SpringSecurity - 启动流程分析(一)

已于 2022-08-02 16:26:25 修改
阅读量1.1k 收藏 6
点赞数 2
分类专栏: # SpringSecurity 学习 文章标签: SpringSecurity
于 2022-07-21 01:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaohao0206/article/details/125863741
版权

概述

SpringBoot - 简单集成 SpringSecurity 这篇文章中,我们知道只要在配置类上加上 @EnableWebSecurity 注解,就可以使我们的应用有一个默认配置的安全校验。接下我们就以 @EnableWebSecurity 为入口跟踪一下 Spring 在底层为我们做了哪些工作。

@EnableWebSecurity

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
@Documented
@Import({WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class, HttpSecurityConfiguration.class})
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
    boolean debug() default false;
}

@EnableWebSecurity 使我们拥有了 SpringSecurity 的能力,并为 IoC 容器 中导入了几个配置类,比较重要的一个配置是:WebSecurityConfiguration,我们来看一下 WebSecurityConfiguration 为我们做了哪些工作

WebSecurityConfiguration

这里忽略了一些非主流程的代码,我们只需要关心重要流程

@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {

	// 在 setFilterChainProxySecurityConfigurer 方法中初始化
	private WebSecurity webSecurity;

	private Boolean debugEnabled;

	private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;

	private List<SecurityFilterChain> securityFilterChains = Collections.emptyList();

	private List<WebSecurityCustomizer> webSecurityCustomizers = Collections.emptyList();

	private ClassLoader beanClassLoader;

	@Autowired(required = false)
	private ObjectPostProcessor<Object> objectObjectPostProcessor;

	@Bean
	@DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public SecurityExpressionHandler<FilterInvocation> webSecurityExpressionHandler() {
		return this.webSecurity.getExpressionHandler();
	}

	/**
	 * Creates the Spring Security Filter Chain
	 * @return the {@link Filter} that represents the security filter chain
	 * @throws Exception
	 */
	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		// 如果我们自定义了配置类,这里就为 true
		boolean hasConfigurers = this.webSecurityConfigurers != null && !this.webSecurityConfigurers.isEmpty();
		// 默认 securityFilterChain 为空,所以这里为 false
		boolean hasFilterChain = !this.securityFilterChains.isEmpty();
		Assert.state(!(hasConfigurers && hasFilterChain),
				"Found WebSecurityConfigurerAdapter as well as SecurityFilterChain. Please select just one.");
		if (!hasConfigurers && !hasFilterChain) {
			WebSecurityConfigurerAdapter adapter = this.objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			this.webSecurity.apply(adapter);
		}
		for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
			this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
			for (Filter filter : securityFilterChain.getFilters()) {
				if (filter instanceof FilterSecurityInterceptor) {
					this.webSecurity.securityInterceptor((FilterSecurityInterceptor) filter);
					break;
				}
			}
		}
		// WebSecurity 的一些自定义配置
		for (WebSecurityCustomizer customizer : this.webSecurityCustomizers) {
			customizer.customize(this.webSecurity);
		}
		// 最后调用 WebSecurity 的 build 方法(重点)!!!
		// 整篇文章都在讲这个 build 方法,截止到文章末尾,这个方法也就走完了
		return this.webSecurity.build();
	}

	 // 设置实例的 WebSecurity 属性,以及 webSecurityConfigurers
	@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(ObjectPostProcessor<Object> objectPostProcessor,
			// 获取 WebSecurityConfigurers,配置类集合
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
			// 先创建一个 WebSecurity 对象
		this.webSecurity = objectPostProcessor.postProcess(new WebSecurity(objectPostProcessor));
		if (this.debugEnabled != null) {
			this.webSecurity.debug(this.debugEnabled);
		}
		// 对配置类集合进行排序
		webSecurityConfigurers.sort(AnnotationAwareOrderComparator.INSTANCE);
		...
		
