Spring Boot 和Spring Security

最新推荐文章于 2023-06-05 20:51:09 发布
最新推荐文章于 2023-06-05 20:51:09 发布
阅读量185 收藏
点赞数
分类专栏: Spring原理 文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyongscys/article/details/90443314
版权

本文是描述Spring Boot 与Spring Security在web环境下相关的学习笔记,偏向于原理性质。

在Spring Boot下,它其中包含了security的自动配置是  SecurityAutoConfiguration和SecurityFilterAutoConfiguration

要使用Spring Securty,就会使用注解EnableWebSecurity 来开启安全控制,从这个注解的源码中,可以看到它import 了 WebSecurityConfiguration

Spring Security的入口过滤器是如何放入web容器的?

Spring Security是依赖Filter,而它的入口Filter是在SecurityFilterAutoConfiguration中使用DelegatingFilterProxyRegistrationBean 将

DelegatingFilterProxy 过滤器放入到web容器中并命名为springSecurityFilterChain

根据DelegatingFilterProxy的原理,那肯定存在一个springSecurityFilterChain的bean,这个bean是在WebSecurityConfiguration中定义注入的。 

	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();  //1
	}

Spring Security的系列过滤器是怎么加上的?

入口点实际是上面代码的 webSecurity.build() ,经过层层查看代码,可以看到最终调用的了一个init方法,即:org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#init

	public void init(final WebSecurity web) throws Exception {
		final HttpSecurity http = getHttp();
		web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
			public void run() {
				FilterSecurityInterceptor securityInterceptor = http
						.getSharedObject(FilterSecurityInterceptor.class);
				web.securityInterceptor(securityInterceptor);
			}
		});
	}

进入getHttp方法中,我们可以看到如下一段代码(仅截取了一部分):

		if (!disableDefaults) {
			// @formatter:off
			http
				.csrf().and()
				.addFilter(new WebAsyncManagerIntegrationFilter())
				.exceptionHandling().and()
				.headers().and()
				.sessionManagement().and()
				.securityContext().and()
				.requestCache().and()
				.anonymous().and()
				.servletApi().and()
				.apply(new DefaultLoginPageConfigurer<>()).and()
				.logout();
			// @formatter:on

到这里就比较清晰了,它的这些默认加载的过滤器实际上是在这里配置的,并且这里还包含一个配置参数来控制disableDefaults

默认值为false。

对于刚接触的朋友们,我们可能有一个疑问:这不是调用了些方法吗,这与过滤器有什么关系呢? 带着疑问我们接着往下看

我们可以进入一个方法来具体看看,比如 csrf ,它返回的是CsrfConfigurer 也就是说它使用了该配置器,

然后进入CsrfConfigurer类的configure 方法,就可以看到它是使用了CsrfFilter 过滤器。

     
	@Override
	public void configure(H http) throws Exception {

		CsrfFilter filter = new CsrfFilter(this.csrfTokenRepository);


		RequestMatcher requireCsrfProtectionMatcher = getRequireCsrfProtectionMatcher();
		if (requireCsrfProtectionMatcher != null) {
			filter.setRequireCsrfProtectionMatcher(requireCsrfProtectionMatcher);
		}
		AccessDeniedHandler accessDeniedHandler = createAccessDeniedHandler(http);
		if (accessDeniedHandler != null) {
			filter.setAccessDeniedHandler(accessDeniedHandler);
		}
		LogoutConfigurer<H> logoutConfigurer = http.getConfigurer(LogoutConfigurer.class);
		if (logoutConfigurer != null) {
			logoutConfigurer
					.addLogoutHandler(new CsrfLogoutHandler(this.csrfTokenRepository));
		}
		SessionManagementConfigurer<H> sessionConfigurer = http
				.getConfigurer(SessionManagementConfigurer.class);
		if (sessionConfigurer != null) {
			sessionConfigurer.addSessionAuthenticationStrategy(
					new CsrfAuthenticationStrategy(this.csrfTokenRepository));
		}
		filter = postProcess(filter);
		http.addFilter(filter);
	}

