SpringSecurity源码学习(一)

最新推荐文章于 2024-06-28 16:26:27 发布
最新推荐文章于 2024-06-28 16:26:27 发布
阅读量735 收藏 2
点赞数 1
分类专栏: SpringSecurity源码 文章标签: spring-security java 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ifeengwd2012/article/details/60749227
版权

前言

本文讨论基于java配置的SpringSecurity源码学习。

从Servlet3.0谈起

Servlet3.0以后推荐使用基于java的方式来配置servlet容器,以替代传统的web.xml.

ServletContainerInitializer

容器会在类路径下找实现了javax.servlet.ServletContainerInitializer接口的类,如果能发现的话就使用它来配置servlet容器。替代传统的web.xml的功能。

SpringServletContainerInitializer

Spring提供了Servlet标准接口的实现类:SpringServletContainerInitializer,这个类牛逼之处在于:又会在”类路径”下查找实现了WebApplicationInitizer接口的所有类,并将真正配置的任务委托给它来实现。具体源码如下,注意看它的参数含义:

    /*
     * @param webAppInitializerClasses all implementations of
     * {@link WebApplicationInitializer} found on the application classpath
     * @param servletContext the servlet context to be initialized
     */
    @Override
    public void onStartup(Set<Class<?>> webAppInitializerClasses, ServletContext servletContext) {
                .....
    }

AbstractSecurityWebApplicationInitializer

这个类是SpringSecurity提供的WebApplicationInitializer的子类。主要做的事情就是:创建DelegatingFilterProxy(“过滤器链代理的委派”),本质上它就是一个过滤器,默认name=springSecurityFilterChain,urlPatterns=/*。意味着,所有的请求都要经过SpringSecurity的处理(包括静态资源哦)

    public final void onStartup(ServletContext servletContext) throws ServletException {
        beforeSpringSecurityFilterChain(servletContext);
        if (this.configurationClasses != null) {
            AnnotationConfigWebApplicationContext rootAppContext = new AnnotationConfigWebApplicationContext();
            rootAppContext.register(this.configurationClasses);
            servletContext.addListener(new ContextLoaderListener(rootAppContext));
        }
        if (enableHttpSessionEventPublisher()) {
            servletContext.addListener(
                    "org.springframework.security.web.session.HttpSessionEventPublisher");
        }
        servletContext.setSessionTrackingModes(getSessionTrackingModes());
        //这里就是具体的创建并向Servlet容器中注册
        insertSpringSecurityFilterChain(servletContext);
        afterSpringSecurityFilterChain(servletContext);
    }

DelegatingFilterProxy

过滤器链代理的委派。前面提到,它本质上是一个Filter,并且它拦截了所有的请求。它其实是SpringSecurity权限管理的入口。它既然是Filter,那么我们就看下它的doFilter()是怎么处理请求的:

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {

        // Lazily initialize the delegate if necessary.
        Filter delegateToUse = this.delegate;
        if (delegateToUse == null) {
            synchronized (this.delegateMonitor) {
                if (this.delegate == null) {
                    WebApplicationContext wac = findWebApplicationContext();
                    if (wac == null) {
                        throw new IllegalStateException("No WebApplicationContext found: " +
                                "no ContextLoaderListener or DispatcherServlet registered?");
                    }
                    //去spring的web容器中找name=springSecurityFilterChain的bean
                    this.delegate = initDelegate(wac);
                }
                delegateToUse = this.delegate;
            }
        }

        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegateToUse, request, response, filterChain);
    }

所以从这里可以看出,它确实是一个“代理”,它接受到请求之后,将请求委派给spring web容器中name=springSecurityFilterChain的bean。

从@EnableWebSecurity谈起

基于java配置的SpringSecurity,一般都有这么一个配置类:

@EnableWebSecurity
@ComponentScan("fn.wd.security")
public class SpringSecurityConfiger extends WebSecurityConfigurerAdapter {
    ...
}

@EnableWebSecurity其实是一个复合注解

@Import({ WebSecurityConfiguration.class, ObjectPostProcessorConfiguration.class,
        SpringWebMvcImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {}

啰嗦一下,@Import就类似于xml配置文件中的,后者用于导入其他配置文件(xml),前者用于导入其他配置类(.class)。
所以从这可以看出,这个注解其实导入了三个配置类。

ObjectPostProcessorConfiguration

被导入的配置类之一,很简单,就创建了一个AutowireBeanFactoryObjectPostProcessor。

    @Bean
    public ObjectPostProcessor<Object> objectPostProcessor(
            AutowireCapableBeanFactory beanFactory) {
        return new AutowireBeanFactoryObjectPostProcessor(beanFactory);
    }

AutowireBeanFactoryObjectPostProcessor

它是ObjectPostProcessor的一个实现类,作用是,当手动创建一个对象后(一般手动指的是new xxx()),使用这个后置处理器,为手动创建的类完成依赖注入的功能。

举个例子:

    Class A implements BeanFactoryAware{
        private BeanFactory beanFactory;

        public void setBeanFactory(BeanFactory beanFactory){
            this.beanFactory=beanFactory;
        }

        ...
    }

    Class App{
        public static void main(String[] args){
            //a是手动创建的,虽然是实现了BeanFactoryAware,但是Spring才不会搭理你
            A a=new A();

            //假设这里获得了那个后置处理器
            autowireBeanFactoryObjectPostProcessor.process(a);

            //这样a就能享受spring依赖注入的待遇了

        }
    }

这个类还是比较重要的。后面会经常用到。关于这个类,知道它是做什么的就好了。

SpringWebMvcImportSelector

被导入的配置类之一,也比较简单,判断当前是不是SpringMVC环境(看看DispactherServlet在不在类路径下),如果是的话,导入SpringMVC的配置类:WebMvcSecurityConfiguration。

WebSecurityConfiguration

导入的配置类之一。这个算是整个SpringSecurity的配置类了。看它做了些什么?

