFilterChains = Collections.emptyList();

    private List<WebSecurityCustomizer> webSecurityCustomizers = Collections.emptyList();

    private ClassLoader beanClassLoader;

    @Autowired(required = false)
    private ObjectPostProcessor<Object> objectObjectPostProcessor;

    @Bean
    public static DelegatingApplicationListener delegatingApplicationListener() {
   
        return new DelegatingApplicationListener();
    }

    // 定义一个表达式处理器bean,缺省为一个 DefaultWebSecurityExpressionHandler,
    //  仅在 bean springSecurityFilterChain 实例化之后才能实例化
    @Bean
    @DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public SecurityExpressionHandler<FilterInvocation> webSecurityExpressionHandler() {
   
        return this.webSecurity.getExpressionHandler();
    }

    // 定义 FilterChainProxy , 名字为 springSecurityFilterChain
    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public Filter springSecurityFilterChain() throws Exception {
   
        boolean hasConfigurers = this.webSecurityConfigurers != null && !this.webSecurityConfigurers.isEmpty();
        boolean hasFilterChain = !this.securityFilterChains.isEmpty();
        Assert.state(!(hasConfigurers && hasFilterChain),
                "Found WebSecurityConfigurerAdapter as well as SecurityFilterChain. Please select just one.");
        if (!hasConfigurers && !hasFilterChain) {
   
            // 如果没有 webSecurityConfigurer, 则提供一个却省的
            WebSecurityConfigurerAdapter adapter = this.objectObjectPostProcessor
                    .postProcess(new WebSecurityConfigurerAdapter() {
   
                    });
            this.webSecurity.apply(adapter);
        }
        for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
   
            this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
            for (Filter filter : securityFilterChain.getFilters()) {
   
                if (filter instanceof FilterSecurityInterceptor) {
   
                    this.webSecurity.securityInterceptor((FilterSecurityInterceptor) filter);
                    break;
                }
            }
        }
        for (WebSecurityCustomizer customizer : this.webSecurityCustomizers) {
   
            customizer.customize(this.webSecurity);
        }
        // 根据配置 webSecurityConfigurers或者缺省 WebSecurityConfigurerAdapter 构建 
        // FilterChainProxy 并返回,这是最终加入到Servlet容器的Filter chain 。
        return this.webSecurity.build();
    }

    // 定义一个bean,是web调用权限评估器,用于判断一个用户是否可以访问某个URL,
    // 对于 JSP tag 支持必要。仅在bean springSecurityFilterChain 被定义时才生效。
    @Bean
    @DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public WebInvocationPrivilegeEvaluator privilegeEvaluator() {
   
        return this.webSecurity.getPrivilegeEvaluator();
    }

    // 注入webSecurityConfigurers
    @Autowired(required = false)
    public void setFilterChainProxySecurityConfigurer(ObjectPostProcessor<Object> objectPostProcessor,
                                                      ConfigurableListableBeanFactory beanFactory) throws Exception {
   
