SpringSecurity 是如何使用Filter的

最新推荐文章于 2024-03-24 14:37:42 发布
最新推荐文章于 2024-03-24 14:37:42 发布
阅读量184 收藏 1
点赞数
文章标签: SpringBoot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29597223/article/details/134013456
版权

SpringSecurity 是如何优雅地使用大量Filter实现的

有了前文 SpringWeb Filter演变基础,
我们再来分析SpringSecurity的实现。

1、SpringSecurity 中用到了 DelegatingFilterProxy 吗?

在比较低版本的 Spring 开发中使用 SpringSecurity 肯定见到过 web.xml 中的这一段配置

  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Servlet 3.0 虽然看不到上面这段配置,但是它是通过web容器启动时动态配置的,主要代码摘录:

package org.springframework.security.web.context;

public abstract class AbstractSecurityWebApplicationInitializer implements WebApplicationInitializer {

    @Override
    public final void onStartup(ServletContext servletContext) {
        beforeSpringSecurityFilterChain(servletContext);
        if (this.configurationClasses != null) {
        AnnotationConfigWebApplicationContext rootAppContext = new AnnotationConfigWebApplicationContext();
            rootAppContext.register(this.configurationClasses);
            servletContext.addListener(new ContextLoaderListener(rootAppContext));
        }
        if (enableHttpSessionEventPublisher()) {
            servletContext.addListener("org.springframework.security.web.session.HttpSessionEventPublisher");
        }
        servletContext.setSessionTrackingModes(getSessionTrackingModes());
        insertSpringSecurityFilterChain(servletContext);
        afterSpringSecurityFilterChain(servletContext);
    }

    private void insertSpringSecurityFilterChain(ServletContext servletContext) {
        String filterName = DEFAULT_FILTER_NAME;
        DelegatingFilterProxy springSecurityFilterChain = new DelegatingFilterProxy(filterName);
        String contextAttribute = getWebApplicationContextAttribute();
        if (contextAttribute != null) {
            springSecurityFilterChain.setContextAttribute(contextAttribute);
        }
        registerFilter(servletContext, true, filterName, springSecurityFilterChain);
    }

    private void registerFilters(ServletContext servletContext, boolean insertBeforeOtherFilters, Filter... filters) {
        Assert.notEmpty(filters, "filters cannot be null or empty");
        for (Filter filter : filters) {
            Assert.notNull(filter, () -> "filters cannot contain null values. Got " + Arrays.asList(filters));
            String filterName = Conventions.getVariableName(filter);
            registerFilter(servletContext, insertBeforeOtherFilters, filterName, filter);
        }
    }
}

onStartup 在容器启动时被调用,然后调用 insertSpringSecurityFilterChain 方法,在调用 registerFilters 方法实现了与xml配置相同的效果。

2、DelegatingFilterProxy 代理的哪个Bean?

DelegatingFilterProxy 代码比较简单清晰,它所代理的类要么就是 initParam 中指定的 targetBeanName(如果未指定则 targetBeanName = filterName)

@Override
protected void initFilterBean() throws ServletException {
    synchronized (this.delegateMonitor) {
        if (this.delegate == null) {
            // If no target bean name specified, use filter name.
            if (this.targetBeanName == null) {
                this.targetBeanName = getFilterName();
            }
            // Fetch Spring root application context and initialize the delegate early,
            // if possible. If the root application context will be started after this
            // filter proxy, we'll have to resort to lazy initialization.
            WebApplicationContext wac = findWebApplicationContext();
            if (wac != null) {
                this.delegate = initDelegate(wac);
            }
        }
    }
}

从这里可以看出代理的就是 springSecurityFilterChain。

3、springSecurityFilterChain 是一个 FilterChainProxy 吗?

结合 SpringWeb Filter演变 这篇文章,我们分析最可能得结果就是 FilterChainProxy。
接下来我们一步一步来验证猜想:

1、springSecurityFilterChain 这个 Bean 在哪里注册的?

