SpringSecurity源码学习(二)

最新推荐文章于 2024-05-03 17:37:02 发布
最新推荐文章于 2024-05-03 17:37:02 发布
阅读量352 收藏
点赞数
分类专栏: SpringSecurity源码 文章标签: spring-security 源码 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ifeengwd2012/article/details/60761549
版权

前言

本章讨论SpringSecurity中的构建器。

构建器

SecurityBuilder< O>

构建器的顶级接口,下文中所有”构建器”指的就是它或它的子类。只有一个方法:

O build() throws Exception;

ps:泛型O,指的是被构建的对象的类型。

AbstractSecurityBuilder< O>

构建器接口抽象实现。主要做的事情是,保证在多线程的情况下,只构建一次对象。

这里没有使用synchronized,而是使用jdk中高大上的解决线程同步的方法:cas。当然这个不是我们讨论的重点。要记住的是继承了AbstractSecurityBuilder的构建器,在多线程的情况下只会创建一次,具体创建的方法是:

//build()--->doBuild();
protected abstract O doBuild() throws Exception;

ps:泛型O,指的是被构建的对象的类型。

AbstractConfiguredSecurityBuilder< O, B extends SecurityBuilder< O>>

可配置的构建器。PS:O还是指的是被构建的对象类型,而B指的是构建O这个对象的构建器的类型。

它的几个重要的属性:

    //构建器的配置器的集合
    LinkedHashMap configurers;
    //构建器的配置器共享的对象
    HashMap sharedObjects;
    //后置处理器
    ObjectPostProcessor objectPostProcessor

configurers属性的要注意的是,它的add方法叫:apply(configurer);这个在后面还会常用到。
在它的父类中,我们就知道,build委托给doBuild()来做具体的构建工作,而前者主要负责多线程情况下不重复创建。那么这个方法在子类中是怎样实现的呢?如下:

    @Override
    protected final O doBuild() throws Exception {
        synchronized (configurers) {
            buildState = BuildState.INITIALIZING;

            beforeInit();
            init();

            buildState = BuildState.CONFIGURING;

            beforeConfigure();
            configure();

            buildState = BuildState.BUILDING;

            O result = performBuild();

            buildState = BuildState.BUILT;

            return result;
        }
    }

典型“模版方法”设计模式。父类定义步骤及顺序,具体实现由子类完成。当然,这里init()和configure()父类已经给出了实现,无需子类实现:

    private void init() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.init((B) this);
        }
        //ps:老实说,写这篇文章的时候,configurersAddedInInitializing和configurers还不是很清楚...
        for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {
            configurer.init((B) this);
        }
    }
    private void configure() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.configure((B) this);
        }
    }

我们在看下它的继承关系:

这里写图片描述

三个子类,都是非常非常非常重要的构建器。

  1. AuthenticationManagerBuilder,用来构建授权管理器
  2. WebSecurity,用来构建“过滤器链的代理”
  3. HttpSecurity,用来构建“过滤器链”

AuthenticationManagerBuilder

看它的结构:

这里写图片描述

注意到它实现了ProviderManagerBuilder< AuthenticationManagerBuilder>接口,这个接口是用来构建ProviderManager。ProviderManager是AuthenticationManager的子类。

AuthenticationManagerBuilder的功能是创建AuthenticationManager

WebSecurity

它是为了创建“过滤器链代理”,即:FilterChainProxy对象。

这里写图片描述

正是FilterChainProxy的创建,触发了HttpSecurity的构建。

FilterChainProxy

一个SecurityFilterChain对象就是一个“过滤器链代理”,它包含了多条过滤器链。当请求来的时候,迭代这些链,看哪条链能处理该请求就将请求交给此链处理,其他链不再处理。

WebSecurityConfiguration

WebSecurity的构建是由它触发的。在前面我们知道,这个配置类是被@EnableWebSecurity注解导入的。

    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
    public Filter springSecurityFilterChain() throws Exception {
        boolean hasConfigurers = webSecurityConfigurers != null
                && !webSecurityConfigurers.isEmpty();
        if (!hasConfigurers) {
            WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
                    .postProcess(new WebSecurityConfigurerAdapter() {
                    });
            webSecurity.apply(adapter);
        }
        return webSecurity.build();
    }

分析构建过程:

这里写图片描述

1、WebSecurityConfiguration 触发了构建过程

2、AbstractSecurityBuilder 保证在多线程情况下只构建一次

3、AbstractConfiguredSecurityBuilder 定义了构建的模版

4、WebSecurityConfigurerAdapter是构建时要使用的配置类(其中init()方法创建了HttpSecurity)

5、WebSecurity负责最终构建出FilterChainProxy

6、最终WebSecurityConfiguration将它放在容器中准备接受委派。

HttpSecurity

它是为了构建过滤器链。即:DefaultSecurityFilterChain。DefaultSecurityFilterChain才是真正用来处理请求的。所以用到了很多组件。


这里写图片描述

看它的构建过程:


