源码解读Spring-Security之初始化启动

最新推荐文章于 2023-03-13 15:28:26 发布
最新推荐文章于 2023-03-13 15:28:26 发布
阅读量306 收藏 3
点赞数
分类专栏: SpringBoot SpringMVC Spring 文章标签: Spring-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqzkcx3/article/details/113405156
版权
Spring 同时被 3 个专栏收录
30 篇文章 2 订阅
订阅专栏
SpringBoot
12 篇文章 2 订阅
订阅专栏
SpringMVC
10 篇文章 1 订阅
订阅专栏

基于 SpringBoot2.4.2 + Spring-Security5.4.2。

1. 前言

对于Java Web应用开发,用到的安全框架通常就是在Shiro 和Spring-Security 中二选一。过往笔者选择的是 Shiro ,鉴于最近两年使用到的技术栈中Spring的权重越来越高,加之近期所参与的一个项目需求,遂决定加深以下对于Spring-Security的理解,做到"胸有成竹,遇事不慌"。

2. 测试用例

本次相关的测试用例源码笔者一并上传到了码云,部分源码摘抄自底部第一条参考链接,本文更关注于底层实现逻辑,不对这些入门注意事项再拾人牙慧。

得益于SpringBoot强大的封装,相关的配置性代码相当少,再机上SpringBoot官方提供的 Spring Initializr,更是进一步降低了初学者入门的门槛,吸引大量对某项技术感兴趣的技术人员 ,让SpringBoot进入一个滚雪球式的发展轨迹,这也给我们这类喜好阅读源码多了解一些细节的偏执狂一点提醒:“阅读源码时也是需要斟酌的,尽量挑一些流行,受众更广的技术栈来研究,阅读源码这类苦差事肯定得尽量挑一些高ROI的来做,否则怎么对得起自己”。

3. 源码解读

接下来让我们正式开始我们的源码解读之旅,作为本次旅程的起步,首先让我们看看SpringBoot对于Spring-Security的支持,也就是SpringBoot强大的AutoConfiguration

我们直接将目光定位到 spring-boot-autoconfigure-2.4.2.jar 中的META-INF/spring.factories文件,从中确定如下相关类:

  1. SecurityAutoConfiguration
  2. UserDetailsServiceAutoConfiguration
  3. SecurityFilterAutoConfiguration

接下来我们对这三个类的作用进行逐一介绍。

3.1 SecurityFilterAutoConfiguration

该配置类最大的用途是向Spring容器中注入一个占位Filter(DelegatingFilterProxyRegistrationBean),且为该占位Filter提供底层支撑的是被锁死为名为"springSecurityFilterChain"的Spring容器Bean。记住这个名称,之后我们会多次遇到它。

@Configuration(proxyBeanMethods = false)
@ConditionalOnWebApplication(type = Type.SERVLET)
@EnableConfigurationProperties(SecurityProperties.class)
@ConditionalOnClass({ AbstractSecurityWebApplicationInitializer.class, SessionCreationPolicy.class })
// 明确告知SpringBoot加载顺序
@AutoConfigureAfter(SecurityAutoConfiguration.class)
public class SecurityFilterAutoConfiguration {

	private static final String DEFAULT_FILTER_NAME = "springSecurityFilterChain";

	@Bean
	@ConditionalOnBean(name = DEFAULT_FILTER_NAME)
	public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration(
			SecurityProperties securityProperties) {
		DelegatingFilterProxyRegistrationBean registration = new DelegatingFilterProxyRegistrationBean(
				DEFAULT_FILTER_NAME);
		registration.setOrder(securityProperties.getFilter().getOrder());
		...
		return registration;
	}
}

相应的堆栈(Servlet容器视野):StandardContext.filterStart()
在这里插入图片描述

3.2 SecurityAutoConfiguration

一眼看上去,本类做了两件事:

  1. 直接向容器中注入AuthenticationEventPublisher接口实现类DefaultAuthenticationEventPublisher,作为框架观察者模式的实现,这样其它有需要的组件可以直接引用。
  2. 借助@Import注解向Spring容器中注入:
    1. SpringBootWebSecurityConfiguration 。内部类,借助Spring容器中已存在的HttpSecurity向容器中注入一个SecurityFilterChain实现类。(记住它,之后我们会提到)
    2. WebSecurityEnablerConfiguration。内部类,主要用于引入注解@EnableWebSecurity。启用时机为容器中缺少一个名为springSecurityFilterChain的Bean。(再次遇到这个名称)
    3. SecurityDataConfiguration。用于向Spring容器中注入一个SecurityEvaluationContextExtension实例。(注意:本例中并不会引入该Bean)