首先想到的办法就是搜索整个工程,有没有名称为 SpringSecurityFilterChain SecurityFilterChain 的文件或者类,很失望。
开始 Debug 查看注册在Spring容器中的名称为 springSecurityFilterChain 的 Bean 结果:
在这里插入图片描述

通过Debug 找到了注册 springSecurityFilterChain 是在 org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration
的 springSecurityFilterChain() 方法。

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
	boolean hasFilterChain = !this.securityFilterChains.isEmpty();
	if (!hasFilterChain) {
		this.webSecurity.addSecurityFilterChainBuilder(() -> {
			this.httpSecurity.authorizeHttpRequests((authorize) -> authorize.anyRequest().authenticated());
			this.httpSecurity.formLogin(Customizer.withDefaults());
			this.httpSecurity.httpBasic(Customizer.withDefaults());
			return this.httpSecurity.build();
		});
	}
	for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
		this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
	}
	for (WebSecurityCustomizer customizer : this.webSecurityCustomizers) {
		customizer.customize(this.webSecurity);
	}
	return this.webSecurity.build();
}

继续跟源码可以发现 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);

@Override
protected Filter performBuild() throws Exception {
	Assert.state(!this.securityFilterChainBuilders.isEmpty(),
			() -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "
					+ "Typically this is done by exposing a SecurityFilterChain bean. "
					+ "More advanced users can invoke " + WebSecurity.class.getSimpleName()
					+ ".addSecurityFilterChainBuilder directly");
	int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
	List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);
	List<RequestMatcherEntry<List<WebInvocationPrivilegeEvaluator>>> requestMatcherPrivilegeEvaluatorsEntries = new ArrayList<>();
	for (RequestMatcher ignoredRequest : this.ignoredRequests) {
		WebSecurity.this.logger.warn("You are asking Spring Security to ignore " + ignoredRequest
				+ ". This is not recommended -- please use permitAll via HttpSecurity#authorizeHttpRequests instead.");
		SecurityFilterChain securityFilterChain = new DefaultSecurityFilterChain(ignoredRequest);
		securityFilterChains.add(securityFilterChain);
		requestMatcherPrivilegeEvaluatorsEntries
				.add(getRequestMatcherPrivilegeEvaluatorsEntry(securityFilterChain));
	}
	for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {
		SecurityFilterChain securityFilterChain = securityFilterChainBuilder.build();
		securityFilterChains.add(securityFilterChain);
		requestMatcherPrivilegeEvaluatorsEntries
				.add(getRequestMatcherPrivilegeEvaluatorsEntry(securityFilterChain));
	}
	if (this.privilegeEvaluator == null) {
		this.privilegeEvaluator = new RequestMatcherDelegatingWebInvocationPrivilegeEvaluator(
				requestMatcherPrivilegeEvaluatorsEntries);
	}
	FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
	if (this.httpFirewall != null) {
		filterChainProxy.setFirewall(this.httpFirewall);
	}
	if (this.requestRejectedHandler != null) {
		filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);
	}
	else if (!this.observationRegistry.isNoop()) {
		CompositeRequestRejectedHandler requestRejectedHandler = new CompositeRequestRejectedHandler(
				new ObservationMarkingRequestRejectedHandler(this.observationRegistry),
				new HttpStatusRequestRejectedHandler());
		filterChainProxy.setRequestRejectedHandler(requestRejectedHandler);
	}
	filterChainProxy.setFilterChainDecorator(getFilterChainDecorator());
	filterChainProxy.afterPropertiesSet();

