spring security-源码流程分析(一)

最新推荐文章于 2024-06-28 16:26:27 发布
最新推荐文章于 2024-06-28 16:26:27 发布
阅读量814 收藏 1
点赞数
分类专栏: spring security 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoxiaomei999/article/details/123131703
版权

spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在

环境

springboot: 2.3.4.RELEASE
spring security :spring-boot-starter-security版本跟随springboot

一、springboot默认自动配置了security,我们看下security相关类都是在什么情况下加载的

在这里插入图片描述
如上图,securityAutoConfiguration是spirngboot自动配置文件中的类
在这里插入图片描述

二、security各相关类的继承关系

在这里插入图片描述

三、服务启动创建相关对象

1、首先创建的是WebSecurityConfigurerAdapter对象
在这里插入图片描述
2、创建AuthenticationConfiguration对象,并根据@Bean注解分别创建了GlobalAuthenticationConfigurerAdapter 、InitializeUserDetailsBeanManagerConfigurer(继承GlobalAuthenticationConfigurerAdapter) 、InitializeAuthenticationProviderBeanManagerConfigurer(继承GlobalAuthenticationConfigurerAdapter)

@Configuration(proxyBeanMethods = false)
@Import(ObjectPostProcessorConfiguration.class)
public class AuthenticationConfiguration {

	private AtomicBoolean buildingAuthenticationManager = new AtomicBoolean();

	private ApplicationContext applicationContext;

	private AuthenticationManager authenticationManager;

	private boolean authenticationManagerInitialized;

	private List<GlobalAuthenticationConfigurerAdapter> globalAuthConfigurers = Collections
			.emptyList();

	private ObjectPostProcessor<Object> objectPostProcessor;

	@Bean
	public AuthenticationManagerBuilder authenticationManagerBuilder(
			ObjectPostProcessor<Object> objectPostProcessor, ApplicationContext context) {
		LazyPasswordEncoder defaultPasswordEncoder = new LazyPasswordEncoder(context);
		AuthenticationEventPublisher authenticationEventPublisher = getBeanOrNull(context, AuthenticationEventPublisher.class);

		DefaultPasswordEncoderAuthenticationManagerBuilder result = new DefaultPasswordEncoderAuthenticationManagerBuilder(objectPostProcessor, defaultPasswordEncoder);
		if (authenticationEventPublisher != null) {
			result.authenticationEventPublisher(authenticationEventPublisher);
		}
		return result;
	}

	@Bean
	public static GlobalAuthenticationConfigurerAdapter enableGlobalAuthenticationAutowiredConfigurer(
			ApplicationContext context) {
		return new EnableGlobalAuthenticationAutowiredConfigurer(context);
	}

	@Bean
	public static InitializeUserDetailsBeanManagerConfigurer initializeUserDetailsBeanManagerConfigurer(ApplicationContext context) {
		return new InitializeUserDetailsBeanManagerConfigurer(context);
	}

	@Bean
	public static InitializeAuthenticationProviderBeanManagerConfigurer initializeAuthenticationProviderBeanManagerConfigurer(ApplicationContext context) {
		return new InitializeAuthenticationProviderBeanManagerConfigurer(context);
	}

3、创建AuthenticationManagerBuilder ,如下图,创建DefaultPasswordEncoderAuthenticationManagerBuilder(内部类,继承AuthenticationManagerBuilder)
在这里插入图片描述
4、创建WebSecurityConfiguration
在这里插入图片描述
5、创建webSecurity
6、创建Filter(调用webSecutity的build方法)
在这里插入图片描述
build方法会进入父类的doBuild
在这里插入图片描述
次时SecurityConfigurer类型的configurers只有webSecurityConfigurerAdapter
在这里插入图片描述
进入webSecurityConfigurerAdapter的init方法
在这里插入图片描述
进入getHttp方法

	protected final HttpSecurity getHttp() throws Exception {
		if (http != null) {
			return http;
		}

	
		//代码片段001
		AuthenticationManager authenticationManager = authenticationManager();
		authenticationBuilder.parentAuthenticationManager(authenticationManager);
		Map<Class<?>, Object> sharedObjects = createSharedObjects();

		http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
				sharedObjects);
		if (!disableDefaults) {
			// @formatter:off
			http
				.csrf().and()
				.addFilter(new WebAsyncManagerIntegrationFilter())
				.exceptionHandling().and()
				.headers().and()
				.sessionManagement().and()
				.securityContext().and()
				.requestCache().and()
				.anonymous().and()
				.servletApi().and()
				.apply(new DefaultLoginPageConfigurer<>()).and()
				.logout();
			// @formatter:on
			ClassLoader classLoader = this.context.getClassLoader();
			List<AbstractHttpConfigurer> defaultHttpConfigurers =
					SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);

			for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
				http.apply(configurer);
			}
		}
		//可以留给子类重写
		configure(http);
		return http;
	}

=========================================================================================
进入代码片段001
在这里插入图片描述
在这里插入图片描述
进入build方法类似之前进入的build,三个配置分别调用init方法
在这里插入图片描述
重点关注InitializeUserDetailsBeanManagerConfigurer的init方法,主要加载了UserDetailService接口实现类,以及PasswordEncoder接口实现类
在这里插入图片描述
至此,代码片段一基本结束

