Spring Security启动流程

最新推荐文章于 2024-05-20 22:22:36 发布
最新推荐文章于 2024-05-20 22:22:36 发布
阅读量994 收藏 2
点赞数 2
分类专栏: Spring Security 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_love_t/article/details/124400552
版权

在这里插入图片描述

SecurityConfigurer

用来配置SecurityBuilder的超类。
所有SecurityConfigurer首先调用其init(SecurityBuilder)方法。
再调用了所有init(SecurityBuilder)方法之后,调用每个configure(SecurityBuilder)方法。

public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> {
	/**
	初始化SecurityBuilder。
	在这里,只应创建和修改共享状态,而不应创建和修改用于构建对象的SecurityBuilder上的属性。
	这可确保Configure(SecurityBuilder)方法在生成时使用正确的共享对象。
	 */
	void init(B builder) throws Exception;
	/**
	 通过设置SecurityBuilder上的必要属性来配置SecurityBuilder
	 */
	void configure(B builder) throws Exception;
}
WebSecurityConfigurer

对 WebSecurity进行配置。
在大多数情况下,用户将使用EnableWebSecurity和扩展WebSecurityConfigurerAdapter来进行 WebSecurity的配置,该配置将通过EnableWebSecurity注释自动应用于WebSecurity。

public interface WebSecurityConfigurer<T extends SecurityBuilder<Filter>> extends
		SecurityConfigurer<Filter, T> {
}
WebSecurityConfigurerAdapter

为创建WebSecurityConfigurer实例提供方便的基类。该实现允许通过重写方法进行自定义。

@Order(100)
public abstract class WebSecurityConfigurerAdapter implements
		WebSecurityConfigurer<WebSecurity> {

	public void init(final WebSecurity web) throws Exception {
		final HttpSecurity http = getHttp();
		web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
			public void run() {
				FilterSecurityInterceptor securityInterceptor = http
						.getSharedObject(FilterSecurityInterceptor.class);
				web.securityInterceptor(securityInterceptor);
			}
		});
	}
	
	/**
	 * 重写此方法以配置 WebSecurity。例如,如果您希望忽略某些请求。
	 */
	public void configure(WebSecurity web) throws Exception { }
	
	/*
	重写此方法以配置HttpSecurity。通常,子类不应该通过调用Super来调用此方法,因为它可能会覆盖它们的配置。
	*/
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.anyRequest().authenticated()
				.and()
			.formLogin().and()
			.httpBasic();
	}
}

在这里插入图片描述

SecurityBuilder

用于构建对象的超类

public interface SecurityBuilder<O> {
	/*
	 生成对象并返回或null
	 */
	O build() throws Exception;
}
AbstractSecurityBuilder

一个基本的SecurityBuilder,用于确保正在生成的对象只生成一次

public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> {
	private AtomicBoolean building = new AtomicBoolean();
	private O object;
	public final O build() throws Exception {
		if (this.building.compareAndSet(false, true)) {
			this.object = doBuild();
			return this.object;
		}
		throw new AlreadyBuiltException("This object has already been built");
	}
	public final O getObject() {
		if (!this.building.get()) {
			throw new IllegalStateException("This object has not been built");
		}
		return this.object;
	}
	protected abstract O doBuild() throws Exception;
}
AbstractConfiguredSecurityBuilder

对SecurityBuilder的基本扩展。
可以将多个SecurityConfigurer应用到SecurityBuilder,
这使得修改SecurityBuilder成为一种策略,可以对其进行定制并将其分解为多个SecurityConfigurer对象,这些对象具有比SecurityBuilder更具体的目标。
例如,SecurityBuilder可以构建DelegatingFilterProxy,但SecurityConfigurer可以使用会话管理、基于表单的登录、授权等所需的Filter填充SecurityBuilder。

public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>>
		extends AbstractSecurityBuilder<O> {
	/*
	将SecurityConfigureAdapter应用于此SecurityBuilder并调用SecurityConfigureAdapter.setBuilder(SecurityBuilder)
	*/
	public <C extends SecurityConfigurerAdapter<O, B>> C apply(C configurer)
			throws Exception {
		configurer.addObjectPostProcessor(objectPostProcessor);
		configurer.setBuilder((B) this);
		add(configurer);
		return configurer;
	}
	/*
	将SecurityConfigure应用于此SecurityBuilder,覆盖完全相同类的任何SecurityConfigure
	*/
	public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception {
		add(configurer);
		return configurer;
	}
	/*
	设置由多个SecurityConfigure共享的对象
	*/
	public <C> void setSharedObject(Class<C> sharedType, C object) {
		this.sharedObjects.put(sharedType, object);
	}
	/*
	获取一个共享对象。请注意,不考虑对象继承人
	*/
	public <C> C getSharedObject(Class<C> sharedType) {
		return (C) this.sharedObjects.get(sharedType);
	}
	/*
	将构建过程拆解为多个步骤,并提供给给子类重写的机会(模板方法)
	*/
	@Override
	protected final O doBuild() throws Exception {
		synchronized (configurers) {
			buildState = BuildState.INITIALIZING;
			beforeInit();
			init();
			buildState = BuildState.CONFIGURING;
			beforeConfigure();
			configure();
			buildState = BuildState.BUILDING;
			O result = performBuild();
			buildState = BuildState.BUILT;
			return result;
		}
	}
}
WebSecurity