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
			// 将配置类中的信息加入到 WebSecurity 中
			this.webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}

	// 这里的 securityFilterChains 为 null
	@Autowired(required = false)
	void setFilterChains(List<SecurityFilterChain> securityFilterChains) {
		// 设置 securityFilterChains  属性
		this.securityFilterChains = securityFilterChains;
	}

	// 这里的 webSecurityCustomizers 也为 null
	@Autowired(required = false)
	void setWebSecurityCustomizers(List<WebSecurityCustomizer> webSecurityCustomizers) {
		this.webSecurityCustomizers = webSecurityCustomizers;
	}

	// 获取配置类集合:WebSecurityConfigurers
	@Bean
	public static AutowiredWebSecurityConfigurersIgnoreParents autowiredWebSecurityConfigurersIgnoreParents(
			// 这里会自动注入:ConfigurableListableBeanFactory
			ConfigurableListableBeanFactory beanFactory) {
		return new AutowiredWebSecurityConfigurersIgnoreParents(beanFactory);
	}

	...
}

我们首先查看一下 AutowiredWebSecurityConfigurersIgnoreParents

AutowiredWebSecurityConfigurersIgnoreParents

public final class AutowiredWebSecurityConfigurersIgnoreParents {

	private final ConfigurableListableBeanFactory beanFactory;

	AutowiredWebSecurityConfigurersIgnoreParents(ConfigurableListableBeanFactory beanFactory) {
		Assert.notNull(beanFactory, "beanFactory cannot be null");
		this.beanFactory = beanFactory;
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public List<SecurityConfigurer<Filter, WebSecurity>> getWebSecurityConfigurers() {
		List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers = new ArrayList<>();
		// 获取容器中类型为:WebSecurityConfigurer 的 Bean
		Map<String, WebSecurityConfigurer> beansOfType = this.beanFactory.getBeansOfType(WebSecurityConfigurer.class);
		for (Entry<String, WebSecurityConfigurer> entry : beansOfType.entrySet()) {
			webSecurityConfigurers.add(entry.getValue());
		}
		return webSecurityConfigurers;
	}

}

通过 Debug 可以看到,getWebSecurityConfigurers 方法返回的就是我们继承自 WebSecurityConfigurerAdapter 的自定义配置类。

核心流程WebSecurityConfiguration 中的 springSecurityFilterChain() 方法,创建了一个名为 springSecurityFilterChain 的 Bean,同时如果我们没有自定义配置的话,会初始化一个 WebSecurityConfigurerAdapter 作为 WebSecurity

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
	boolean hasConfigurers = this.webSecurityConfigurers != null && !this.webSecurityConfigurers.isEmpty();
	boolean hasFilterChain = !this.securityFilterChains.isEmpty();
	Assert.state(!(hasConfigurers && hasFilterChain),
			"Found WebSecurityConfigurerAdapter as well as SecurityFilterChain. Please select just one.");
	if (!hasConfigurers && !hasFilterChain) {
		// 没有自定义配置类的话,会初始化一个 WebSecurityConfigurerAdapter
		WebSecurityConfigurerAdapter adapter = this.objectObjectPostProcessor
				.postProcess(new WebSecurityConfigurerAdapter() {
				});
		this.webSecurity.apply(adapter);
	}
	...

	// 核心流程,返回一个 Filter
	return this.webSecurity.build();
}

接下来会调用 WebSecuritybuild() 方法,来建立一个 Filter 对象对我们的请求进行拦截,从 Spring 官方文档 中我们知道,这里的 Filter 并不是 Servlet 中一个普通的 Filter 这么简单,这个 Filter 是一个代理的 FilterDelegatingFilterProxy),里面还会有过滤器链(SecurityFilterChain

在这里插入图片描述

AbstractConfiguredSecurityBuilder

在查看 WebSecurity 中的 build 方法之前,我们先来看一下 apply 方法,入参在没有自定义配置的时候是 WebSecurityConfigurerAdapter

// AbstractConfiguredSecurityBuilder

public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception {
	add(configurer);
	return configurer;
}

private <C extends SecurityConfigurer<O, B>> void add(C configurer) {
	Assert.notNull(configurer, "configurer cannot be null");
	Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer
			.getClass();
	synchronized (this.configurers) {
		if (this.buildState.isConfigured()) {
			throw new IllegalStateException("Cannot apply " + configurer + " to already built object");
		}
		List<SecurityConfigurer<O, B>> configs = null;
		if (this.allowConfigurersOfSameType) {
			configs = this.configurers.get(clazz);
		}
		configs = (configs != null) ? configs : new ArrayList<>(1);
		configs.add(configurer);
		// 保存配置类集合
		this.configurers.put(clazz, configs);
		if (this.buildState.isInitializing()) {
			this.configurersAddedInInitializing.add(configurer);
		}
	}
}

AbstractSecurityBuilder

WebSecuritybuild() 方法:

@Override
public final O build() throws Exception {
	if (this.building.compareAndSet(false, true)) {
		this.object = doBuild();
		return this.object;
	}
	throw new AlreadyBuiltException("This object has already been built");
}

// 由子类实现
protected abstract O doBuild() throws Exception;

