java学习day53(SSM)SpringSecurity源码分析

最新推荐文章于 2024-05-05 09:19:16 发布
最新推荐文章于 2024-05-05 09:19:16 发布
阅读量87 收藏
点赞数
分类专栏: JAVA学习笔记 文章标签: SSM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaosong0623/article/details/127639929
版权
1 web.xml 文件中配置
问题 : 为什么 DelegatingFilterProxy fifilter-name 必须是 springSecurityFilterChain?
DelegatingFilterProxy 并不是真正的 Filter ,在其 initFilterBean 方法中会从 WebApplicationContext 根据 delegate来获取到 
protected void initFilterBean() throws ServletException {
synchronized (this.delegateMonitor) {
if (this.delegate == null) {
// If no target bean name specified, use filter name.
if (this.targetBeanName == null) {
this.targetBeanName = getFilterName();
}
// Fetch Spring root application context and initialize the delegate early,
// if possible. If the root application context will be started after this
// filter proxy, we'll have to resort to lazy initialization.
WebApplicationContext wac = findWebApplicationContext();
if (wac != null) {
this.delegate = initDelegate(wac);
}
}
}
}
在上这代码中 this.targetBeanName=getFilterName() 就是获取名称叫做 springSecurityFilterChain
通过在 doFilter 就去中我们会发现真正干活的其实是 delegate 这个 Filter, delegate 其实就是 FilterChainProxy 
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
// Lazily initialize the delegate if necessary.
Filter delegateToUse = this.delegate;
if (delegateToUse == null) {
synchronized (this.delegateMonitor) {
delegateToUse = this.delegate;
if (delegateToUse == null) {
WebApplicationContext wac = findWebApplicationContext();
if (wac == null) {
throw new IllegalStateException("No WebApplicationContext found: " +
"no ContextLoaderListener or DispatcherServlet registered?");
}
delegateToUse = initDelegate(wac);
}
this.delegate = delegateToUse;
}
}
// Let the delegate perform the actual doFilter operation.
invokeDelegate(delegateToUse, request, response, filterChain);
}
FilterChainProxy spring 在解析配置文件时装配到上下文中,并且 beanName springSecurityFilterChain , 因此在web.xml 中需要配置 fifilter-name springSecurityFilterChain
2. spring-security.xml 文件中配置
在配置文件中我们主要使用标签来过多成配置 
<!-- 配置不拦截的资源 -->
<security:http pattern="/login.jsp" security="none"/>
<security:http pattern="/failer.jsp" security="none"/>
<security:http pattern="/css/**" security="none"/>
<security:http pattern="/img/**" security="none"/>
<security:http pattern="/plugins/**" security="none"/>
<security:http auto-config="true" use-expressions="false">
<security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
<security:form-login
login-page="/login.jsp"
login-processing-url="/login.do"
default-target-url="/index.jsp"
authentication-failure-url="/failer.jsp"
authentication-success-forward-url="/pages/main.jsp"
/>
</security:http>
http 标签是自定义标签,我们可以在 spring-security-confifig 包中查看
http\://www.springframework.org/schema/security=org.springframework.security.config.SecurityName
spaceHandler
继续查看 SecurityNamespaceHandler 类,在其 init 方法 
public void init() {
loadParsers();
}
loadParsers() 方法中,指定由 HttpSecurityBeanDefifinitionParser 进行解析 
parsers.put(Elements.HTTP, new HttpSecurityBeanDefinitionParser());
HttpSecurityBeanDefifinitionParser 完成具体解析的 parse 方法中 
registerFilterChainProxyIfNecessary(pc, pc.extractSource(element));
这里就是注册了名为 springSecurityFilterChain fifilterChainProxy
接下我们在看一下注册一系列 Filter 的地方 createFilterChain ,在这个方法中我们重点关注

 

AuthenticationConfigBuilder authBldr = new AuthenticationConfigBuilder(element,
forceAutoConfig, pc, httpBldr.getSessionCreationPolicy(),
httpBldr.getRequestCache(), authenticationManager,
httpBldr.getSessionStrategy(), portMapper, portResolver,
httpBldr.getCsrfLogoutHandler());
我们可以查看 AuthenticationConfifigBuilder 创建代码 
public AuthenticationConfigBuilder(Element element, boolean forceAutoConfig,
ParserContext pc, SessionCreationPolicy sessionPolicy,
BeanReference requestCache, BeanReference authenticationManager,
BeanReference sessionStrategy, BeanReference portMapper,
BeanReference portResolver, BeanMetadataElement csrfLogoutHandler) {
this.httpElt = element;
this.pc = pc;
this.requestCache = requestCache;
autoConfig = forceAutoConfig
| "true".equals(element.getAttribute(ATT_AUTO_CONFIG));
this.allowSessionCreation = sessionPolicy != SessionCreationPolicy.NEVER
&& sessionPolicy != SessionCreationPolicy.STATELESS;
this.portMapper = portMapper;
this.portResolver = portResolver;
this.csrfLogoutHandler = csrfLogoutHandler;
createAnonymousFilter();
createRememberMeFilter(authenticationManager);
createBasicFilter(authenticationManager);
createFormLoginFilter(sessionStrategy, authenticationManager);
createOpenIDLoginFilter(sessionStrategy, authenticationManager);
createX509Filter(authenticationManager);
createJeeFilter(authenticationManager);
createLogoutFilter();
createLoginPageFilterIfNeeded();
createUserDetailsServiceFactory();
createExceptionTranslationFilter();
}

