Spring Security 从入门到精通之环境搭建与HelloWorld案例源码详解(二)

已于 2022-06-07 18:50:29 修改
阅读量254 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java spring boot
于 2022-06-07 18:49:05 首次发布
本文为博主原创文章版权归作者和CSDN共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/javaee_gao/article/details/125170791
版权

文章目录

1.前言

在上一篇文章:Spring Security 从入门到精通之架构理解 我们熟悉了Spring Security授权、认证基本概念,下面将搭建HelloWorld入门案例。

2. HelloWorld快速入门

由于Spring Security 与 Spring 生态无缝衔接,所以在Spring Boot中只需引入web与security的依赖即可,依赖如下所示:

<!--Spring boot Web容器-->
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
</dependency>
 
<!--引入SpringSecurity依赖-->
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后我们添加一个测试类并在类中新增一个方法如下所示:
在这里插入图片描述
然后启动项目,当访问此接口时会自动跳转到登陆页面,当我们登陆成功才可以访问到此接口。
在这里插入图片描述
默认Spring Security 内置了一个用户账户:user,其默认密码在项目控制台可以看到如下:
在这里插入图片描述
当输入用户名和密码后登陆成功后,就可以直接访问接口了。这样一个简单的入门案例就完成了。

3. 入门案例分析

3.1 自动配置分析

只需要引入相关依赖,Spring Security 默认就将我们的接口给保护起来了,必须认证才能继续访问,那么 Spring Security 是如何做到的呢?首先我们需要关注一下 Spring Boot 自动配置Spring Security类 SecurityAutoConfiguration 如下所示:
在这里插入图片描述
我们看到这个类默认导入了SpringBootWebSecurityConfiguration(web Security的默认配置类),此类定义内容如下所示:
在这里插入图片描述
通过上面defaultSecurityFilterChain 方法我们可以看到其默认对任何请求开启了认证。这也是我们默认在Spring Boot项目中引入Spring Security 后接口需要认证才可以访问的根本原因。3.1.2 章节我们提到了Spring Security 过滤器原理。defaultSecurityFilterChain 默认返回的是一个SecurityFilterChain 实例,我们可以看看其默认配置的filter有如下15个:
在这里插入图片描述

过滤器作用说明
过滤器过滤器作用是否默认加载
ChannelProcessingFilter过滤请求协议如Http与Https
WebAsyncManagerIntegrationFilter将WebAsyncManager与 Spring Security 进行集成
SecurityContextPersistenceFilter在处理请求前,将安全信息加载到SecurityContextHolder中以方便后续使用,请求结束再从SecurityContextHolder删除
HeaderWriterFilter头信息加入响应中
CorsFilter处理跨域问题
CsrfFilter 处理CSRF攻击
LogoutFilter注销登陆
OAuth2AuthorizationRequestRedirectFilter处理Oauth2认证重定向
Saml2WebSsoAuthenticationRequestFilter处理SAML认证
X509AuthenticationFilter处理X509认证
AbstractPreAuthenticatedProcessingFilter处理预认证
CasAuthenticationFilter处理CAS单点登录
OAuth2LoginAuthenticationFilter处理Oauth2认证
Saml2WebSsoAuthenticationFilter处理SAML认证
UsernamePasswordAuthenticationFilter处理表单认证
OpenIDAuthenticationFilter处理OpenID认证
DefaultLoginPageGeneratingFilter配置默认登陆页面
DefaultLogoutPageGeneratingFilter配置默认注销页面
ConcurrentSessionFilter处理Session有效期
DigestAuthenticationFilter处理Http摘要认证
BearerTokenAuthenticationFilter处理Oauth2认证时的Access Token
BasicAuthenticationFilter处理Http Basic认证
RequestCacheAwareFilter处理请求缓存
SecurityContextHolderAwareRequestFilter包装原始请求
JaasApiIntegrationFilter处理JAAS认证
RememberMeAuthenticationFilter处理记住我认证
AnonymousAuthenticationFilter配置匿名认证
OAuth2AuthorizationCodeGrantFilter处理Oauth2中的授权码
SessionManagementFilter处理Session并发问题
ExceptionTranslationFilter处理异常认证/授权中的情况
FilterSecurityInterceptor处理授权
SwitchUserFilter处理账户切换

