security-oauth2(FilterChainProxy过滤器链代理的加载过程)

最新推荐文章于 2024-06-10 16:26:06 发布
最新推荐文章于 2024-06-10 16:26:06 发布
阅读量916 收藏 2
点赞数
分类专栏: security-oauth2 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33421961/article/details/109637466
版权
本文详细解析了Spring Boot Security OAuth2中FilterChainProxy的加载过程,从setFilterChainProxySecurityConfigurer方法开始,到springSecurityFilterChain方法结束,深入探讨了过滤器链的初始化和构建,包括过滤器的添加、配置和初始化,以及在HttpSecurity对象中的应用。通过这个过程,理解了OAuth2中过滤器如何参与到token的解析中。
摘要由CSDN通过智能技术生成

token的解析,是靠过滤器链中的过滤器来实现的,本章内容主要讲述了过滤器的加载过程

WebSecurityConfiguration配置类(源码核心配置类)

1 setFilterChainProxySecurityConfigurer()方法

@Configuration
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
   

	@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
   
		webSecurity = objectPostProcessor
				.postProcess(new WebSecurity(objectPostProcessor));
		if (debugEnabled != null) {
   
			webSecurity.debug(debugEnabled);
		}

		Collections.sort(webSecurityConfigurers, AnnotationAwareOrderComparator.INSTANCE);

		Integer previousOrder = null;
		Object previousConfig = null;
		for (SecurityConfigurer<Filter, WebSecurity> config : webSecurityConfigurers) {
   
			Integer order = AnnotationAwareOrderComparator.lookupOrder(config);
			if (previousOrder != null && previousOrder.equals(order)) {
   
				throw new IllegalStateException(
						"@Order on WebSecurityConfigurers must be unique. Order of "
								+ order + " was already used on " + previousConfig + ", so it cannot be used on "
								+ config + " too.");
			}
			previousOrder = order;
			previousConfig = config;
		}
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
   
			webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}
}

上面代码块,setFilterChainProxySecurityConfigurer 方法有两个参数,其中第二个参数 webSecurityConfigurers是通过 autowiredWebSecurityConfigurersIgnoreParents().getWebSecurityConfigurers() 方法获取所有WebSecurityConfigurer类的子类如下图
在这里插入图片描述
截图中可以获取到了三个子类,其中第一个子类WebSecurityConfig是在security-oauth配置包中自定义的,另外两个是源码自带的,

在获取到三个子类后,接着实现了 webSecurity 对象 ,然后对三个子类进行排序,再然后调用webSecurity.apply(webSecurityConfigurer) 方法,将三个子类初始化到WebSecurity 的父类 AbstractConfiguredSecurityBuilder 类中的 configurers 属性中去

在 setFilterChainProxySecurityConfigurer 方法的最后,将获取到的三个子类初始化到当前WebSecurityConfiguration类的webSecurityConfigurers属性中去

2. springSecurityFilterChain()方法

@Configuration
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
   

	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
   
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
   
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
   
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();
	}
	
}

因为在前文的setFilterChainProxySecurityConfigurer() 方法中,已经初始化了webSecurityConfigurers ,所以上面代码块中直接走的最后一行代码 webSecurity.build() 方法,进入该方法