Andy393939
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security源码解析(一)
qq_40577332的博客
05-30 3311
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
安全框架Spring Security基本用法
ABestRookie的博客
08-12 848
一.入门案列 1.在pom.xml中导入maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <grou
SpringSecurity学习总结
qq_44185887的博客
04-12 938
一、spring security 简介 认证:(你是谁)身份认证,使用系统的任何用户,系统对于他来讲必须要能够进行识别,这个识别的过程我们就称之为认证。在此过程中牵涉到两个表,用户表和角色表,他们能够确定用户的权限。 授权(你能干什么):对于一个指定的用户,系统必须能够知道他具体有什么权限。权限表能够确定用户拥有什么权限。一个完整的系统,必须能够进行认证和鉴权,否则系统不具有安全性,系统的功能也不具有任何意义! 攻击防护:(防止伪造身份) <!--设置不拦截这个页面!-->
2024年Java最全SpringSecurity认证流程详解(附源码),Java开发还会吃香吗
2401_84102400的博客
05-05 861
好了, 让我们来看看这个坑吧!
HttpSecurity初步理解
热门推荐
骑着蜗牛向前跑的博客
06-19 2万+
关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。 Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架Spring Security怎么保证所有向Spring application发送请求的用户必须先通过认证;怎么保证它自己支持用户通过表单的方式进行认证。解决的办法是Spring Security中有个WebSec...
SpringSecurity源码分析
凉茶铺的博客
07-18 2571
在整个过滤器链中,FilterSecurityInterceptor是来处理整个用户授权流程的,也是距离用户API最后一个非常重要的过滤器链,所以下面我们主要针对用户授权来看下源码是如何实现的?在整个过滤器链中,UsernamePasswordAuthenticationFilter是来处理整个用户认证的流程的,所以下面我们主要针对用户认证来看下源码是如何实现的?在整个过滤器链中,CsrfFilter是起到csrf防护的,所以下面我们主要针对记住我看下源码是如何实现的?...
基于JavaSSM整合Spring Security设计源码
最新发布
05-25
源码为基于JavaSSM整合Spring Security设计,包含13个Java文件、8个JSP文件等,共32个文件。该项目旨在为用户提供一个全面、便捷的SSM整合Spring Security解决方案,通过JavaJavaScript技术的结合,为用户带来...
基于SSM框架Java学习分享平台源码
03-25
本项目主要采用Java语言开发,包含完整的SSMSpringSpringMVC、MyBatis)框架结构,致力于为用户提供一个便捷的学习分享环境。项目文件共计34个,具体文件类型分布如下: - XML配置文件:18个,用于配置项目中的...
基于SSM框架Java学习项目服务器源码
03-25
项目标题:基于SSM框架Java学习项目服务器端源码 技术概述: - 主要编程语言:Java - 文件构成:共计248个文件,包括: - Java类文件(.class):108个 - Java源码文件(.java):48个 - 库文件(.jar):38个...
基于JavaSSM框架设计源码
04-07
本项目是一个基于Java语言开发的SSM框架,包含64个文件,主要文件类型包括Java源代码、XML配置文件、HTML页面、JavaScript脚本、CSS样式表、Git忽略文件、Markdown文档、SQL数据库文件、EOT字体文件和SVG图片。...
源码 java SSM 快速开发框架项目源码
01-20
源码java SSM 快速开发框架项目源码源码java SSM 快速开发框架项目源码源码java SSM 快速开发框架项目源码源码java SSM 快速开发框架项目源码源码java SSM 快速开发框架项目源码源码】 ...
spring-security 常见错误 及简单配置
hi_你好
07-19 4939
几个简单的常见security错误,及spring-security配置步骤 error-1:项目加进spring-security后,项目启动后,任何页面都是空白,404... error-2:security.authentication.BadCredentialsException: Bad credentials error-3:“拒绝访问”security AccessDeniedException: Access is denied 下面是spring-security配置步骤...
Spring Security源码解析
ThisLX的博客
11-01 409
1、SecurityContextPersistenceFilter: SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回S...
SpringSecurity源码解析
zjl1638908711的博客
10-21 1448
SpringSecurity源码浅解析
Spring Security源码分析
not_say的博客
03-31 811
参考链接(主要参考此系列文章,截图和补充总结等由debug程序、阅读源码得出) https://juejin.im/post/5d8d66aee51d45783f5aa49e 一、三句话解释框架原理 1、整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy 2、核心过滤器里面是过滤器链(列表),过滤器链的...
spring security-源码流程分析(二)
luoxiaomei999的博客
03-28 1514
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、过滤器链的加载过程 上一篇文章跟踪源码流程,我们看到创建了httpSecurty,本文重点关注过滤器的加入过程 1、http.csrf() 2、addFilter(new WebAsyncManagerIntegrationFilter()) 直接添加过滤器 。。。 加载的所有配置通过下面方法进行过滤.
java security 详解_Java-Security(四):用户认证流程源码分析
weixin_42407606的博客
02-16 1004
让我们带着以下3个问题来阅读本篇文章:1)在Spring Security项目中用户认证过程中是如何执行的呢?2)认证后认证结果如何实现多个请求之间共享?3)如何获取认证信息?在《Java-Security(二):如何初始化springSecurityFilterChain(FilterChainProxy)》中可以发现SpringSecurity的核心就是一系列过滤链,当一个请求进入时,首先会被...
Spring Security登录认证源码分析
Charge8的博客
01-04 1428
Spring Security登录认证源码分析
Java SSM框架学习SpringSpring MVC与MyBatis入门
"这是一个关于Java SSMSpringSpring MVC、MyBatis)的学习笔记,适合初学者,内容包括SSM框架的基础知识、环境搭建以及MyBatis的简单使用。笔记作者是通过参考B站视频进行学习后整理的记录。" 在Java Web开发中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Andy393939

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值