        this.webSecurity = objectPostProcessor.postProcess(new WebSecurity(objectPostProcessor));
最低0.47元/天 解锁文章
fanderboy
关注
  • 47
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringbootSpringSecurity自动装配原理,源码级别绝对详细
qq_51114283的博客
05-18 1137
SpringSecurity的自动装配原理,源码级别,绝对详细
Springboot 自动配置 : SecurityFilterAutoConfiguration
Details Inside Spring
05-20 1720
Spring Boot的自动配置类。用于向Servlet容器 注册一个名称为securityFilterChainRegistration的bean, 实现类是DelegatingFilterProxyRegistrationBean。该 bean 的目的是注册另外一个 Servlet Filter bean 到 Servlet 容器,实现类为 DelegatingFilterProxy 。Del...
SecurityAutoConfiguration源码解析
m0_63437643的博客
02-18 1123
SecurityAutoConfiguration 详解 SpringBootSecurity 的支持类均位于 org.springframework.boot.autoconfigure.security包下,主要通过 SecurityAutoConfiguration 自动配置类和 SecurityProperties 属性配置来完成。 下面,我们通过对 SecurityAutoConfiguration及引入的相关自动配 置源码进行解析说明。 @Configuration(proxyBe
Spring Boot Web 应用中Spring Security DelegatingFilterProxy 的注入
Details Inside Spring
07-31 1595
elegatingFilterProxyRegistrationBean package org.springframework.boot.web.servlet; import javax.servlet.Filter; import javax.servlet.ServletContext; import javax.servlet.ServletException; import ...
spring security部分源码分析 过滤器加载流程
weixin_41029286的博客
06-08 199
在引入的springframework.boot.autoconfigure的包中的spring.factories中注入了 //过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration
SpringBoot整合Spring Security过滤器链加载执行流程源码分析
02-21 1157
Spring Boot项目之中,我们引入 Spring Security依赖,什么也没做,启动项目 Spring Security 就会生效,访问请求就进行了拦截。 Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。 那么这个过滤器链是怎么加载和实现拦截的呢?
spring security启动流程解析(一)SecurityAutoConfiguration
a807719447的专栏
11-21 3309
springboot体系下我们一般是找 xxxAutoConfiguration,那么这里我们可以通过查找securityAutoConfiguration可以找到如下类: SecurityAutoConfiguration SecurityFilterAutoConfiguration SecurityRequestMatcherProviderAutoConfiguration ManagementWebSecurityAutoConfiguration MockMvcSecurityAutoCon
SpringSecurity - 启动流程分析(七)
业精于勤荒于嬉
08-18 4144
SpringSecurity - 启动流程分析(七)
默认SpringSecurity大致启动流程源码分析
HHoao的博客
05-05 605
默认SpringSecurity大致启动流程源码分析
(三)、spring boot security 加载流程简介
qq_30062125的博客
01-08 1599
流程图说明: 核心关注FilterChainProxy的生成。 部分注释点说明: 1、为webSecurity设置webSecurityConfigurers org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration#setFilterChainProxySec...
Spring Boot 自动配置 : SecurityAutoConfiguration
Details Inside Spring
05-17 1万+
SecurityAutoConfigurationSpring Boot提供的安全自动配置类。 它仅在类DefaultAuthenticationEventPublisher存在于classpath上时才进行配置。配置包含如下几个方面 : 注册安全属性bean SecurityProperties,相应的配置属性来自外部配置项 spring.security,这些属性会被相应的安全配置机制采用...
SpringBoot排除自动配置
波波的博客
01-15 1万+
SpringBoot的自动配置给我们开发带来了极大的便利,但有些时候也带来了一些问题。 问题场景: 该项目是基于Springboot + dubbo的微服务架构,框架结构web + facade + service,某个模块的facade引用了Spring Security的pom文件为了继承其中的接口,导致实现该facade接口的service启动时报springsecurity中XXXCo...
Spring Security(六)—SpringSecurityFilterChain加载流程深度解析
热门推荐
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤器链,前文《Spring Security(四)–核心过滤器源码分析》 中我们分析了 SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 354
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
OAuth2.0 or Spring Session or 单点登录流程
最新发布
qq_53374893的博客
07-20 288
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
SpringBoot new方式创建出来的类对象 @Value()注入的问题
阿潘是个程序猿的博客
07-18 313
ew方式创建出来的类对象获取springboot配置文件属性
Spring3(代理模式 Spring1案例补充 Aop 面试题)
qq_52897007的博客
07-17 1218
为其他对象提供一种代理以控制对这个对象的访问。
springboot】中使用--WebMvcConfigurer
2201_75743716的博客
07-19 827
import com/*** 将请求参数字符串转为 DeviceInfo");} }/*** 将请求参数字符串转为 DeviceInfo");} }/*** 将请求参数字符串转为 DeviceInfo");import org/*** 将请求参数字符串转为 DeviceInfo");} }/**
手写简易版Spring IOC容器02【学习】
weixin_44794897的博客
07-19 521
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
springboot使用thymeleaf-extras-springsecurity4 需要哪些依赖
04-02
springboot使用thymeleaf-extras-springsecurity4,需要以下依赖: 1. spring-boot-starter-thymeleaf 2. thymeleaf-extras-springsecurity4 3. spring-boot-starter-security 其中,spring-boot-starter-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fanderboy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值