	Filter result = filterChainProxy;
	if (this.debugEnabled) {
		this.logger.warn("\n\n" + "********************************************************************\n"
				+ "**********        Security debugging is enabled.       *************\n"
				+ "**********    This may include sensitive information.  *************\n"
				+ "**********      Do not use in a production system!     *************\n"
				+ "********************************************************************\n\n");
		result = new DebugFilter(filterChainProxy);
	}

	this.postBuildAction.run();
	return result;
}

最终验证我们猜想。按照 SpringWeb Filter演变 的思路 FilterChainProxy 应该代理了一系列 FilterChain
仔细阅读 springSecurityFilterChain() 会发现 new FilterChainProxy(securityFilterChains) 需要依赖 securityFilterChains,securityFilterChains 又是注入的。

@Autowired(required = false)
void setFilterChains(List<SecurityFilterChain> securityFilterChains) {
	this.securityFilterChains = securityFilterChains;
}

到这里整个过滤器逻辑结构基本清晰。 那么都注入了哪些 SecurityFilterChain,分别在什么地方产生的 ?
通过 Debug 能发现,这里注入的Bean 都是 DefaultSecurityFilterChain 类型,再搜索 DefaultSecurityFilterChain
发现其实来自我们自己的代码(一处是对 SpringSecurity 的配置,一处是 Oauth2 的配置)
com.example.resource.config.DefaultSecurityConfig

@Bean
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
    http
    .authorizeHttpRequests(authorize ->
        authorize
        .requestMatchers("/assets/**", "/webjars/**", "/login","/h2-console/**").permitAll()
        .anyRequest().authenticated()
    )
    .formLogin(formLogin ->
        formLogin.loginPage("/login")
    )
    .oauth2Login(oauth2Login ->
        oauth2Login.loginPage("/login")
        .successHandler(authenticationSuccessHandler())
    );
	return http.build();
}

com.example.resource.config.AuthorizationServerConfig

@Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
public SecurityFilterChain authorizationServerSecurityFilterChain(
		HttpSecurity http, RegisteredClientRepository registeredClientRepository,
		AuthorizationServerSettings authorizationServerSettings) throws Exception {

	OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
	DeviceClientAuthenticationConverter deviceClientAuthenticationConverter =
			new DeviceClientAuthenticationConverter(
					authorizationServerSettings.getDeviceAuthorizationEndpoint());
	DeviceClientAuthenticationProvider deviceClientAuthenticationProvider =
			new DeviceClientAuthenticationProvider(registeredClientRepository);

	// @formatter:off
	http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
		.deviceAuthorizationEndpoint(deviceAuthorizationEndpoint ->
			deviceAuthorizationEndpoint.verificationUri("/activate")
		)
		.deviceVerificationEndpoint(deviceVerificationEndpoint ->
			deviceVerificationEndpoint.consentPage(CUSTOM_CONSENT_PAGE_URI)
		)
		.clientAuthentication(clientAuthentication ->
			clientAuthentication
				.authenticationConverter(deviceClientAuthenticationConverter)
				.authenticationProvider(deviceClientAuthenticationProvider)
		)
		.authorizationEndpoint(authorizationEndpoint ->
			authorizationEndpoint.consentPage(CUSTOM_CONSENT_PAGE_URI))
		.oidc(Customizer.withDefaults());	// Enable OpenID Connect 1.0
	// @formatter:on

	// @formatter:off
	http
		.exceptionHandling((exceptions) -> exceptions
			.defaultAuthenticationEntryPointFor(
				new LoginUrlAuthenticationEntryPoint("/login"),
				new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
			)
		)
		.oauth2ResourceServer(oauth2ResourceServer ->
			oauth2ResourceServer.jwt(Customizer.withDefaults()));
	// @formatter:on
	return http.build();
}
2、这些 SecurityFilterChain 分别又包含了多少个 Filter ?

