随便看看之spring-security的过滤链源码

最新推荐文章于 2022-06-21 10:56:14 发布
最新推荐文章于 2022-06-21 10:56:14 发布
阅读量257 收藏
点赞数
分类专栏: spring security 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fsdf8sad7/article/details/107520631
版权

1.spring-security的过滤链组成与顺序

在org.springframework.security.config.annotation.web.builders.FilterComparator
构造函数 定义了security 过滤器的顺序。
从这里面我们也可以看到security 里面使用到的过滤器, 从名字上我们大概可以看出每个fileter的作用。(部分源码如下:)

FilterComparator() {
		Step order = new Step(INITIAL_ORDER, ORDER_STEP);
		put(ChannelProcessingFilter.class, order.next());
		put(ConcurrentSessionFilter.class, order.next());
		put(WebAsyncManagerIntegrationFilter.class, order.next());
		put(SecurityContextPersistenceFilter.class, order.next());
		put(HeaderWriterFilter.class, order.next());
		put(CorsFilter.class, order.next());
		put(CsrfFilter.class, order.next());
		put(LogoutFilter.class, order.next());
		filterToOrder.put(
			"org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter",
				order.next());
		filterToOrder.put(
				"org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationRequestFilter",
				order.next());
	......
               }

2.接下来说说每个Filter是如何组装成一个过滤链的。

用org.springframework.security.web.authentication.logout.LogoutFilter举一个例子吧:

里面涉及到一个重要的类org.springframework.security.config.annotation.web.configurers.LogoutConfigurer。

主要源码如下:

public final class LogoutConfigurer<H extends HttpSecurityBuilder<H>> extends
		AbstractHttpConfigurer<LogoutConfigurer<H>, H> {
			@Override
		public void configure(H http) throws Exception {
			LogoutFilter logoutFilter = createLogoutFilter(http);//创建LogoutFilter 
			http.addFilter(logoutFilter);//通过这个方法,将logoutFilter加入过滤链中
		}
	}

再细看一下这个LogoutConfigurer的父类的父类SecurityConfigurerAdapter, 下面列出主要的源码。

public abstract class SecurityConfigurerAdapter<O, B extends SecurityBuilder<O>>
		implements SecurityConfigurer<O, B> {
		
	public void configure(B builder) throws Exception {
	   //LogoutConfigurer实现的configure方法
	}

	public void setBuilder(B builder) {
		this.securityBuilder = builder;
	}
	
	public B and() {
	    //这里面的作用就是 org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#configure(HttpSecurity http)
	    //实例代码
	    //    http
         //   .requestMatchers().antMatchers("/order/*").anyRequest()
        //    .and()
        //        .authorizeRequests()
        //其实就是返回具体 HttpSecurity 
		return getBuilder();
	}	
	
	protected final B getBuilder() {
		if (securityBuilder == null) {
			throw new IllegalStateException("securityBuilder cannot be null");
		}
		return securityBuilder;
	}
}

最后返回到org.springframework.security.config.annotation.web.builders.HttpSecurity的logout()方法。
从下面代码顺序往下看就可以看出LogoutConfigurer被添加到了某个变量保存了起来,然后通过LogoutConfigurer.configure就将filter 放到了HttpSecurity的过滤链中。

public LogoutConfigurer<HttpSecurity> logout() throws Exception {
		//添加LogoutConfigurer到
		return getOrApply(new LogoutConfigurer<>());
	}
  
	private <C extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity>> C getOrApply(
			C configurer) throws Exception {
		C existingConfig = (C) getConfigurer(configurer.getClass());
		if (existingConfig != null) {
			return existingConfig;
		}
		return apply(configurer);
	}

public <C extends SecurityConfigurerAdapter<O, B>> C apply(C configurer)
			throws Exception {
		configurer.addObjectPostProcessor(objectPostProcessor);
		configurer.setBuilder((B) this);
		add(configurer);//这里可以看成addFilter,从广义上看的话。
		return configurer;
	}

然后有一个configurer.setBuilder((B) this);,就是将HttpSecurity设置到LogoutConfigurer的securityBuilder 成员变量里面,这里面的一个作用就是通过and()返回HttpSecurity。

