志宇-springSecurty

最新推荐文章于 2020-11-30 15:19:16 发布
最新推荐文章于 2020-11-30 15:19:16 发布
阅读量140 收藏
点赞数
分类专栏: 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenkanghong9779/article/details/107908916
版权

springSecurty启动流程


首先 EnableWebSecurity 注解导入了 WebSecurityConfiguration配置类 

@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value = { java.lang.annotation.ElementType.TYPE })
@Documented
@Import({ WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {}

首先看这个类org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration
代码如下

@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
        //通过AutowireBeanFactoryObjectPostProcessor将WebSecurity注入到spring容器中
        //WebSecurity是AutowireBeanFactoryObjectPostProcessor的代理对象
		webSecurity = objectPostProcessor
				.postProcess(new WebSecurity(objectPostProcessor));
        //从spring容器中获得所有配置的WebSecurityConfigurerAdapter的类
        //WebSecurityConfigurerAdapter是我们配置的springSecurity要继承的类
        //调用他的apply方法
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
			//将WebSecurityConfigurerAdapter放到一个集合LinkedHashMap中
			webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}

代码分析
上面代码会创建一个 AutowireBeanFactoryObjectPostProcessor的代理类 WebSecurity
WebSecurity这个类可以向spring容器添加对象,同时还维护着一个LinkedHashMap用来存储所有的WebSecurityConfigurerAdapterWebSecurityConfigurerAdapter是配置springSecurity要继承的类

接下来看这个类org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration
代码如下

@Bean(name = "springSecurityFilterChain")
public Filter springSecurityFilterChain() throws Exception {
	boolean hasConfigurers = webSecurityConfigurers != null
			&& !webSecurityConfigurers.isEmpty();
	if (!hasConfigurers) {
	//通过AutowireBeanFactoryObjectPostProcessor向spring容器注册WebSecurityConfigurerAdapter
		WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
				.postProcess(new WebSecurityConfigurerAdapter() {
				});
		webSecurity.apply(adapter);
	}
	//调用
	return webSecurity.build();
}

代码分析
上面代码会通过AutowireBeanFactoryObjectPostProcessor向spring容器注册一个对象WebSecurityConfigurerAdapter,然后将WebSecurityConfigurerAdapter存储到webSecurity中,
然后调用webSecuritybuild方法,执行代码如下

protected final O doBuild() throws Exception {
    //configurers 是webSecurity中存储WebSecurityConfigurerAdapter的LinkedHashMap
	synchronized (configurers) {
	   //通过枚举修改状态
		buildState = BuildState.INITIALIZING;
		//空方法 用于扩展
		beforeInit();
		//调用configurers集合中所有对象的init方法
		//当前集合中只有一个对象 WebSecurityConfigurerAdapter
		init();
		buildState = BuildState.CONFIGURING;
		
		beforeConfigure();
		//调用configurers集合中所有对象的configure方法
		configure();
		buildState = BuildState.BUILDING;
		
		O result = performBuild();
		buildState = BuildState.BUILT;

		return result;
	}
}

接下来依次分析 init()beforeConfigure()configure()performBuild()方法,WebSecurityConfigurerAdapter

此部分代码比较多分部分析,代码如下

public void init(final WebSecurity web) throws Exception {
	//创建一个HttpSecurity
	final HttpSecurity http = getHttp();
	web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
		FilterSecurityInterceptor securityInterceptor = http
				.getSharedObject(FilterSecurityInterceptor.class);
		//给WebSecurity设置一个拦截器
		web.securityInterceptor(securityInterceptor);
	});
	protected final HttpSecurity getHttp() throws Exception {
	    //首先创建DefaultAuthenticationEventPublisher对象然后将这个对象添加到spring容器中
	    //此对象维护着一个exceptionMappings对象,存储异常和ApplicationEvent
		DefaultAuthenticationEventPublisher eventPublisher = objectPostProcessor
				.postProcess(new DefaultAuthenticationEventPublisher());
        //将eventPublisher给localConfigureAuthenticationBldr代理
        //localConfigureAuthenticationBldr 也就是 AuthenticationManagerBuilder对象
		localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
		AuthenticationManager authenticationManager = authenticationManager();
		authenticationBuilder.parentAuthenticationManager(authenticationManager);
		authenticationBuilder.authenticationEventPublisher(eventPublisher);
		Map<Class<?>, Object> sharedObjects = createSharedObjects();