Spring Security 内置了30个过滤器,在我们一个Hello World案例中默认启动了15个,Spring Security正是通过这些过滤器来实现其认证与授权。下面我们大概了解一下 Spring Security 的过滤器实现。

3.2 过滤器原理分析

Spring Security 认证模块、授权模块都是基于过滤器完成的,需要注意的是Spring Security默认并不是直接使用web Servlet容器中的Filter,而是实现了自己的过滤器并提供了一个DelegatingFilterProxy类,这个类会将Spring Security定义的过滤器转化为原生的Servlet容器中的Filter,并将这个Filter注册到原生过滤器链(Servlet容器过滤器链)中,如下图所示:
在这里插入图片描述
Spring Security中过滤器不仅仅只有一个,可能会有多个并组成一个滤器链。所以Spring Security 提供了一个SecurityFilterChain 用来管理多个过滤器。而这个过滤器了链又被一个特殊的过滤器 FilterChainProxy统一管理,此过滤器内嵌在DelegatingFilterProxy中,如下图所示:
在这里插入图片描述
Spring Security 可以通过不同的请求url 形成多个过滤器链路,多个过滤器需要指定优先级。当请求到达DelegatingFilterProxy中通过FilterChainProxy进行分发,匹配上那些过滤器链就用那些过滤器处理请求。
在这里插入图片描述

3.3 登陆页面生成源码分析

首先我们知道Spring Security 的认证与授权都是基于过滤器完成的,当我们在浏览器中输入:http://127.0.0.1:8001/helloWorld 后,这条请求先后都会经过默认启用的15个过滤器。
我们通过Debug 源码可以跟踪其登陆流程,关键跟踪源代码节点如下:

  • FilterSecurityInterceptor拦截请求并抛出AccessDeniedException。

首先helloWorld请求经过若干过滤器后,最终到达过滤器FilterSecurityInterceptor#doFilter方法
在这里插入图片描述
doFilter 方法调用了本类的invoke方法,接着调用了父类AbstractSecurityInterceptor的beforeInvocation方法的如下所示:
在这里插入图片描述
父类beforeInvocation方法调用了自己的attemptAuthorization方法,方法定义如下:
在这里插入图片描述
此方法调用了访问决策器接口的decide方法,此方法实现是由类AffirmativeBased实现如下所示:
在这里插入图片描述
投票器AccessDecisionVoter 投了反对票,所以此方法抛出了AccessDeniedException异常。

  • 抛出AccessDeniedException异常被ExceptionTranslationFilter捕获并交由LoginUrlAuthenticationEntryPoint类处理并重定向到登陆页面。

请求抛出的异常被ExceptionTranslationFilter捕获并调用了handleSpringSecurityException方法进行处理如下:
在这里插入图片描述
在这个方法中又调用了handleAccessDeniedException方法如下所示:
在这里插入图片描述
然后接着调用了sendStartAuthentication方法如下所示:
在这里插入图片描述
接着调用了在sendStartAuthentication方法中继续调用了类的authenticationEntryPoint实例#commence方法如下:
在这里插入图片描述
此实例是由LoginUrlAuthenticationEntryPoint类实现,我们关注其commence方法如下所示:
在这里插入图片描述
可以清晰看到请求重定向 http://127.0.0.1:8001/login。然后这个请求又要过一次过滤器链直到DefaultLoginPageGeneratingFilter的doFilter方法如下所示:
在这里插入图片描述
在这个方法中response输入了一个静态的html代码,所以我们就能看到最开始登陆的页面:
在这里插入图片描述
整个流程总结如下所示:
在这里插入图片描述

