【Spring Security】—— 配置器 SecurityConfigurer 接口三个分支

最新推荐文章于 2023-04-06 17:23:26 发布
最新推荐文章于 2023-04-06 17:23:26 发布
阅读量997 收藏 3
点赞数 2
分类专栏: Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33471737/article/details/118491982
版权

官网地址 Spring Security Reference

版本:Version 5.5.0

【Spring Security】—— 配置器 SecurityConfigurer 接口三个分支

概述

SpringSecurity 中的配置器在之前的文章中几乎都提到过,它的作用是用来配置构造器的。在开始学习的第一篇文章中就有关于 SecurityConfigurer 的简单介绍:
【【Spring Security】—— WebSecurityConfigurerAdapter】,WebSecurityConfigurerAdapter 也是一个构造器。

在上一篇关于 HttpSecurity 的文章中,有很多方法,都有相同的结构:

  • 都调用 getOrApply 方法将特定的配置器应用到构造器(即:HttpSecurity)
  • 都立刻返回应用的配置器,便于调用方对配置器进行自定义的配置

本章主要内容是关于配置器的接口架构,任意找一个配置器一直往上找,就会找到配置器的顶级接口:SecurityConfigurer

利用 Idea 工具可以看到它的实现类情况:
在这里插入图片描述

在 AbstractHttpConfigurer 抽象类的下面可以看到所有用来配置 HttpSecurity 构造器的配置器实现类。

再通过继承关系图,看看配置器顶层的架构:
在这里插入图片描述

SecurityConfigurer 接口

详细可 参考【Spring Security】—— WebSecurityConfigurerAdapter

下面是在最开始学习 Spring Security 时看到 SecurityConfigurer 产生的疑问:
在这里插入图片描述
解答:当时太异想天开了,SecurityConfigurer 的所有实现类都是用来配置构造器的,也就是说,泛型中 O 和 B 的关系是,B 用来构造 O 而配置器的作用是配置这个构造器的,从而影响最终构造的的结果。如果设计成一个配置器同时配置多个构造器,那么构造器就要改成一次构造出多个对象,这样及复杂,又没有意义。

接下来就是从 SecurityConfigurer 这个顶级接口出来的三个分支:

SecurityConfigurerAdapter

源码注释:SecurityConfigurer 的基础实现类,它允许子类只实现他们感兴趣的方法。它还提供了一种机制,用于使用 SecurityConfigurer 并在完成后获得对正在配置的 SecurityBuilder 的访问权限。

接下了就来看看源码是怎么实现注释中所说的功能的

首先还是看看 SecurityConfigurerAdapter 中都有什么:
在这里插入图片描述
内容很简单:

  1. 有一个内部类 CompositeObjectPostProcessor
    复合后置处理器对象类

  2. 定义了两个成员变量:
    将要配置的 securityBuilder 构造器
    复合后置处理器 objectPostProcessor

  3. 从接口中实现的方法和自己新加的几个方法
    init 和 configure 是实现接口的方法
    and、getBuilder、postProcess、addObjectPostProcessor、setBuilder 方法是自己加的

它允许子类只实现他们感兴趣的方法

在源码中可以看到,所有的方法都有方法体,包括对接口方法的实现(虽然是空方法体)。所以继承 SecurityConfigurerAdapter 的配置器可以根据自己的需求实现(覆盖)自己感兴趣的方法。(即,可以自己实现 init ,但是如果自己不需要初始化,也可以不实现,在构造器调用其 init 方法时什么也不做)。

使用 SecurityConfigurer 完成后获得对正在配置的 SecurityBuilder 的访问权限的机制
/**
 * Return the SecurityBuilder when done using the SecurityConfigurer.
 */
public B and() {
	return getBuilder();
}
/**
 * Gets the SecurityBuilder. Cannot be null.
 */
protected final B getBuilder() {
	if (securityBuilder == null) {
		throw new IllegalStateException("securityBuilder cannot be null");
	}
	return securityBuilder;
}

这里是实现这种机制的源码,and 方法在使用完配置器之后调用,获得正在配置的 SecurityBuilder 对象。

有必要说一下为什么是正在配置的,因为在这个时候还没有对构造器进行配置。配置构造器的时机在调用构造器的 build 方法时,在前面的文章中讲到过构造对象的过程,doBuild方法中加入了构建生命周期的控制,在里面才开始调用各个配置器的 init 方法和 configure 方法。所以这里获取到的时正在配置的 SecurityBuilder 对象。这也体现了对象的职责界限很清晰,构建又构建器完成,在构建的过程中构建器利用配置器进行配置。

setBuilder 方法

这个方法有点特别,所以单独说一下,方法内容很简单,就是设置构造器成员变量的,但是官网又这样一句注释:

Sets the SecurityBuilder to be used. This is automatically set when using AbstractConfiguredSecurityBuilder.apply(SecurityConfigurerAdapter)

第一句很好理解:这个方法是来设置将要配置的构造器的
第二句就要结合 AbstractConfiguredSecurityBuilder 了(这样就穿起来了):
在这里插入图片描述
回顾连接:构建者

这是 AbstractConfiguredSecurityBuilder 中对应的源码,这一块儿在之前的文章中也讲到过可以点击上面的连接回顾。看到这里有了新的体会:

这样看来,构造器再被应用之前是不知道要配置哪个构造器的。在构造器调用 apply 方法时才真正设置配置器的 securityBuilder 变量。所以官方注释才说 setBuilder 方法时自动调用的,我们不能手动去设置。

只有构造器应用了这个配置器,这个配置器才会绑定上这个构造器。这样构造器就很灵活了。感叹!!!

复合后置处理对象

这个内部类对象很简单,看一下内部类的内容就明白了:它维护的是一个 List 集合

private List<ObjectPostProcessor<?>> postProcessors = new ArrayList<>();

因此称之为:复合后置处理对象(CompositeObjectPostProcessor),就是里面有多个。

GlobalAuthenticationConfigurerAdapter

这个类的类名说明它是一个全局配置相关的类。

@Order(100)
public abstract class GlobalAuthenticationConfigurerAdapter implements
		SecurityConfigurer<AuthenticationManager, AuthenticationManagerBuilder> {

	public void init(AuthenticationManagerBuilder auth) throws Exception {
	}

	public void configure(AuthenticationManagerBuilder auth) throws Exception {
	}
}

从源码可以看出它实现 SecurityConfigurer 接口,没有具体的实现内容,只是对构造器和构造器将要构造的对象做了限制:

  • 将要配置的构造器:AuthenticationManagerBuilder
  • 将要构建的对象:AuthenticationManager

官网注释:可以作为 bean 公开以配置全局 AuthenticationManagerBuilder 的 SecurityConfigurer。 AuthenticationConfiguration 自动使用这种类型的 Bean 来配置全局 AuthenticationManagerBuilder。

从官网的注释可以看出, GlobalAuthenticationConfigurerAdapter 的实现类和配置 AuthenticationManager 有关。可以看出 AuthenticationManagerBuilder 和 AuthenticationManager 应该有全局和局部之分,具体的细节将来碰到了再细看。

WebSecurityConfigurer

在这里插入图片描述
这个在之前的文章中有介绍,不做赘述了,贴了部分内容的截图: 详细可参考【Spring Security】—— WebSecurityConfigurerAdapter

总结

SecurityConfigurer 是构造器的顶级接口,下面主要有三个分支

  1. SecurityConfigurerAdapter
    允许子类只实现他们感兴趣的方法。
    and 方法可以再使用完配置器后返回正在配置的构造器。
    setBuilder 方法是由构造器 apply 方法中自动调用的。
    有个复合后置处理器内部类,维护一个 List 集合,可存储多个后置处理器对象

  2. GlobalAuthenticationConfigurerAdapter

    可以作为 bean 公开以配置全局 AuthenticationManagerBuilder 的 SecurityConfigurer。 AuthenticationConfiguration 自动使用这种类型的 Bean 来配置全局 AuthenticationManagerBuilder。

    一句话:配置全局 AuthenticationManagerBuilder 的

  3. WebSecurityConfigurer
    唯一抽象实现类:WebSecurityConfigurerAdapter

    WebSecurityConfigurerAdapter 为创建 WebSecurityConfigurer 实例提供方便的基类。 该实现允许通过覆盖方法进行定制。