		//创建http对象,其中FilterComparator中存储了32个过滤器	
		http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
				sharedObjects);
		if (!disableDefaults) {
			// 往HttpSecurity添加一些列的 配置类
			//CsrfConfigurer
			//ExceptionHandlingConfigurer
			//HeadersConfigurer
			//SessionManagementConfigurer
			//SecurityContextConfigurer
			//RequestCacheConfigurer
			//AnonymousConfigurer
			//ServletApiConfigurer
			//DefaultLoginPageConfigurer
			//LogoutConfigurer
			http
				.csrf().and()
				.addFilter(new WebAsyncManagerIntegrationFilter())
				.exceptionHandling().and()
				.headers().and()
				.sessionManagement().and()
				.securityContext().and()
				.requestCache().and()
				.anonymous().and()
				.servletApi().and()
				.apply(new DefaultLoginPageConfigurer<>()).and()
				.logout();

			ClassLoader classLoader = this.context.getClassLoader();
			//添加一些默认配置
			List<AbstractHttpConfigurer> defaultHttpConfigurers =
					SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
			//添加一些默认配置
			for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
				http.apply(configurer);
			}
		}
		//调用自己配置的 configure方法,添加一些Configurer
		configure(http);
		return http;
	}
	protected AuthenticationManager authenticationManager() throws Exception {
	    //这里仅仅用一个标志位不用锁 也不会线程不安全
	    //因为build 方法中通过  
	    //if(AtomicBoolean.compareAndSet(false, true)){}
		if (!authenticationManagerInitialized) {
		    //调用配置的configure方法
		    //方法中我们给 provider的 UserDetailsService,passwordEncoder 成员变量赋值
		    //同时添加DaoAuthenticationConfigurer 对象
			configure(localConfigureAuthenticationBldr);
			if (disableLocalConfigureAuthenticationBldr) {
        		//如果我们没有重写configure方法则调用这里逻辑
				authenticationManager = authenticationConfiguration
						.getAuthenticationManager();
			}
			else {
			    //localConfigureAuthenticationBldr 也就是 AuthenticationManagerBuilder对象
			    //AuthenticationManagerBuilder中的configurers中只有一个对象DaoAuthenticationConfigurer
			    //调用 DaoAuthenticationConfigurer 的doBuild方法
			    //方法中会通过包装创建一个ProviderManager
				authenticationManager = localConfigureAuthenticationBldr.build();
			}
			authenticationManagerInitialized = true;
		}
		return authenticationManager;
	}

    
	private void configure() throws Exception {
		Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
		//循环调用所有配置类的方法
		//有的configurer中的configure方法会添加拦截器
		for (SecurityConfigurer<O, B> configurer : configurers) {
			configurer.configure((B) this);
		}
	}

	protected Filter performBuild() throws Exception {
		Assert.state(
				!securityFilterChainBuilders.isEmpty(),
				() -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "
						+ "Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. "
						+ "More advanced users can invoke "
						+ WebSecurity.class.getSimpleName()
						+ ".addSecurityFilterChainBuilder directly");
		int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
		List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
				chainSize);
		for (RequestMatcher ignoredRequest : ignoredRequests) {
			securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
		}
		//securityFilterChainBuilder中存储所有的 HttpSecurity
		for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
		     //在方法中循环遍历所有HttpSecurity中configurers 
		     //configurers 是webSecurity中存储WebSecurityConfigurerAdapter的LinkedHashMap
		     //调用所有配置类的configurer 的 init configure 方法
		     //
			securityFilterChains.add(securityFilterChainBuilder.build());
		}
		//通过FilterChainProxy对securityFilterChains进行包装
		FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
		if (httpFirewall != null) {
			filterChainProxy.setFirewall(httpFirewall);
		}
		filterChainProxy.afterPropertiesSet();
		
		Filter result = filterChainProxy;
		postBuildAction.run();
		return result;
	}
}

上面代码通过CsrfConfigurer、ExceptionHandlingConfigurer、HeadersConfigurer、SessionManagementConfigurer、SecurityContextConfigurer、RequestCacheConfigurer、AnonymousConfigurer 、ServletApiConfigurer、DefaultLoginPageConfigurer、LogoutConfigurer 等对象的 configure 方法 添加过滤器,我们配置对应的Configurer对象就能修改过滤器要拦截的内容,过滤器如下