比如: 在这里插入图片描述

!if
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security过滤【探案】+源码剖析
Crown_123的博客
03-13 856
Spring Security过滤【探案】 Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不赘述了,接下来咱们就一起看看Spring Security中这些过滤器都是干啥用的,有名字,大家可以自己在IDEA中Double Shift找到它们。 1.org.springframework.security.web.context.Securit...
xmljava系统源码-Spring-Boot-Security-Thymeleaf-Demo:SpringBoot2.0+SrpingSec
06-06
xml java系统源码 Spring Boot + Spring Security + Thymeleaf 简单教程 因为有一个项目需采用MVC构架,所以学习了Spring Security并记录下来,希望大家一起学习提供意见 ...Security实现了一系列的过滤
Spring Security源码阅读2-Spring Security过滤初始化1
每天学习一点点,每天记录一点点
02-18 492
源码角度详细分析了Spring Security过滤初始化的过程。
SpringSecurity源码-过滤
java技术博客
06-21 177
UsernamePasswordAuthenticationFilter:是我们最常用的用户名和密码认证方式的主要处理类,构造了一个UsernamePasswordAuthenticationToken对象实现类,将用请求信息封装为AuthenticationBasicAuthenticationFilter…:将UsernamePasswordAuthenticationFilter的实现类UsernamePasswordAuthenticationToken封装成的 Authentication进行登录
Spring Security--核心过滤源码分析
一个有趣、有料、有内涵的地方!
08-04 171
我们已经知道Spring Security使用了springSecurityFillterChian作为了安全过滤的入口,这里主要分析一下这个过滤都包含了哪...
springsecurityspringSecurityFilterChain
hepei120的专栏
06-03 6636
如果在web项目中增加springsecurity作为你的登录认证授权框架,那么第一步就需要在web.xml 增加如下配置         &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt;org.springframework.web.filt...
SpringSecurity笔记2-SpringSecurity命名空间
03-29
在"SpringSecurity笔记2-SpringSecurity命名空间"的学习中,还会涉及到如何自定义过滤,以及如何通过`<custom-filter>`元素插入自定义的SpringSecurity过滤器。同时,理解`<access-denied-handler>`和`...
spring security3.07的tutorial和contacts示例源码
04-18
首先,我们来看`tutorial`目录,这是Spring Security的教程源码。这个教程通常会涵盖一系列逐步指导,解释如何配置和使用Spring Security的各种特性。开发者可以通过阅读源码来了解如何设置安全拦截器、定义权限、...
Spring-Flex架构分析
05-28
此外,Spring的安全框架如Spring Security可以与Flex结合,实现用户认证和授权,确保应用的安全性。 总结来说,Spring-Flex架构通过Spring的IoC和AOP能力,以及Flex的UI优势,提供了强大的后端服务与直观的前端展示...
Spring Security 3官方Contacts源码
08-10
- 分析`web.xml`中的Spring Security配置,了解安全过滤是如何设置的。 - 查看`security-config.xml`,这是Spring Security的核心配置文件,包括认证和授权规则。 - 跟踪`UserDetailsService`的实现,理解如何从...
过滤的一个小Demo
05-04
实现两个过滤过滤相同资源时的执行效果。 参考博客的地址:https://blog.csdn.net/qq_36631076/article/details/80195655
spring security部分源码分析 过滤器加载流程
weixin_41029286的博客
06-08 202
在引入的springframework.boot.autoconfigure的包中的spring.factories中注入了 //过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration
SpringSecurity过滤汇总
Chenny的blog
01-05 2091
SpringSecurity过滤 认证过程  
Spring Security3源码分析-Filter排序分析
Dead_Knight的专栏
05-09 258
通过前面Spring Security提供的各种Filter的分析,大体上知道每个Filter具体的用途了。 Spring Security一共提供了20个Filter,我目前只分析了13个(如果http的auto-config="true",那默认的filter列表都包含在这13个里面了),另外7个在后面的源码分析中碰到时会逐个讲解。 在分析http标签时,已经提到filter排序的问题了,...
spring security源码分析之一springSecurityFilterChain
05-22 133
1. springspring security的集成,配置web.xml如下: <context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/spring-se...
万字长文,SpringSecurity
mySoul
06-30 987
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
Spring Security(六)—SpringSecurityFilterChain加载流程深度解析
热门推荐
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤,前文《Spring Security(四)–核心过滤源码分析》 中我们分析了 SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
Spring Security学习笔记-自定义Spring Security过滤
weixin_33909059的博客
03-28 210
Spring Security使用一系列过滤器处理用户请求,下面是spring-security.xml配置文件。 1 <?xml version="1.0" encoding="UTF-8"?> 2 <beans:beans xmlns="http://www.springframework.org/schema/security" 3 xm...
springsecurity结合Oauth2时报错:Error creating bean with name ‘springSecurityFilterChain‘
weixin_45848992的博客
08-31 1238
配置好AuthorizationServer的配置类后,运行项目,报错 org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'springSecurityFilterChain' defined in class path resource [org/springframework/security/config/annotation/web/configuration/WebSec
Spring-Security深度解析:企业级安全控制与应用教程
Spring-Security是一个强大的安全框架,专为基于Spring的企业应用系统提供声明式安全访问控制。它由Spring项目组的AcegiSecurity发展而来,旨在简化并整合J2EE企业应用的安全服务,特别是在采用Spring作为基础架构的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值