WebSecurity由WebSecurityConfiguration配置创建,以创建FilterChainProxy,称为Spring安全过滤器链(springSecurityFilterChain)。springSecurityFilterChain是DelegatingFilterProxy委托给的筛选器。 可以通过创建WebSecurityConfigurer或更可能通过重写WebSecurityConfigureAdapter来定制WebSecurity。

public final class WebSecurity extends
		AbstractConfiguredSecurityBuilder<Filter, WebSecurity> implements
		SecurityBuilder<Filter>, ApplicationContextAware {
	@Override
	protected Filter performBuild() throws Exception {
		Assert.state(
				!securityFilterChainBuilders.isEmpty(),
				() -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "
						+ "Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. "
						+ "More advanced users can invoke "
						+ WebSecurity.class.getSimpleName()
						+ ".addSecurityFilterChainBuilder directly");
		int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
		List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
				chainSize);
		for (RequestMatcher ignoredRequest : ignoredRequests) {
			securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
		}
		for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
			securityFilterChains.add(securityFilterChainBuilder.build());
		}
		FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
		if (httpFirewall != null) {
			filterChainProxy.setFirewall(httpFirewall);
		}
		filterChainProxy.afterPropertiesSet();

		Filter result = filterChainProxy;
		if (debugEnabled) {
			logger.warn("\n\n"
					+ "********************************************************************\n"
					+ "**********        Security debugging is enabled.       *************\n"
					+ "**********    This may include sensitive information.  *************\n"
					+ "**********      Do not use in a production system!     *************\n"
					+ "********************************************************************\n\n");
			result = new DebugFilter(filterChainProxy);
		}
		postBuildAction.run();
		return result;
	}
}
HttpSecurity

HttpSecurity类似于名称空间配置中的Spring Security的XML元素。
它允许为特定的http请求配置基于Web的安全性。
默认情况下,它将应用于所有请求,但可以使用questMatcher(RequestMatcher)或其他类似方法进行限制。
这里HttpSecurity就是构建FilterChainProxy(springSecurityFilterChain)中的filterChains;