public abstract
最低0.47元/天 解锁文章
呼哈EV
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity&Oauth2权限过滤链源码解析(简版)
天然玩家的博客
08-16 527
1 过滤链顺序 序号 过滤链 顺序 1 AuthorizationServerConfigurerAdapter Order(0) 2 ResourceServerConfigurerAdapter Order(3) 3 WebSecurityConfigurerAdapter Order(100) Order中数字越小,优先级越高,过滤链过滤顺序由高到低如图1.1所示。 图1.1 SpringSecurity权限过滤链 2 过滤链顺序源码 2.1 AuthorizationS
搭建新版security-oauth2协议,流程代码详解,源码分析
zzztimes的博客
07-05 981
最近在学习搭建oauth2协议的开放平台,把搭建框架时的思路以及遇到的问题记录下来。
从源码角度拆解SpringSecurity之勤劳的FilterChainProxy
会飞的耗子
04-20 560
上一篇我们介绍了顶层配置、第二层配置的由来,这些配置是如何被套娃式使用的,以及通过setSharedObject方法管中窥豹见识了SecurityBuilder的强大之处,算是以别样的角度完成了SpringSecurity框架的初始化过程。从本篇文章开始,我们将进入运行过程的拆解,说到运行过程,最多的场景莫过于拦截了吧,本章的主角勤劳的小蜜蜂FilterChainProxy在这个过程当中起了什么作用,怎么起的作用,本章我们就一起来进行拆解吧。
(新)Spring Security如何实现登录认证(原理篇)
最新发布
weixin_55772633的博客
06-10 328
的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。这里我们可以看看下面所提到的过滤器。图中只展示了核心过滤器,其它的非核心过滤器并没有在图中展示。:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException。:负责权限校验的过滤器。我们可以通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。输入求值。
Spring Security Oauth2.0学习记录
a807719447的专栏
10-24 536
OAuth2资源由过滤链保护,过滤链的顺序为security.oauth2.resource.filter-order。 默认情况下,在过滤器中AuthorizationServerConfigurerAdapter是第一位的,其次是ResourceServerConfigurerAdapter,其次是WebSecurityConfigurerAdapter ...
Spring Security Oauth2.0 使用和原理分析
keanu20191101的博客
08-31 705
Spring Security Oauth2.0 Authenticate-认证 sso使用 Authorize-授权 token的获取
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2
03-17
《Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
spring-boot spring-security-oauth2 完整demo
11-22
《Spring Boot、Spring Security与OAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring Security和OAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
jpsite-security-oauth2-open:微服务开放API授权平台
05-28
jpsite-security-oauth2-open(微服务开放API授权平台)本项目是一个基于oath2协议的应用,实现的的功能逻辑与,类似,都是同一套认证授权流程。项目结构简单易懂,却不偷工减料,在学习完本Demo后,Demo中的项目...
Spring Security使用Oauth2时的跨域问题
LJL's博客
01-12 3016
Spring Security使用Oauth2时的跨域问题
10 令牌颁发 OAuth2TokenEndpointFilter
Markix的博客
10-09 1860
授权服务器提供令牌颁发接口(/oauth2/token),由客户端发起请求,授权服务器生成访问令牌(access_token)返回,客户端使用此令牌才能去调用资源服务器的接口。 Spring Authorization Server 目前支持如下三种令牌颁发策略:Authorization Code、Client Credentials、Refresh Token,分别对应 授权码模式、客户端凭证模式、刷新令牌模式。核心拦截器为 OAuth2TokenEndpointFilter
oauth2 绕过登录认证即可调取接口
weixin_43839457的博客
03-04 5091
最近公司想开发官网,之前的项目使用oauth2,所有接口都需要登录认证。官网接口空顶无法登录后再调取,所以想开放某些接口用于首页直接使用。
oauth过滤login_spring cloud OAuth2资源服务器的过滤器链路浅析
weixin_35064481的博客
12-23 868
1. 导语在Spring cloud体系中设计OAuth2应用时,当我们使用@EnableResourceServer注解把某个spring boot应用声明为一个OAuth2的资源服务器时,spring cloud将会创建一系列的web安全过滤器链。接下来,我将带大家一起将分析spring cloud的源码,分析过滤器链路的工作原理。2. spring cloud的web安全配置spring b...
Spring Security过滤链FilterChain
Jianyang_usst的博客
11-17 9191
Spring Security过滤链FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤链机制! 1.Filters概述 图1 过滤链 当客户端发送一个请求到应用时,容器会创建一个过滤链FilterChain,该过滤链包含了Filt
【MS】微服务调用时,开放某个接口设置不需要oauth2 认证即可访问
热门推荐
唐伯虎点纹香的博客
08-22 1万+
微服务调用时,开放某个接口设置不需要oauth2 认证即可访问 目标 是把不需要认证的接口给资源服务permitAll 思路 创建一个自定义的注解 把所有带注解的URL给资源服务permitAll 1、创建不鉴权注解@AuthIgnore /** * @author czx * @title: AuthIgnore * @projectName ms * @description:...
OAuth2.0过滤器链,如何在鉴权之前自定义传入一个token。
weixin_42844971的博客
04-22 7185
第5个过滤器时负责取到token进行验证。 一、解析查找 access_token 1、OAuth2AuthenticationProcessingFilter.tokenExtractor public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, Se...
spring-security-oauth2与spring-cloud-starter-oauth2
06-10
spring-security-oauth2和spring-cloud-starter-oauth2都是OAuth 2.0协议的Spring框架的库但它们的使用场景有所不同。 spring-security-oauth2是一个Spring Security的扩展,它提供了OAuth 2.0的实现,可以用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值