@EnableWebSecurity注解
关于本注解,牵扯的东西还不少,我们直接观察其定义:

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
// 以下引入的四个配置类
// 1. WebSecurityConfiguration
// 2. SpringWebMvcImportSelector 内部类, 向Spring容器中注入一个 WebMvcSecurityConfiguration 实例。
// 3. OAuth2ImportSelector 内部类, 根据当前classpath下引入的依赖, 决定与Oauth2相关的Bean引入.
// 4. HttpSecurityConfiguration  内部类, 用于构建一个HttpSecurity实例,进而构建出一个SecurityFilterChain实现类.
@Import({ WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class,
		HttpSecurityConfiguration.class })
@EnableGlobalAuthentication  // 关于这个注解的说明我们留到下篇博文
@Configuration
public @interface EnableWebSecurity {

	// 通过启用该属性,我们可以直观感受到Spring-Security是如何处理我们的请求的. 
	// 学习阶段强烈推荐开启.
	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;

}

关于以上@EnableWebSecurity注解引入的配置类,本次我们主要分析以下三个:

  1. WebSecurityConfiguration
    主要职责是借助WebSecurity创建一个FilterChainProxy实例(该实例间接是实现了 javax.servlet.Filter接口,且该实例在Spring容器中的名称为springSecurityFilterChain,这里就和上面的3.1小节呼应上了)。相关代码如下:

    // WebSecurityConfiguration.springSecurityFilterChain()
/**
 * 返回值将以 Servlet Filter的角色并入到Servlet执行流程中, 当请求到达该Filter时, Spring-Security提供的一系列功能才算正式开始生效.
 * Creates the Spring Security Filter Chain (Spring-Security FilterChain)
 * @return the {@link Filter} that represents the security filter chain
 * @throws Exception
 */
// 仔细观察这里的Bean名, 是不是很熟悉, 不过还没完, 一会我们还会看到它.
@Bean(name = "springSecurityFilterChain") 
public Filter springSecurityFilterChain() throws Exception {
	...

    // 这里的SecurityFilterChain接口名称是不是也很熟悉
	for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
		this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
		for (Filter filter : securityFilterChain.getFilters()) {
			if (filter instanceof FilterSecurityInterceptor) {
				this.webSecurity.securityInterceptor((FilterSecurityInterceptor) filter);
				break;
			}
		}
	}
	
... 

return this.webSecurity.build();
}

  2. WebMvcSecurityConfiguration
    本配置类主要是针对中的SpringMVC中的Controller层的参数检索,能够处理如下三类参数:

    1. 被注解AuthenticationPrincipal修饰的方法参数。相应处理类为:AuthenticationPrincipalArgumentResolver
    2. 被注解CurrentSecurityContext修饰的方法参数。相应处理类为:CurrentSecurityContextArgumentResolver
    3. 类型为CsrfToken的方法参数。相应处理类为:CsrfTokenArgumentResolver

  3. HttpSecurityConfiguration
    本配置类的主要职责是向Spring容器中注入一个HttpSecurity实例(注意的是该Bean的Scope为"prototype")。该实例将作为方法参数传入到我们前面提到的SpringBootWebSecurityConfiguration(负责构建注入到Spring容器中的SecurityFilterChain实例Bean)的唯一方法中,闭环形成

3.3 UserDetailsServiceAutoConfiguration

本类的作用是向Spring容器中注入一个UserDetailsService实现类,默认为基于内存的InMemoryUserDetailsManager,相关的配置项从配置类SecurityProperties中来(这也是为什么默认情况下我们登录密码看着和乱码一样,就是因为SecurityProperties默认使用UUID当作密码)。关于UserDetailsServiceUserDetails我们以后有机会再说。

4. 总结一下

SpringBoot + Spring-Security的组合下:

  1. 程序启动的初始阶段,借助SpringBoot的AutoConfiguration向容器中注入DelegatingFilterProxyRegistrationBeanHttpSecuritySecurityFilterChainFilterChainProxy实例。其中的依赖关系如下:
Bean依赖于配置类备注
DelegatingFilterProxyRegistrationBean隐式依赖于名为springSecurityFilterChain的BeanSecurityFilterAutoConfiguration该Bean的主要任务是在Servlet容器层面占据一个Filter位,等待请求逻辑到来,并引导请求进入到Spring-Security的处理体系下
HttpSecurityHttpSecurityConfiguration该类的继承链已经暗示了其职责是创建SecurityFilterChain的Builder。
SecurityFilterChainHttpSecuritySpringBootWebSecurityConfiguration该接口实现类封装了一类请求+相应的Filter集合
FilterChainProxySecurityFilterChainWebSecurityConfiguration该Bean在Spring容器中的名称被锁死为springSecurityFilterChain
  1. 作为ServletContextInitializer接口实现类的DelegatingFilterProxyRegistrationBean,SpringBoot会确保其作为Servlet Filter并入到Servlet容器的生命周期下。
  2. 启动完毕,等待接收用户请求到达DelegatingFilterProxyRegistrationBean代表的Servlet Filter。
  3. 结构图如下: ProcessOn

5. 最佳实践

  1. 学习过程中通过开启 @EnableWebSecurity(debug = true)将大幅降低学习曲线。
  2. 内部类org.springframework.security.config.annotation.web.builders.FilterComparator能够让你快速了解Spring-Security中内置的Filter有哪些,以及它们的组合顺序。