参考资料:

https://www.jianshu.com/p/d5ce890c67f7

https://www.jianshu.com/p/e21c436543af

https://blog.csdn.net/qq_35494808/article/details/81537415

https://blog.csdn.net/liushangzaibeijing/article/details/81220610

liyongscys
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring BootSpring Security4最新整合实例
08-09
1​.​ ​使​用​S​p​r​i​n​g​ ​S​e​c​u​r​i​t​y​管​理​用​户​身​份​认​证​、​登​录​退​出​ ​ ​2​.​ ​用​户​密​码​加​密​及​验​证​ ​ ​3​.​ ​采​用​数​据​库​的​方​式​实​现​S​p​r​i​n​g​ ​S​e​c​u​r​i​t​y​的​r​e​m​e​m​b​e​r​-​m​e​功​能​ ​ ​4​.​ ​获​取​登​录​用​户​信​息
Spring BootSpring Security应用例子
08-12
当构建一个安全的Web应用程序时,使用Spring BootSpring Security可以大大简化开发过程。以下是一个示例项目,展示了如何使用这些框架来实现基本的安全功能。 构建安全的Web应用程序:一个示例项目 1. 项目准备 首先,确保你已经在项目中集成了Spring BootSpring Security。可以使用Maven或Gradle来添加依赖。在pom.xml中添加以下依赖: xml Copy code <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2. 配置Spring Security .
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1302
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
Spring BootSpring Security
微瞰技术的博客
09-05 1042
Spring Security  Spring Security是专门针对基于Spring的项目的安全框架,充分利用了依赖注入和AOP来实现安全的功能,在早期的Spring Security的版本,使用Spring Security需要使用大量的XML配置,而SpringBoot中将全部基于Java配置和注解来实现Spring Security的功能 安全框架有两个重要概念,即认证(Authen
SpringBootSpring Security权限控制
qq_25864719的博客
01-20 549
Spring Security权限控制 简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求 特征: 全面和可扩展的身份验证和授权支持 防御会话固定,点击劫持,跨站点请求伪造等攻击 Servlet API集成 与Spring Web
Spring BootSpring Security
暗星涌动
06-05 2027
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全解决方案,包括认证、授权、攻击防护等功能,可以轻松地集成到Spring应用程序中,保护应用程序的安全性。Spring Security的主要作用是保护Web应用程序的安全性,包括用户身份验证、授权、防止跨站请求伪造(CSRF)、防止会话固定攻击等。在使用Spring Security时,我们可以配置安全策略、用户角色、访问控制等,从而实现对Web应用程序的安全保护。
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8134
SpringSecurity总结
Spring boot security 一些原理探讨
技术专家
05-25 284
一、Spring Security简介 1、什么是Spring Security? Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场...
29-SpringBoot 安全与SpringSecurity
鸣鼓ming的博客
07-09 1091
Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的 安全管理。几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启WebSecurit
Spring Boot与安全(Spring Security)
OY
10-04 251
博客中涉及的源码,下载地址在博客文章底部,有需要的小伙伴自行下载 一、简介 ​ SpringSecurity 是针对Spring项目的安全框架,也是Spring Boot底层安全模块的技术选项。他可以实现强大的web安全控制。对于安全控制,我们需要引入spring-boot-starter-securiy模块。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId.
基于spring bootspring security的媒资编目系统源码.zip
07-08
项目实现了基于Spring Boot搭建的web媒资编目系统 具有以下功能: 用户、项目、任务管理 基于RBAC架构的权限控制 编目、审核功能 未来计划集成功能: Elasticsearch全文检索 基于音频内容提取的自动化粗编目...
spring boot jpa security
05-08
#boot-jpa-security-dmdb-freemark spring boot spring security 达梦数据库 ftl assembly 打包
springBootspring security 版本对应关系
快乐的小三菊的博客
11-23 1万+
springBootspring security 版本对应关系
SpringBoot - Spring Security详解(一)
记录并分享
06-12 360
Spring Security 是一种基于Spring AOP、Servlet过滤器的、相对复杂的安全管理框架,功能比 Shiro 更加强大,权限控制细粒度更高,对 OAuth 2 的支持也更友好。它同时在WEB请求和方法调用时处理身份确认和授权。由于 Spring Security 源自 Spring 家族,因此可以和 Spring 框架无缝整合,在Spring Boot 中提供了自动化的配置方案,可以让 Spring Security 的使用更加便捷。...
SpringBoot+Spring Security安全框架整合与初探
baicha的博客
01-07 2810
SpringBoot+Spring Security安全框架整合与初探 市面上存在比较有名的安全框架:Shiro,Spring SecuritySpring Security官网介绍 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applicat
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
spring security 入门
sharedwithyou的专栏
09-21 351
之前没做过什么权限认证,这次做的项目是基于spring MVC的,在权限这块用的了S
简介SpringSecurity+Spring Boot整合
ErHa_lodman的博客
01-17 482
Spring Security 一、Spring security简介 spring security 的核心功能主要包括: 认证(你是谁) 授权(你能做什么) 攻击防护(防止伪造身份) ​ 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QDSKdhh0-1642
node-v12.20.1-sunos-x64.tar.xz
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
spring boot整合springsecurity
05-18
下面是整合Spring BootSpring Security的基本步骤: 1. 在pom.xml文件中添加Spring Security依赖项: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ``` 2. 创建一个类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值