// AbstractConfiguredSecurityBuilder

// 第一次进入这个方法,`this.configurers` 应该是我们自定义的配置类,如果没有自定义配置类,那应该是 `WebSecurityConfigurerAdapter`
@Override
protected final O doBuild() throws Exception {
	synchronized (this.configurers) {
		this.buildState = BuildState.INITIALIZING;
		beforeInit();
		// 核心流程1
		init();
		this.buildState = BuildState.CONFIGURING;
		beforeConfigure();
		configure();
		this.buildState = BuildState.BUILDING;
		// 核心流程2
		O result = performBuild();
		this.buildState = BuildState.BUILT;
		return result;
	}
}

// init() 方法调用的是自定义配置类的 init() 方法
private void init() throws Exception {
	Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
	for (SecurityConfigurer<O, B> configurer : configurers) {
		// 核心流程,这里的 init 方法,走的是 WebSecurityConfigurerAdapter 中的 init 方法
		configurer.init((B) this);
	}
	for (SecurityConfigurer<O, B> configurer : this.configurersAddedInInitializing) {
		configurer.init((B) this);
	}
}

protected abstract O performBuild() throws Exception;

WebSecurity

@Override
protected Filter performBuild() throws Exception {
	// 这里的 securityFilterChainBuilders 那里来的,还不能为空?
	Assert.state(!this.securityFilterChainBuilders.isEmpty(),
			() -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "
					+ "Typically this is done by exposing a SecurityFilterChain bean "
					+ "or by adding a @Configuration that extends WebSecurityConfigurerAdapter. "
					+ "More advanced users can invoke " + WebSecurity.class.getSimpleName()
					+ ".addSecurityFilterChainBuilder directly");
	int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
	List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);
	for (RequestMatcher ignoredRequest : this.ignoredRequests) {
		securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
	}
	// 这里的 securityFilterChainBuilders 经过上面的 init 方法之后,里面是一个 HttpSecurity
	for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {
		// 这里通过 HttpSecurity 的 build 方法,转换为了 SecurityFilterChain,在源码中可以看到 build 方法最终返回的是 DefaultSecurityFilterChain
		securityFilterChains.add(securityFilterChainBuilder.build());
	}

	// 把上面收集到的 securityFilterChains 赋值给 FilterChainProxy
	FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
	if (this.httpFirewall != null) {
		filterChainProxy.setFirewall(this.httpFirewall);
	}
	if (this.requestRejectedHandler != null) {
		filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);
	}
	filterChainProxy.afterPropertiesSet();

	Filter result = filterChainProxy;
	if (this.debugEnabled) {
		this.logger.warn("\n\n" + "********************************************************************\n"
				+ "**********        Security debugging is enabled.       *************\n"
				+ "**********    This may include sensitive information.  *************\n"
				+ "**********      Do not use in a production system!     *************\n"
				+ "********************************************************************\n\n");
		result = new DebugFilter(filterChainProxy);
	}
	this.postBuildAction.run();
	return result;
}

这里保留一个疑问:performBuild() 方法中 securityFilterChainBuilders 哪里来的?

WebSecurityConfigurerAdapter

WebSecurity 中的 build() 方法会调用 WebSecurityConfigurerAdapter 类的 init() 方法:

@Override
public void init(WebSecurity web) throws Exception {
	// 获取 HttpSecurity
	HttpSecurity http = getHttp();
	// 核心流程 addSecurityFilterChainBuilder,就是把 HttpSecurity 给添加到了 WebSecurity 的 securityFilterChainBuilder 属性中
	web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
		FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);
		web.securityInterceptor(securityInterceptor);
	});
}

通过 getHttp() 方法获取到 HttpSecurity 对象之后,使用 addSecurityFilterChainBuilderWebSecurity 中的 securityFilterChainBuilders 变量进行了赋值,在 WebSecurity 中的 performBuild() 方法中又把这个 securityFilterChainBuilders 转换为了 FilterChainProxy,从这里知道,我们会在 HttpSecurity 中组合 Filters。

// WebSecurity

public WebSecurity addSecurityFilterChainBuilder(
	SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder) {
	this.securityFilterChainBuilders.add(securityFilterChainBuilder);
	return this;
}

到目前为止,虽然还没有把整个的流程给分析完,但是已经基本上把前期的准备工作,和一些 Bean 的创建以及关联说了一下,整个过程如下面的流程图:

在这里插入图片描述

下篇文章: SpringSecurity - 启动流程分析(二)