public final class HttpSecurity extends
		AbstractConfiguredSecurityBuilder<**DefaultSecurityFilterChain**, **HttpSecurity**>
		implements SecurityBuilder<**DefaultSecurityFilterChain**>,
		HttpSecurityBuilder<HttpSecurity> {
	private final RequestMatcherConfigurer requestMatcherConfigurer;
	private List<Filter> filters = new ArrayList<>();
	private RequestMatcher requestMatcher = AnyRequestMatcher.INSTANCE;
	private FilterComparator comparator = new FilterComparator();
	/*
	这里先会对Filter进行排序,排序规则在FilterComparator中定义
	*/
	@Override
	protected DefaultSecurityFilterChain performBuild() throws Exception {
		Collections.sort(filters, comparator);
		return new DefaultSecurityFilterChain(requestMatcher, filters);
	}
}
xxx
xxx
爱尚你1993
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring启动流程
weixin_42888533的博客
08-14 229
1 Spring启动执行流程 Spring的启动是建立在Servlet容器之上的,所有的web工程的起始位置就是web.xmltap配置了servlet的上下文(context)和监听器(Listener); <!--上下文监听器,用于监听servlet的启动过程--> <listener> <description>ServletContext...
Spring Security授权过程
weixin_38927257的博客
11-20 1046
文章目录前言类图源码分析UsernamePasswordAuthenticationFilterAbstractAuthenticationProcessingFilterUsernamePasswordAuthenticationFilterAnonymousAuthenticationFilterExceptionTranslationFilterFilterSecurityIntercept...
Spring-Security框架的启动过程
weixin_42145727的博客
03-23 369
spring通过自动配置导入WebSecurityConfigurerAdapter扩展,然后实例化HttpSecurity,使用扩展对HttpSecurity进行配置,得到 完成配置后注入到DelegatingFilterProxy中,由DelegatingFilterProxyRegistrationBean添加到tomcat容器中,这样就能通过过滤器DelegatingFilterProxy找到FilterChainProxy完成过滤器的调用
Spring Security请求全过程解析
艾华生的博客
08-10 1277
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 这我们使用Spring Boot来集成Spring SecuritySpring Boot版本为2.5.3,Sprin
SpringSecurity登录和校验流程简述
最新发布
weixin_64618264的博客
05-20 826
第一步:验证用户名和密码正确性实现UserDetailsService接口重写其中的loadUserByUsername方法,从数据库查询用户名和密码,查询成功就返回一个UserDetails对象(因为重写的这个方法需要返回这个对象)如果要测试,需要往用户表中写入用户数据,并且如果你想让用户的密码是明文存储,需要在密码前加{noop}第二步 有了上面的准备工作后,就设置SpringSecurity拦截除了登陆接口的一系列接口了。
Spring Security入门Demo(IDEA工具)
的博客
04-29 878
Spring Security: 1.创建web工程 创建后工程目录 2.在pom.xml添加坐标和插件 <dependencies> <dependency> <groupId>org.springframework.security</groupId> <ar...
SpringSecurity源码解析
zjl1638908711的博客
10-21 1448
SpringSecurity源码浅解析
详解SpringSecurity启动流程
2301_76607156的博客
04-20 278
全部弄得明明白白,必须要精研源码,在初期,我们只要知道它的一条主脉络,在之后的使用中,哪出了问题你可以直接去定位到可能是哪有问题,这样就已经很好了,学习是一个循环渐进的过程。中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东西,也知道它到底是干什么用的,但是我们却不知道这个过滤器链是由什么类什么时候去怎么样创建出来的。其次,还有一个重点就是倒数第二行代码,我也加上了注释,我们一般在我们自定义的配置类中重写的就是这个方法,所以我们的自定义配置就是在这生效的。
Spring security登录过程逻辑详解
08-19
Spring Security 登录过程逻辑详解 Spring Security 是一个广泛使用的 Java 安全框架,提供了完善的身份验证和授权机制。本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity提供`Authentication`接口,用于处理身份验证过程。 - **Authorization**: 授权是指决定用户是否有权限访问某个资源。SpringSecurity支持基于角色的访问控制(RBAC)和其他授权模型。 - **Access ...
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程图 SpringSecurity系统启动流程 SpringSecurity调用流程
springboot+ spring security实现登录认证
05-04
首先,我们需要理解Spring Security的基本工作流程:当一个请求到达时,Spring Security会检查该请求是否经过了认证。如果没有,它会引导用户进行登录。一旦用户成功登录,Security会根据授权规则判断用户是否有权限...
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
SpringBoot成神之路--25.spring security的配置及使用
moxiaolin的博客
07-21 202
目录 一、springboot与安全 创建springboot项目 引入相关jar包 根据不同权限显示页面中不同的内容 开启“记住我功能” 跳转到我们的登录界面 设置自定义的记住我 一、springboot与安全 整合spring security 创建springboot项目 创建controller层 导入相关页面 启动,正常登陆没...
SpringSecurity简单使用
qq_43430343的博客
08-25 415
SpringSecurity shrio,SpringSecurity:认证,授权(VIP1,vip2…) 功能权限 访问权限 菜单权限 拦截器,过滤器:大量的原生代码,冗余 1、pom.xml <!--Thymeleaf--> <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5&
Spring Boot 中的 Spring Security 是什么,如何使用
程序员徐师兄的博客
07-06 1348
如果默认的认证和授权方式无法满足我们的需求,我们可以自定义认证和授权。例如,我们可以创建一个实现了} }} }} }} }} }} }在上面的服务类中,我们使用来查询用户信息,并将用户信息转换为对象返回。在返回对象时,我们可以使用方法将用户角色转换为授权列表。类似地,我们也可以创建一个实现了return;return;> clazz) {} }在上面的服务类中,我们使用接口的decide方法来判断用户是否有访问资源的权限。
Spring Security最简单全面教程(带Demo)
热门推荐
qq_37771475的博客
01-09 5万+
一、Spring Security简介        Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。   Spring Security主要是从两个方面解决安全性问...
springsecurity核心源码解析
json20080301的专栏
02-23 451
1.FilterChainProxy构造过程2.WebSecurityConfiguration将FilterChainProxy添加到spring容器 @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME) public Filter springSecurityFilterChain() thro...
运行时动态的开关 Spring Security
weixin_34183910的博客
12-18 653
为什么80%的码农都做不了架构师?>>> ...
springsecurity启动流程
06-06
Spring Security启动流程如下: 1. 首先,Spring Security会读取配置文件中的安全配置信息,包括认证方式、授权方式、角色权限等。 2. 接着,Spring Security会根据配置信息创建相应的过滤器链,用于处理请求的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值