程序员-晨夕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security源码解析(二)
qq_40577332的博客
05-31 1219
上篇文章已经简述了Spring Security是什么和Spring Security的整体架构设计,下面我们分析一下Spring Security流程源码,进一步的加深对Spring Security的了解。 Spring Security流程源码解析 上篇文章中已经提到Spring Security主要的类和接口分别为DetegatingFilterProxy、FilterChainProxy和SecurityFilterChain,对于主流程源码解析主要围绕这些类进行。本篇文章是根据S..
spring-security-web源码所需jar包
12-03
Spring Security Web源码解析与相关依赖》 Spring Security Web是Spring Security框架的重要组成部分,它主要负责Web应用程序的安全性,包括认证和授权等核心功能。本文将深入探讨Spring Security Web的源码,并...
Spring Security源码分析十:初识Spring Security OAuth2
郑龙飞
01-20 2465
OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息。更多OAuth2
Spring Security基本源码解析(超精细版)
最新发布
边走、边悟、迟早变好
06-28 632
Spring 是非常流行和成功的 Java 应用开发框架, Spring Security 正是 Spring 家族中的 成员。 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。
Spring Security 源码分析
snkkka163的博客
07-26 402
Spring Security 源码分析 1.Spring Security基本执行流程分析: 现在假设我们要发送一个新的请求给我们的项目,默认我们的项目已经配置了Spring Security 这个请求会先进入 1.UsernamePasswordAuthenticationFilter: 验证我们的请求中是否有这个过滤器所需要的信息,比如说账号密码 如果说带了账号密码,那将会尝试使用这些参数进行登录,如果没有带这个过滤器所需要的参数,那就往下走,进入BasicAuthenticationFilter
spring security源码分析_DelegatingFilterProxy
crazygeek_的专栏
11-20 738
SpringSecurity3源码分析 web.xml中的过滤器:DelegatingFilterProxy        springSecurityFilterChain        org.springframework.web.filter.DelegatingFilterProxy          springSecurityFilterChain      
Spring Security源码分析01.
x.1000001000的博客
01-29 109
安全框架主要实现: 提示:认证和授权 例如: 1、 掌握认证和授权 2、 剖析源码 入门案例: 搭建一个springboot的web工程主要依赖如下: 编写一个测试接口: 通过浏览器url访问该接口: 默认登录用户:user 密码控制台打印的: 这样就完成了一个简单的入门级demo。 security的基本原理: security的本质上一个过滤器链: 重点是三个过滤器: (1)FilterSecurityInterceptor::是一个方法级的权限过滤器, 基本位于过滤链的最底部。 查看源码
SpringBoot_SpringSecurity-源码.rar
10-10
SpringBoot_SpringSecurity-源码.zip 这个压缩包文件主要包含了SpringBoot集成SpringSecurity源码分析SpringBoot是Java开发中一个流行的轻量级框架,它简化了配置和应用部署,使得开发者可以快速搭建应用程序。...
spring-security-oauth2
03-17
Spring Security OAuth2将两者结合,为开发人员提供了一种安全、灵活的方式来实现OAuth2授权流程。 一、Spring Security OAuth2概述 Spring Security OAuth2是Spring Security框架的一个扩展,旨在支持OAuth2协议...
spring-security-oauth2源码
06-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect...通过阅读和分析`spring-security-oauth-master`中的源码,可以更深入地了解其实现细节,有助于在实际项目中灵活运用和定制。
SpringSecurity-从入门到精通 demo源码
06-21
​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证和授权。 ​ 认证:验证当前访问系统的...
Spring Security源码分析
not_say的博客
03-31 815
参考链接(主要参考此系列文章,截图和补充总结等由debug程序、阅读源码得出) https://juejin.im/post/5d8d66aee51d45783f5aa49e 一、三句话解释框架原理 1、整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy 2、核心过滤器里面是过滤器链(列表),过滤器链的...
SpringSecurity源码分析
吴大侠的博客
11-27 198
一、过滤器链加载源码 1.1 过滤器链加载流程分析 1.2 过滤器链加载流程源码分析 1.2.1 spring boot启动中会加载spring.factories文件, 在文件中有对应针对Spring Security的过滤器链的配置信息 # 安全过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.Security...
spring-security(一)源码分析
yiguang_820的博客
02-14 251
分析UsernamePasswordAuthenticationFilter。
Spring Security源码解析
ThisLX的博客
11-01 414
1、SecurityContextPersistenceFilter: SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回S...
Spring Security 源码分析(一):过滤器链
ywb201314的专栏
03-22 487
实例 调用apply方法获取中的配置,并调用buildinit();/*** 内部配置初始化*//*** 配置逻辑*/可以看到构建操作为将通过apply方法应用进来的配置分别初始化和构建,链条为。中的(认证管理器生成配置)、(过滤器管理器生成配置)、(过滤器生成配置) 都是继承通过这个链条生成目标对象,这 3 个配置也是的配置核心。
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值