3.4 默认用户与密码生成源码分析

Spring Security中定义了UserDetailsService接口规范开发者自定义的用户对象接口查询,这样很方便用户将系统集成Spring Security 认证体系中,此接口只有一个查询用户详情的方法:
在这里插入图片描述
此方法参数只有一个username参数,注意这里的username并不是前端表单输入的用户名而是用户登陆成功后返回的用户名。在实际项目中,需要用户手动实现UserDetailsService。在HelloWorld案例中Spring Security提供了UserDetailsService接口的默认实现。
在这里插入图片描述
当我们只引入了Spring Security依赖,UserDetailsService 默认实现为InMemoryUserDetailsManager。此类提供了用户新增、删除、更新方法,这些方法都是基于内存实现(用户信息保存在Map中)。
在这里插入图片描述
再回到上面提到的UserDetailsService#loadUserByUsername 返回了一个用户详情对象,此对象接口提供了如下方法:
在这里插入图片描述
Spring Security 默认配置UserDetailsService的实现类为UserDetailsServiceAutoConfiguration。
在这里插入图片描述
在上面的代码中我们不难发现,InMemoryUserDetailsManager默认实现条件(@ConditionalOnClass、@ConditionalOnBean、@ConditionalOnMissingBean注解),在inMemoryUserDetailsManager方法中我们可以看到默认初始化的用户信息来自于类SecurityProperties,这个类是Spring Security属性配置类,类定义如下所示:
在这里插入图片描述
这个类中内部维护一个用户对象,用户类定义如下:
在这里插入图片描述
在这里我们就很清晰了解了为什么Spring Security内置的用户名是user,以及密码是长长的UUID字符串原因了。由于SecurityProperties是一个属性配置类,所以我们可以在项目配置文件自定义用户属性(覆盖默认的用户信息)。