6. Links

  1. Spring Security小教程
  2. 【spring boot 系列】spring security 实践 + 源码分析
夫礼者
关注
专栏目录
spring boot,spring-security 自动配置源码分析
zhenghuangyu的博客
10-12 575
概述 最近使用了spring-boot整合spring-security,比较想知道spring-boot到底在里面给我配置了什么bean,以及我自己写的 UserDetailService 是怎么生效的。特地跟踪源码分析了一遍,在这里记录一下。 入口是spring-boot的自动装配 @EnableAutoConfiguration ,使用了这个注解spring-boot会加载spring.f...
官方原版源码 spring-framework-5.1.15.RELEASE.zip
05-06
2. 提升了性能,尤其是在初始化和装配阶段,通过优化算法和减少不必要的对象创建,提高了运行效率。 3. 强化了安全特性,包括对Spring Security的升级和集成,增强了对OAuth2、JWT等身份验证和授权机制的支持。 4. ...
spring-security-getting-start:http
05-05
Spring安全性样本 来源我遵循了 。 只有非常基本的设置和应用方法。 稍后,在阅读《 我打算将其应用于一个简单的项目。
SpringSecurity (1) Quickstart
O_o
05-02 1370
从简单的 Quickstart 开始... SpringSecurity 5 的快速入门案例。主要涉及 HttpSecurity 的 csrf,httpBasic,failureHandler 和 successHandler
Spring Security渐入佳境(一) -- Getting Start
分享技术,共同进步!
12-05 159
一、概念 Spring Security 是一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,应用的安全性包括用户认证(Authentication)、用户授权(Authorization)和 攻击防护(防止伪造身份)。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成...
Spring Security渐入佳境(一)[附] --SpringSecurity的基本原理及源码剖析
分享技术,共同进步!
09-06 219
知识预备 一、概念 Spring Security 是一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。...
springSecurity简单使用
qq_32865713的博客
09-10 377
目录 传统用户名登录流程 使用SpringSecurity的流程 一.maven导入依赖 二.在web.xml中配置过滤器(固定写法) 三.编写spring-security.xml文件 1.无数据库情况下使用spring-security 2.有数据库情况下的springSecurity.xml 四.创建对应的页面文件 五.创建业务类存入ioc容器,按上方配置的userSer...
官方原版源码spring-framework-5.0.10.RELEASE.zip
10-16
这个"官方原版源码spring-framework-5.0.10.RELEASE.zip"包含的是Spring Framework 5.0.10版本的源代码,这是一个重要的里程碑,因为它标志着该框架的一个稳定版本,适合开发人员进行深入学习和开发实践。...
java+spring-boot-jwt + spring security集成实战项目.zip
最新发布
08-17
1. **项目初始化**:使用Spring Initializr创建一个新的Spring Boot项目,添加所需的依赖如Spring Security和JWT库。 2. **配置Spring Security**:定义安全配置,设置允许匿名访问的URL和需要身份验证的URL。配置...
spring-security-jdbc
05-01
标题 "spring-security-jdbc" 指的是Spring Security框架中使用JDBC进行用户认证和授权的部分。Spring Security是一个强大且高度可定制的Java安全框架,它提供了全面的访问控制功能,用于保护基于Java的应用程序。在...
Spring Security 学习笔记(四)-- Spring Security应用详解
SuperArc1999的博客
01-03 405
4.1SpringBoot集成Spring Security 4.1.1SpringBoot介绍 略。 4.1.2创建SprngBoot工程 引入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependen
全网最详细 Spring Security 使用说明
Supreme_Sir的博客
07-11 917
项目开发过程中,几乎每一次的项目交付都会遇到系统认证与安全问题。而之前的方法都是“兵来将挡水来土掩”,没有一套完善的开发流程与规范,受尽折磨。所以这次借助开发新项目的机会,尝试了 Spring Security 框架来进行安全模块的开发。 pom.xml <!-- Spring security start --> <dependency> <groupId&g...
Spring Security -- Spring Boot中开启Spring Security
Graceful_scenery的博客
02-09 102
在介绍Spring Securiry之前,我们试想一下如果我们自己去实现一个安全框架,我们需要包含哪些功能: 我们需要对登录接口或者一些不需要权限的接口放行,同时我们需要对某些接口进行身份认证,例如:在基于jwt的认证体系中,我们需要校验token是否合法,token合法我们才会放行; 我们希望我们写的安全框架能够做一些授权的操作,比如:我们可以限制认证后的用户访问/user接口需要什么权限,...
SpringBootWebSecurityConfiguration
Leon_Jinhai_Sun的博客
05-04 1235
这个类是 spring boot 自动配置类,通过这个源码得知,默认情况下对所有请求进行权限控制: @Configuration(proxyBeanMethods = false) @ConditionalOnDefaultWebSecurity @ConditionalOnWebApplication(type = Type.SERVLET) class SpringBootWebSecurityConfiguration { @Bean @Order(SecurityProperties.BAS
springBoot-Security启动过程分析
凌晨12点,说出你的知心话
04-09 411
前言 spring-security是基于Servlet的,也就是基于Filter。 只要添加了Filter,在web应用请求这个filter就会被应用。 需要注意Filter的顺序。 Springboot中配置的Spring-SecurityFilter spring-security应用前提:需要配置一个Filterspringboot + spring-security...
Spring Boot 引入 Spring Security
qq_43011496的博客
04-20 1970
关于 spring security 官网链接, 本次示例使用的版本为5.6.3:https://docs.spring.io/spring-security/reference/index.html spring boot 项目中引入 spring security, maven坐标如下: <dependency> <groupId>org.springframework.boot</groupId> <a.
SpringSecurity使用数据库的用户数据做认证
xsgnzb的专栏
03-13 600
InMemoryUserDetailsManager 初始化的位置是在UserDetailsServiceAutoConfiguration 配置文件里。所以,我们提供UserDetailsService Bean之后,配置就会自动失效。这是实例,要注意接口约定loadUserByUsername方法不能返回null,所以找不到用户时要抛UsernameNotFoundException 异常。
Spring Security登录账户自定义与数据持久化(5)
weixin_43831002的博客
08-03 1052
在前面的案例中,我们的登录用户是基于配置文件来配置的(本质是基于内存),但是在实际开发中,这种方式肯定是不可取的,在实际项目中,用户信息肯定要存入数据库之中。Spring Security支持多种用户定义方式,接下来我们就逐个来看一下这些定义方式。...
Spring Boot整合Spring Security(七)基于内存的用户认证
时雨吹雪的博客
02-09 742
关于Spring Security中如何使用内存管理用户名和密码的
SpringSecurity源码解析:DelegatingFilterProxy的关键与早期初始化
如果为空,程序会尝试从WebApplicationContext中获取并初始化`delegate`,这是因为Spring Security希望尽早初始化过滤器链,以便在应用启动过程中能够顺利执行安全策略。如果根WebApplicationContext还没有启动,`...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值