通过上述源码阅读以及结合上一篇文章分析,SecurityFilterChain 都是通过 HttpSecurity.build() 出来的实例,接下来分析 build 操作。
通过跟踪调用链,会发现以下代码:

@Override
protected DefaultSecurityFilterChain performBuild() {
	ExpressionUrlAuthorizationConfigurer<?> expressionConfigurer = getConfigurer(
			ExpressionUrlAuthorizationConfigurer.class);
	AuthorizeHttpRequestsConfigurer<?> httpConfigurer = getConfigurer(AuthorizeHttpRequestsConfigurer.class);
	boolean oneConfigurerPresent = expressionConfigurer == null ^ httpConfigurer == null;
	Assert.state((expressionConfigurer == null && httpConfigurer == null) || oneConfigurerPresent,
			"authorizeHttpRequests cannot be used in conjunction with authorizeRequests. Please select just one.");
	this.filters.sort(OrderComparator.INSTANCE);
	List<Filter> sortedFilters = new ArrayList<>(this.filters.size());
	for (Filter filter : this.filters) {
		sortedFilters.add(((OrderedFilter) filter).filter);
	}
	return new DefaultSecurityFilterChain(this.requestMatcher, sortedFilters);
}

发现创建实例时指定了 filters 但是这里的 filters 既没有实例化的操作,又没有注入的逻辑。但是有几个 addFilterXXX 方法,因此再次断点调试发现最终是通过
addFilter(Filter filter) 这个方法添加,现在只需关注那些地方调用了 addFilter(Filter filter) 方法即可,全局搜索:
在这里插入图片描述

发现 addFilter() 都是在configure 过程中添加,也正好对应 HttpSecurity 中的 cros()、securityContext()、exceptionHandling()…一系列配置。
HttpSecurity 实例创建操作部分代码摘录

@Configuration(proxyBeanMethods = false)
class HttpSecurityConfiguration { 
    @Bean(HTTPSECURITY_BEAN_NAME)
    @Scope("prototype")
    HttpSecurity httpSecurity() throws Exception {
        LazyPasswordEncoder passwordEncoder = new LazyPasswordEncoder(this.context);
        AuthenticationManagerBuilder authenticationBuilder = new DefaultPasswordEncoderAuthenticationManagerBuilder(
                this.objectPostProcessor, passwordEncoder);
        authenticationBuilder.parentAuthenticationManager(authenticationManager());
        authenticationBuilder.authenticationEventPublisher(getAuthenticationEventPublisher());
        HttpSecurity http = new HttpSecurity(this.objectPostProcessor, authenticationBuilder, createSharedObjects());
        WebAsyncManagerIntegrationFilter webAsyncManagerIntegrationFilter = new WebAsyncManagerIntegrationFilter();
        webAsyncManagerIntegrationFilter.setSecurityContextHolderStrategy(this.securityContextHolderStrategy);
        // @formatter:off
        http
            .csrf(withDefaults())
            .addFilter(webAsyncManagerIntegrationFilter)
            .exceptionHandling(withDefaults())
            .headers(withDefaults())
            .sessionManagement(withDefaults())
            .securityContext(withDefaults())
            .requestCache(withDefaults())
            .anonymous(withDefaults())
            .servletApi(withDefaults())
            .apply(new DefaultLoginPageConfigurer<>());
        http.logout(withDefaults());
        // @formatter:on
        applyDefaultConfigurers(http);
        return http;
    }
}

可以看到在这里 Configure 了相当一部分。同时在 com.example.resource.config.AuthorizationServerConfig 中
http.getConfigurer(OAuth2AuthorizationServerConfigurer.class) 添加的 OAuth2AuthorizationServerConfigurer 也Configure了一部分Filter。
经过一系列的Filter 添加来完成了 SpringSecurity 的功能。