Galen-gao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-从入门到精通.ppt
11-19
Spring-从入门到精通.ppt
SpringSecurity-从入门到精通文章的源码文件
10-25
SpringSecurity-从入门到精通文章的源码文件
Spring Security 表单配置(
青春逝如流水
01-10 417
Spring Security 表单配置,用户名密码认证逻辑
HelloWorld深入源码了解SpringSecurity底层逻辑
写写平时的技术与感想
05-25 1526
为什么引⼊之后没有任何配置所有请求就要认证呢?这就不得不提SpringBoot的默认配置类, 这个类是⾃动配置类,通过这个源码得知,默认情况下对所有请求进⾏权限控制。这就是为什么在引⼊ Spring Security 中没有任何配置情况下,请求会被拦截的原因!classpath中存在条件⼆ 没有⾃定义默认情况下,条件都是满⾜的。这个类极其重要,核⼼配置都在这个类中如果要对进⾏⾃定义配置,就要⾃定义这个类实例,通过覆盖类中⽅法达到修改默认配置的⽬的对于。
Spring Security 核心过滤器链分析
weixin_33725515的博客
12-27 859
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器链中,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤链的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,会在运行...
Spring Security(一) —— 整体架构与入门案例分析
eyes++的博客
07-22 505
Spring Security的架构设计中,认证和授权是分开的,无论使用什么样的认证方式。都不会影响授权,这是两个独立的存在,这种独立带来的好处之一,就是可以非常方便地整合一些外部的解决方案。.........
新版 Spring Security 配置的变化
在计算机领域混战了5年的java开发工程师,正在向全栈奋斗的路上。目前在学习和分享:Java,springboot,spring,vue,系统开发,服务器运维(可做毕业设计)等相关知识。
04-10 4277
现在过滤器链的配置,我们通过提供一个 SecurityFilterChain Bean 来配置过滤器链,SecurityFilterChain 是一个接口,这个接口只有一个实现类 DefaultSecurityFilterChain,构建 DefaultSecurityFilterChain 的第一个参数是拦截规则,也就是哪些路径需要拦截,第个参数则是过滤器链,这里我给了一个空集合,也就是我们的 Spring Security 会拦截下所有的请求,然后在一个空集合中走一圈就结束了,相当于不拦截任何请求。
SpringSecurity(十)过滤器链分析(上)
陈橙橙
03-16 1907
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器链。因为Spring Security中的所有功能都是通过过滤器链来实现的,这些过滤器组成一个完整的过滤器链。那么这些过滤器链是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
Spring Security源码(一)springSecurityFilterChain的创建与运行
Instanceztt的博客
11-30 1808
整个框架的核心就是构建一个名字为的过滤器Bean,它的类型是。底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用完成认证 ,通过调用完成授权。
Spring Security详解】第一章 | 概述
不堪提
09-26 3304
理解Spring Security,让我们从入门、到理解、最终吊打面试官!
SpringSecurity-从入门到精通 demo源码
06-21
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有...
spring 从入门到精通
08-25
压缩包内包含了众多spring学习资料如:Spring从入门到精通.pdf ,spring+framework+2.5+reference_CN.chm, Acegi(spring_security)培训.ppt, spring事务.pdf,Spring_Framework-3-AOP.ppt,Spring-Hibernate_...
Spring4.0从入门到精通hellospring
12-07
Spring4.0从入门到精通hellospring 原版本地址http://www.tutorialspoint.com/spring/spring_hello_world_example.htm 这个是我翻译完以后的
SpringBoot项目打包分离高阶操作
Record Little
04-23 575
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
SpringCloudAlibaba:2.1nacos
最新发布
m0_63040701的博客
04-26 494
Nacos是阿里巴巴开源的服务注册中心以及配置中心Nacos=注册中心Eureka + 服务配置Config + 服务总线Bus。
Spring声明式事务(@Transactional)原理之-ProxyTransactionManagementConfiguration
良月柒
04-26 511
在传统的编程模型中,我们需要在代码中显式地编写事务管理逻辑,包括事务的开始、提交、回滚等。而在声明式事务管理模型中,我们可以通过注解或者XML配置的方式,将事务管理逻辑与业务逻辑分离开来,使得我们只需要专注于业务逻辑的实现,而不需要关心事务管理的细节。@Transactional注解就是用来实现声明式事务管理的重要工具之一。
每日一题:Spring 框架中都用到了哪些设计模式❓
lhcong_的博客
04-24 282
总之,Spring 框架中充分利用了许多设计模式,提供了良好的扩展性和灵活性,降低了代码的耦合度,提高了代码的可维护性。
SpringBoot JPA使用
gochenguowei的博客
04-25 697
Spring 框架提供的一个模块,用于简化与关系型数据库的交互和数据访问。它基于JPA(Java Persistence API)标准,并提供了一组易于使用的API和工具,帮助开发人员更轻松地进行数据库操作。通过Spring Data JPA,开发人员可以通过编写简洁的代码来执行常见的 CRUD 操作,同时还支持高级查询、分页、事务管理等功能。它的目标是提供一种更简单、更高效的方式来处理数据库操作,减少开发人员的工作量,并提高应用程序的可维护性和可扩展性。
SpringCloud Ribbon介绍
赵先森
04-26 294
Ribbon 是 Spring Cloud 技术栈中非常重要的基础框架,它为 Spring Cloud 提供了负载均衡的能力,比如 Fegin 和 OpenFegin 都是基于 Ribbon 实现的,就连 Nacos 中的负载均衡也使用了 Ribbon 框架。
spring boot从入门到精通
10-21
从入门到精通Spring Boot,首先需要掌握以下几个关键的概念和技能: 1. 了解Spring框架的基本原理和特性,包括依赖注入、控制反转等核心概念; 2. 学习Spring Boot的基本结构和配置方式,包括主应用程序类、自动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值