1). 创建AutowiredWebSecurityConfigurersIgnoreParents

创建了一个AutowiredWebSecurityConfigurersIgnoreParents对象,并放入容器中: 

@Bean
public AutowiredWebSecurityConfigurersIgnoreParents autowiredWebSecurityConfigurersIgnoreParents(
            ConfigurableListableBeanFactory beanFactory) {
        return new AutowiredWebSecurityConfigurersIgnoreParents(beanFactory);
    }

这个类是干什么用的呢?
答:获取Spring Web容器中的所有类型为WebSecurityConfigurer的bean。源码如下:

public List<SecurityConfigurer<Filter, WebSecurity>> getWebSecurityConfigurers() {
        List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers = new ArrayList<SecurityConfigurer<Filter, WebSecurity>>();
        Map<String, WebSecurityConfigurer> beansOfType = beanFactory
                .getBeansOfType(WebSecurityConfigurer.class);
        for (Entry<String, WebSecurityConfigurer> entry : beansOfType.entrySet()) {
            webSecurityConfigurers.add(entry.getValue());
        }
        return webSecurityConfigurers;
    }

2). 设置FilterChainProxy的构建器

获取spring web容器中“过滤器链代理”的所有“配置器”,并将其设置到“过滤器链代理”的“构建器”中。

@Autowired(required = false)
public void setFilterChainProxySecurityConfigurer(
            ObjectPostProcessor<Object> objectPostProcessor,
@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
            throws Exception {
            ...
}

注意:这里有一个spel的高阶用法:

@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}")

它的意思是,获取容器中的name=autowiredWebSecurityConfigurersIgnoreParents的bean对象,将其getWebSecurityConfigurers()的返回值注入到webSecurityConfigurers属性中。

3). 创建过滤器链代理

前面谈到,“过滤器链代理的委派”过滤器将接受到的请求转发给“过滤器链代理”来处理,那这个过滤器链代理是在哪里创建的呢?诺,就在这,创建出来的bean的name正是:springSecurityFilterChain

    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public Filter springSecurityFilterChain() throws Exception {
        boolean hasConfigurers = webSecurityConfigurers != null
                && !webSecurityConfigurers.isEmpty();
        if (!hasConfigurers) {
            WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
                    .postProcess(new WebSecurityConfigurerAdapter() {
                    });
            webSecurity.apply(adapter);
        }
        return webSecurity.build();
    }
ifeengwd2012
关注
专栏目录
SpringSecurity源码学习(六)
ifeengwd2012的博客
03-11 1322
本文讨论HttpSecurity这个构建器中的配置器在HttpSecurity构建SecurityChainFilter的过程中做的事情。
【第二篇】SpringSecurity源码详解
筱白爱学习!的博客
06-06 857
SpringSecurity中的核心组件
spring security 源码
05-28
关于spring security 源码的研究及详细资料的讨论,等一些设计理念。最好的文档是源码
spring security源码
qq_42338293的博客
03-21 138
我们在使用spring security时发现配置了一个过滤器 <!--security的过滤器--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
Spring Security基本源码解析(超精细版)
最新发布
边走、边悟、迟早变好
06-28 723
Spring 是非常流行和成功的 Java 应用开发框架, Spring Security 正是 Spring 家族中的 成员。 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。
Spring Security源码
moernagedian的博客
03-17 554
WebSecurityConfigurerAdapter已废弃,官方推荐使用HttpSecurity 或WebSecurity。new DebugFilter(filterChainProxy)对filterChainProxy进行装饰。可以通过@EnableWebSecurity(debug = true)开启debug模式。都继承了SecurityBuilder。
spring-security源码
09-04
基于SpringSecurity4.2.2权限框架搭建教程的详细源码,实现用户登录时,验证其合法性,并通过security访问数据库可以获取到相对应角色和资源信息存储到SecurityContext里面等功能。
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity源码
05-29
学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
Spring Security 源码
12-07
Spring Security 安全权限管理源码
Spring security oauth源码
10-28
在实际开发中,你可以根据这些源码学习如何自定义OAuth流程,例如实现自己的授权策略、令牌存储方式,或者集成其他认证机制如OpenID Connect。同时,了解这些源码也有助于调试和解决Spring Security OAuth在实际项目...
Spring Security源码分析
sober_pluto的博客
06-19 944
SpringSecurity源码分析
Spring Security源码解析(一)
qq_40577332的博客
05-30 3364
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
SpringSecurity源码分析
凉茶铺的博客
07-18 2590
在整个过滤器链中,FilterSecurityInterceptor是来处理整个用户授权流程的,也是距离用户API最后一个非常重要的过滤器链,所以下面我们主要针对用户授权来看下源码是如何实现的?在整个过滤器链中,UsernamePasswordAuthenticationFilter是来处理整个用户认证的流程的,所以下面我们主要针对用户认证来看下源码是如何实现的?在整个过滤器链中,CsrfFilter是起到csrf防护的,所以下面我们主要针对记住我看下源码是如何实现的?...
SpringSecurity源码解读
weixin_30412577的博客
01-10 458
1.前言 官方解释如下 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security ...
Spring Security源码阅读(1)
xl十一的博客
10-21 591
Spring Security 文章目录Spring Security1. 介绍功能2. 核心组件2.1 核心接口AuthenticationAuthenticationManagerAuthenticationProviderUserDetails和UserDetailsServiceSecurityContext和SecurityContextHolder2.2 过滤器链过滤器:UsernamePasswordAuthenticationFilter抽象父类:AbstractAuthentication
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析了Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值