4、总结

1、首先产生一个 DelegatingFilterProxy 来代理 springSecurityFilterChain(FilterChainProxy)
2、springSecurityFilterChain 注入一系列 FilterChain,针对 SpringSecurity 主要是 DefaultSecurityFilterChain
3、给 FilterChain configure 一系列 Filter
qq_29597223
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Authorization Server 授权服务器
xxxzzzqqq_的博客
03-07 2462
Spring Authorization Server 遵循Oauth2.1和OpenID Connect 1.0,它建立在Spring Security之上。 ​
全面解析Spring Security 内置 Filter
08-18
主要介绍了Spring Security 内置 Filter的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
详解spring security filter的工作原理
08-25
主要介绍了详解spring security filter的工作原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity: 不能混用authorizeRequests和6.0里的authorizeHttpReuests
amadeus_liu2的博客
03-04 578
security
Spring Security之基于HttpRequest配置权限
最新发布
Evan_L的博客
03-24 1376
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
从零开始探索 Spring Security 使用方法
hezf_hero的博客
10-11 161
从零开始探索 Spring Security 的基础使用方法,最终掌握较复杂的 SecurityFilterChain 的使用方式。
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务
2301_77463738的博客
06-27 2178
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务。
SpringSecurity】默认的表单登录逻辑、DefaultLoginPageConfigurer FormLoginConfigurer的区别
键上艺术家
10-06 1099
之前已经学过了springsecurity,今天在学习spring-security-oauth2-authorization-server时要配置自定义的登陆页面,突然有点懵,发现对security默认的表单登录逻辑的配置还不是特别熟悉,花了些时间才捋顺配置逻辑,现在就记录一下。
http.authorizeRequests()详解
lyy的博客
04-05 2461
表示可以匿名访问匹配的URL。访问控制方法都很简单, 只要匹配到url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问。下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。如果有参数,参数表示角色,则其中任何一个角色可以访问。如果有参数,参数表示权限,则其中任何一个权限可以访问。如果有参数,参数表示角色,则其角色可以访问。如果有参数,参数表示权限,则其权限可以访问。表示所匹配的URL都不允许被访问。
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
热门推荐
Ricardo.M.Yu的博客
06-14 1万+
Spring Boot 3.1 提供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 Servlet 的 OAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
Spring Security 过滤器链基础组件
Littlemotor
08-09 1953
Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器链。
新版Spring Security6.2架构 (一)
喝醉的鱼博客
12-09 3316
新版Springsecurity6.2架构介绍
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springsecurity2 自定义filter实现
03-16
NULL 博文链接:https://jiawu.iteye.com/blog/400351
Spring Security —漏洞防护—跨站请求伪造(CSRF)
深圳市多克创新科技有限公司
10-25 658
Spring Security —漏洞防护—跨站请求伪造(CSRF)
Spring Authorization Server 的一些核心组件和内置 Filter
小水牛的博客
05-06 2977
Spring Authorization Server 的一些核心组件和内置 Filter
SpringSecurityOAuth已停更,来看一看进化版本Spring Authorization Server
Hanko的专栏
06-05 1414
Spring Authorization Server是Spring Security OAuth的进化版本,Spring Security OAuth官方已经宣布“End of Life”了。Spring Security OAuth使用的是OAuth2.0标准而Spring Authorization Serve引入了对OAuth 2.1和OpenID Connect 1.0规范的支持,并提供了更多功能和改进。它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
Spring Security6 全新写法,大变样!
江南一点雨的专栏
06-14 4288
自定义 JSON 登录也和之前旧版不太一样了。小伙伴们知道,Spring Security 中默认的登录接口数据格式是 key-value 的形式,如果我们想使用 JSON 格式来登录,那么就必须自定义过滤器或者自定义登录接口,下面松哥先来和小伙伴们展示一下这两种不同的登录形式。Spring Security 默认处理登录数据的过滤器是 UsernamePasswordAuthenticationFilter,在这个过滤器中,系统会通过。
spring security使用filter
08-15
Spring Security 使用 Filter 来处理身份验证和授权。它提供了一组 Filter,用于拦截和处理请求。 在 Spring Security 中,最重要的 Filter 是 `FilterChainProxy`。它是一个特殊的 Filter,负责管理一组其他 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值