云原生.乔豆麻袋.cn
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity启动流程
qq_36633432的博客
02-13 3013
SpringSecurity简介+启动流程 springSecurity简介 springSecurity是基于过滤器链的登录验证和权限校验框架,分为启动流程和执行流程,和实际应用三部部分,本章节介绍它的启动流程。后面陆续介绍它的执行流程和在生产实际中springSecurity+jwt的应用。 springSecurity的架构图 springSecurity启动流程springSecurity中是通过WebSecurityConfiguration类进行安全相关的配置。该类中重点关注如下代码 @
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
Spring Security框架原理及解析
多看多听多总结
07-26 1809
Spring Security框架原理及解析
Spring Security启动流程
呜呼哈
04-26 987
SecurityConfigurer 用来配置SecurityBuilder的超类。 所有SecurityConfigurer首先调用其init(SecurityBuilder)方法。 再调用了所有init(SecurityBuilder)方法之后,调用每个configure(SecurityBuilder)方法。 public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { /** 初始化Se.
详解SpringSecurity启动流程
2301_76607156的博客
04-20 271
全部弄得明明白白,必须要精研源码,在初期,我们只要知道它的一条主脉络,在之后的使用中,哪出了问题你可以直接去定位到可能是哪有问题,这样就已经很好了,学习是一个循环渐进的过程。中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东西,也知道它到底是干什么用的,但是我们却不知道这个过滤器链是由什么类什么时候去怎么样创建出来的。其次,还有一个重点就是倒数第二行代码,我也加上了注释,我们一般在我们自定义的配置类中重写的就是这个方法,所以我们的自定义配置就是在这里生效的。
spring security启动流程解析(一)SecurityAutoConfiguration
a807719447的专栏
11-21 3270
springboot体系下我们一般是找 xxxAutoConfiguration,那么这里我们可以通过查找securityAutoConfiguration可以找到如下类: SecurityAutoConfiguration SecurityFilterAutoConfiguration SecurityRequestMatcherProviderAutoConfiguration ManagementWebSecurityAutoConfiguration MockMvcSecurityAutoCon
Spring Security启动加载流程分析
让兔子飞得更高
01-24 662
主要参考博文:Spring Security启动加载流程梳理 补充博文:DelegatingFilterProxy的作用与用法 &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt; org.springframework...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring-Security 运行流程
热门推荐
u012156496的博客
12-06 1万+
Spring-Security 运行流程首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得
Spring-Security框架的启动过程
weixin_42145727的博客
03-23 359
spring通过自动配置导入WebSecurityConfigurerAdapter扩展,然后实例化HttpSecurity,使用扩展对HttpSecurity进行配置,得到 完成配置后注入到DelegatingFilterProxy中,由DelegatingFilterProxyRegistrationBean添加到tomcat容器中,这样就能通过过滤器DelegatingFilterProxy找到FilterChainProxy完成过滤器的调用
SpringSecurity 启动构建过程
u012329294的专栏
03-01 269
如上图,SpringSecurity启动构建过程 1)boot的main函数run 2)context进行refresh() 3)beans通过getBean(beanName) 创建所有注解对象 4)security在Config的annotation目录下的web/configuration下创建webSecurityConfiguration实例 构造出核心的s...
SpringSecurity - 启动流程分析(二)
业精于勤荒于嬉
07-22 469
SpringSecurity - 启动流程分析(二)
Spring Security启动加载流程梳理
凶猛的小蜜蜂
04-19 3100
注:本文使用的Spring版本:4.0.2.RELEASESpring Security版本:3.2.8.RELEASE web.xml配置 使用Spring Security需要在web.xml加入一个Filter,如下: &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-nam...
SpringBoot Security 启动过程
Logicr的博客
12-30 243
启动流程图Tomcat中StandardWrapperValve类调ApplicationFilterFactory获取filterChainspringSecurityFilterChain等放到数组里获取FilterChain对象,传给DelegatingFilterProxy这个代理类处理获取DelegatingFilterProxy bean获取代理对象delegate,传入invokeDelegateFilterChainProxy extends GenericFilterBean 代理类开始工
默认SpringSecurity大致启动流程源码分析
HHoao的博客
05-05 589
默认SpringSecurity大致启动流程源码分析
spring security-oauth
最新发布
02-29
Spring Security OAuth是Spring Security的一个扩展模块,用于实现基于OAuth协议的身份验证和授权功能。OAuth是一种开放标准的授权协议,用于授权第三方应用访问用户资源的权限。 Spring Security OAuth提供了一套...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值