WebAsyncManagerIntegrationFilter

SecurityContextPersistenceFilter

HeaderWriterFilter

CsrfFilter

LogoutFilter

MyTokenFilter

UsernamePasswordAuthenticationFilter

DefaultLoginPageGeneratingFilter

DefaultLogoutPageGeneratingFilter

RequestCacheAwareFilter

SecurityContextHolderAwareRequestFilter

AnonymousAuthenticationFilter

SessionManagementFilter

ExceptionTranslationFilter

FilterSecurityInterceptor

枉然轻狂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security设置X-Frame-Options响应头
mt23
08-25 4908
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
SpringSecurity(1)---认证+授权代码实现
weixin_44096353的博客
08-08 1023
安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 市面上存在比
springBoot springSecurty x-frame-options deny
weixin_34126557的博客
07-27 212
参考:https://blog.csdn.net/whiteforever/article/details/73201586 https://blog.csdn.net/davylee2008/article/details/61420751 https://blog.csdn.net/fl_zxf/artic...
springBoot springSecurty OAuth2.0 x-frame-options deny
aiyo92的专栏
02-25 893
背景说明 应公司要求,需要对一个接口平台加OAuth2.0认证(客户端模式)功能,该平台有自己的管理维护页面,且页面采用了Iframe嵌套,在我加入认证功能以前,平台可以正常运行,但就在我加入认证功能之后(通过postman已经可以正常获取access_token),打开维护界面出现了问题:iframe中的页面打不开了,错误如图: 问题原因 我的OAuth2.0是基于SpringSecu...
springBoot springSecurty: x-frame-options deny禁止iframe调用
tonysh_zds的博客
11-30 1833
springBoot springSecurty: x-frame-options deny禁止iframe调用 https://blog.csdn.net/whiteforever/article/details/73201586 项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 x-frame-options deny 原因是因为springSecurty使用X-Frame-Options防止网页被Frame 1 .headers().frameOption
解决springBoot springSecurty x-frame-options deny
lyy的博客
01-15 9215
前几天刚学了学SpringSecurity框架,就想把以前的一个项目的安全框架改成SpringSecurity,结果改完之后iframe全部失效了,页面不显示,F12才知道,是x-frame-options deny在作怪。 话不多说,直接上代码: ...
springsecurty 快速配置,及理解含义
11-10
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security提供了全面的安全性解决方案,包括认证(确定用户身份)和授权(决定用户权限)...
springsecurty webscoket
07-27
Spring Security提供了对WebSocket的集成支持。您可以使用Spring Security保护您的WebSocket端点和消息。 要使用Spring Security保护WebSocket,您需要进行以下步骤: 1. 添加Spring Security WebSocket依赖项。...
shiro和springsecurty的区别
08-31
Shiro和Spring Security都是Java中常用的权限管理和身份验证框架,它们都可以用于增强应用的安全性,但有以下几个主要区别: 1. **轻量级 vs 重量级**:Shiro相对更轻量级,其API设计简洁,适合小型和中型应用。...
jsp+servlet jsp课程设计.zip
09-08
jsp+servlet jsp课程设计.zip
天津中医药大学在北京2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学2021-2024在北京各专业录取分数及最低位次
Enhance_the_edge_with_beamforming_Performance.pdf
09-08
Enhance_the_edge_with_beamforming_Performance_analysis_of_beamforming-enabled_WLAN
MATLAB的车牌定位系统GUI设计.zip
最新发布
09-08
鲁棒优化
这是一张客户档案信息表模板,可登记客户基本资料和财务资料以及各年度汇款情况
09-08
这是一张客户档案信息表模板,可登记客户基本资料和财务资料以及各年度汇款情况
存储所执行过的项目源代码_ZNMS_raspberry.zip
09-08
存储所执行过的项目源代码_ZNMS_raspberry
Python 中可以使用第三方库`pandas`来读取 Excel 数据
09-08
python读取excel数据
西华师范大学在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
中山大学在北京2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学2021-2024在北京各专业录取分数及最低位次
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值