这里写图片描述

这个是重点,后面详细讨论。

ifeengwd2012
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解 WebSecurityConfigurerAdapter【源码篇】(1),毕业设计软件技术
2401_84159813的博客
04-08 773
SecurityBuilder 就是用来构建过滤器链的,在 HttpSecurity 实现 SecurityBuilder 时,传入的泛型就是 DefaultSecurityFilterChain,所以 SecurityBuilder#build 方法的功能很明确,就是用来构建一个过滤器链出来,但是那个过滤器链是 Spring Security 中的。,另一个则是 securityFilterChainBuilders,也就是我们通过 HttpSecurity 配置的过滤器链,有几个就算几个。
Security配置生效源码分析
Xjzzon的博客
02-19 786
文章概述 本文主要解决几个问题: security配置生效的入口是哪里 我们平时写的security配置是如何被调用的 为什么我们写的配置需要继承WebSecurityConfigurerAdapter HttpSecurity和WebSecurity是干嘛用的 配置核心类 启动Security,需要在启动类上添加@EnableSecurity注解 @SpringBootApplication @EnableWebSecurity public class ThingsboardApp {
Spring Security Config : AbstractConfiguredSecurityBuilder
ywb201314的专栏
03-21 249
在生命周期基础之上实现并final了基类定义的抽象方法#doBuild,将构建划分为三个主要阶段#init,#configure,#performBuild;对 #init/#configure阶段提供了前置回调#beforeInit/#beforeConfigure空方法供基类扩展;// 构建过程配置方法 : 调用所有 SecurityConfigurer 的 #configure 配置方法。// 构建过程初始化方法 : 调用所有 SecurityConfigurer 的 #init 初始化方法。
Spring Security 配置原理
菜鸟的博客
07-17 302
Spring Security 配置原理 原理解析 前置知识 SecurityBuilder<O>【构建者】 Spring Security 用【构建者】来构建【目标对象】 package org.springframework.security.config.annotation; public interface SecurityBuilder<O> { O build() throws Exception; } AbstractConfiguredSecurity
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity源码
05-29
学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...
spring security 源码
05-28
本篇文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
Spring security oauth源码
10-28
在实际开发中,你可以根据这些源码学习如何自定义OAuth流程,例如实现自己的授权策略、令牌存储方式,或者集成其他认证机制如OpenID Connect。同时,了解这些源码也有助于调试和解决Spring Security OAuth在实际项目...
深入理解 WebSecurityConfigurerAdapter【源码篇】
最新发布
2401_84446580的博客
05-03 860
资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。http.and()[外链图片转存中…(img-FhMlKjMO-1714729010990)][外链图片转存中…(img-yXxArca0-1714729010992)]资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。
5.深入理解HttpSecurity的设计
飘然渡沧海的博客
03-06 375
深入理解HttpSecurity的设计
史上最烂 spring security 原理分析
红衣女妖仙的博客
08-07 877
spring security 简介、核心组件、初始化流程、认证初始化、授权初始化、认证流程、授权流程  spring security 是一个。。。巴拉巴拉一大堆。其和 shiro 怎么怎么样。。。又巴拉巴拉一大堆。  spring security 核心组件主要由 SecurityBuilderSecurity Exception、Authenticate、Authorize、Authentication、SecurityContext、SecurityContextHolder、SecurityCo
Spring Security源码学习——建造者基础架构
clyu的博客
09-14 243
参考文章Spring Security源码(一):整体框架设计 前言 Spring Security整个框架的核心就是构建一个名字为 springSecurityFilterChain 的过滤器Bean,它的类型是 FilterChainProxy 它整个框架主要由 建造者 和 配置器 构成,在服务启动时就是 通过配置器对建造者进行配置 ,配置完成再由建造者创建出核心过滤。 本文主要讲的就是他的建造者 建造者的顶级接口是整体SecurityBuilder,而他的基本架构实现是AbstractConfigu
SpringSecurity(十)过滤器链分析(上)
陈橙橙
03-16 2011
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器链。因为Spring Security中的所有功能都是通过过滤器链来实现的,这些过滤器组成一个完整的过滤器链。那么这些过滤器链是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
【第六篇】深入理解SecurityConfigurer源码
波波烤鸭的博客
04-29 1892
深入理解SecurityConfigurer 一、SecurityConfigurer   SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的内容中曾经多次提到过, Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。所以我们也需要对 SecurityConfigurer 理解清楚. // O(De.
Java泛型让声明方法返回子类型
热门推荐
Dream It Possible
06-05 1万+
泛型典型的使用场景是集合。考虑到大多数情况下集合是同质的(同一类型),通过声明参数类型,可免去类型转换的麻烦。本文将讨论本人阅读Spring Security源码时遇到的一个关于泛型递归模式的问题。 声明方法返回子类型在Spring Security源码里有一个ProviderManagerBuilder接口,声明如下public interface ProviderManagerBuilder<
AbstractStringBuilder源码分析
李闰土的博客
11-26 3519
AbstractStringBuilder源码分析简介 这个抽象类是StringBuilder和StringBuffer的直接父类,而且定义了很多方法,因此在学习这两个类之间建议先学习 AbstractStringBuilder抽象类 该类在源码中注释是以JDK1.5开始作为前两个类的父类存在的,可是直到JDK1.8的API中,关于StringBuilder和StringBuffe
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析了Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值