monkeydbo
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity如何实现配置单个HttpSecurity
08-18
主要介绍了SpringSecurity如何实现配置单个HttpSecurity,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
6.深入理解SecurityConfigurer
飘然渡沧海的博客
03-06 442
深入理解SecurityConfigurer
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
全面解析Spring Security 过滤链的机制和特性
08-18
主要介绍了Spring Security 过滤链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity学习
weixin_57128596的博客
02-26 5079
目录 基于尚硅谷web学习 Security配置: 两个核心接口UserDetailsService与PasswordEncoder: 2.PasswordEncoder 给密码加密 Web项目权限控制方案 (11条消息) SpringSecurity回顾_Fairy要carry的博客-CSDN博客 configure(AuthenticationManagerBuilder auth): configure(HttpSecurity http) 注解(对于处理请求方法的) 用户注销:.
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
Ccww_的博客
07-24 1330
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   在...
关于spring security配置权限的configure方法
earthsomeday的博客
07-20 7037
关于spring security的拦截机制中的configure方法 当部署一个项目需要使用spring security时,需要自行编写一个config类继承WebSecurityConfigurerAdapter,在其中配置项目中资源的访问权限。 1.public修饰的configure方法 源码: /** * Override this method to configure {@l...
Spring Security : 配置 HttpSecuritySecurityConfigurer
Details Inside Spring
05-13 2084
Spring Security中HttpSecurity是一个安全构建SecurityBuilder,目的是构建一个对HTTP请求进行安全控制的DefaultSecurityFilterChain。对HttpSecurity进行配置,是通过一组安全配置来完成的。这组安全配置有一个共同的抽象基类AbstractHttpConfigurer。而配置HttpSecurity的安全构建实现类列表如...
Spring Security源码解析(四)
qq_40577332的博客
06-02 1382
本章节将以实际公司中对Spring Security的应用为例,讲解配置Spring Security三个configure方法。
Spring Security Config : HttpSecurity安全配置 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1217
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置指定一个安全表达式处理 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
详解springSecurity之java配置
08-18
主要介绍了详解springSecurity之java配置篇,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security基本配置方法解析
08-25
主要介绍了Spring Security基本配置方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
Spring Security Config : 概念模型接口 SecurityConfigurer
Details Inside Spring
05-06 2139
源代码版本 : Spring Security Config 5.1.4.RELEASE SecurityConfigurer是Spring Security Config对安全配置的概念建模接口,该接口约定了Spring Security Config的各种安全配置实现类的统一行为: 调用方法#init初始化安全构建; 调用方法#configure配置安全构建; 这是一个泛型接口...
授权服务框架Spring Authorization Server的过滤
码农小胖哥
11-11 5041
上一篇我们初次体验了Spring Authorization Server,很多粉丝都希望对这个新授权框架有进一步了解。所以今天我们再进一步再从配置上来了解和OAuth2.0授权服务相关...
Spring Security之Config模块详解(TODO)
热门推荐
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring Security的Config模块的架构,来理清这个关系。Spring Security ConfigurerSpri
Spring Security源码学习——配置之WebSecurityConfigurer
clyu的博客
10-05 1556
前言 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。Spring Security 过滤链中的每一个过滤,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。 public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { //一个初始化方法 void
Spring Security】—— WebSecurityConfigurerAdapter
qq_33471737的博客
06-20 3849
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurityConfigurerAdapter 继承关系图 Adapter 谷歌翻译:n. 【机】转接 【网络】 适配;适配模式;接头。通过类名了解功能:我的理解,这个类是一个Web应用安全配置“接头”,及用户可通过这个“接头”接到自己的配置,也就是用户可以利用这个类来定制化安全配置SecurityBuilder 接口 对这个接口暂时没有细看,先根据官网了解了一下这个接口想要实
Spring security oauth2 配置白名单接口
最新发布
05-31
好的,关于 Spring Security OAuth2 配置白名单接口,我可以为您提供一些解释和示例。 通过配置白名单接口,您可以允许未经过认证的用户访问某些特定的接口。在 Spring Security OAuth2 中,可以使用 `WebSecurity` 配置类来实现白名单接口配置。您可以在 `configure` 方法中添加相应的配置来实现。 以下是一个示例代码,演示了如何配置一个白名单接口: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() // 配置白名单接口 .anyRequest().authenticated() // 其他接口需要认证 .and().csrf().disable(); } // 其他配置... } ``` 在这个示例中,我们将所有以 `/public` 开头的接口配置为白名单接口,即未经过认证的用户也可以访问这些接口。其他接口则需要认证才能访问。 希望这个示例能够帮助您理解如何在 Spring Security OAuth2 中配置白名单接口。如果您还有其他问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值