初识spring security (一),一文弄懂默认配置

已于 2024-08-21 20:54:04 修改
阅读量657 收藏 17
点赞数 6
分类专栏: spirng security 文章标签: spring java 前端
于 2024-08-21 12:58:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36260963/article/details/141390093
版权

一、简单导入依赖

        1、导入pom

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.2</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>springsecurity-simple-demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <java.version>8</java.version>
    </properties>


    <dependencies>
        <!-- web 支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- SpringSecurity依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>


    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

2、创建controller测试

@SpringBootApplication
public class SpringSecuritySimpApplication {


    public static void main(String[] args) {
        SpringApplication.run(SpringSecuritySimpApplication.class,args);
    }
}

@RestController
public class HelloController {



    @RequestMapping("hello")
    public String hello() {
        return "hello world";
    }


}

3、简单导入后,接口资源就受到保护了,是什么原理,以下引申出三个问题

1如何在只是导入了一个springsecurity-statar 所有的接口都进行保护了;

2、登录页面的这个html 是从何而来,我们自己项目也没有写html怎么就出来了;

3、登录页的这个user 以及默认的用户名和密码是怎么来的;

二、问题1:只是导入了一个springsecurity-statar 依赖,为何 所有的接口都进行保护了

2.1  DelegatingFilterProxy  

  DelegatingFilterProxy  作用是打通servlet 和spring 通讯的桥梁,介入servilet 容器和spirng 应用;我们在DelegatingFilterProxy  基础上使用spring提供的过滤器都被该过滤器所代理;

2.2 FilterChainProxy 、

FilterChainProxy 为过滤器链,允许委托其他多个过滤器,底层实现,框架做好了,不需要我们处理;

2.3  SecurityFilterChain 

SecurityFilterChain 我们自己配置使用的过滤器链,提供我们自定义配置;该类是我们接触到的,最终也是要配置该过滤器来实现一系列的验证

2.4  SpringBootWebSecurityConfiguration 

SpringBootWebSecurityConfiguration 每一个starter都有一个autoconfig入口配置,该类是入口,从该类开始出发,追求答案

2.4.1  注解 @ConditionalOnDefaultWebSecurity

进入后,导入了一个 DefaultWebSecurityCondition 的类

2.4.1.1 源码

2.4.2 @Conditional(DefaultWebSecurityCondition.class)

   里面有个conditon注解@Conditional(DefaultWebSecurityCondition.class),DefaultWebSecurityCondition进去后看到里面有两个方法;
条件1:@ConditionalOnClass({ SecurityFilterChain.class, HttpSecurity.class }) 判断是否有class文件,SecurityFilterChain 或者HttpSecurity,只要导入了,肯定会有这两个class的文件;即使我们不配置;
条件2:@ConditionalOnMissingBean({ WebSecurityConfigurerAdapter.class, SecurityFilterChain.class })   找不到对应的bean,注意这个是bean,而不是class,因我们创建的时候,没有重写或者继承WebSecurityConfigurerAdapter 所以是找不到的;至此该注解条件生效;

2.4.2.1 源码截图

2.4.3  WebSecurityConfigurerAdapter  

该类作用:后续我们可以继承该类,用于重写里面方法,配置自己的验证规则;

跟随代码  @ConditionalOnMissingBean({ WebSecurityConfigurerAdapter.class) 进到该类后,找到 configure(HttpSecurity http)  方法,是不是一下子豁然开朗了;看到了我们熟悉的配置;

  这个配置是不是很熟悉了: http.authorizeRequests((requests) -> requests.anyRequest().authenticated());

所有的请求都需要认证;至此,导入依赖自动加了认证;spring官方也推荐我们重写该方法配置;

三、问题2:登录页面的这个html 是从何而来

是不是有疑问,这个页面我自己项目也没写,怎么就到这个form表单页面了;

3.1  FormLoginConfigurer 

FormLoginConfigurer中的init() 可以得知,初始化会调用 ,该方法做了什么,是不是初始化了一个DefaultLoginPageGeneratingFilter 的过来器

3.1.1 源码截图

3.2  流程分析

1. 请求/hello 接口,在引入 spring security 之后会先经过一些列过滤器

2. 在请求到达 FilterSecuritylnterceptor时,发现请求并未认证。请求拦截下来,并抛出

AccessDeniedException 异常。

抛出AccessDeniedExceptsn 的异常会被 ExceptionTranslationFilter 捕获,这个Filter 中

会调用 LoginUrlAuthenticationEntryPoint#commence 方法给客户端返回 302,要求客户

端进行重定向到 /login 页面。

4. 客户端发送/login 请求。

5. /login 请求会再次被拦截器中 DefaultLoginPageGeneratingFilter 拦截到,并在拦截器中返回生成登录页面。

3.3  DefaultLoginPageGeneratingFilter

DefaultLoginPageGeneratingFilter 默认的redirect页面,至此自动生成的登录页面是通过浏览器生成一个表单写出的;

3.3.1 源码截图

四、问题3:默认的用户名和密码是怎么来的

是不是疑问为什么控制台能打印出密码呢,怎么实现的;

4.1 http.formLogin()方法

用来初始化表单一些配置,如用户名 密码 等;

4.1.1 源码

4.2 FormLoginConfigurer 新建

4.3 UsernamePasswordAuthenticationFilter 

UsernamePasswordAuthenticationFilter 通过构造方法里面new了一个token过滤器,查看attemptAuthentication 方法 

4.4  断点调试 ProviderManager

通过  Authentication 参数可以知道传过来的是 一个UsernamePasswordAuthenticationToken 对象;

4.5 DaoAuthenticationProvider 最终实现类

4.5.1  InMemoryUserDetailsManager

   跟踪后得知,UserDetailsService的实现类是InMemoryUserDetailsManager,最终从内存中获取到用户信息,然后得到密码;

4.6 InMemoryUserDetailsManager 基于内存的用户会生效

我们也没有配置这个基于内存的用户信息,为什么自动生成用户和密码了

4.6.1  UserDetailsServiceAutoConfiguration

一般默认配置都是有一个starter 启动器

4.6.2  @ConditionalOnClass(AuthenticationManager.class)

由注解得知,@ConditionalOnClass(AuthenticationManager.class)
当类中有AuthenticationManager,导入依赖后,肯定会有;
@ConditionalOnMissingBean(
        value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class,
                AuthenticationManagerResolver.class };

当 bean中没有 AuthenticationManager并且UserDetailsService并且AuthenticationProvider 时候,该自动配置InMemoryUserDetailsManager 类就生效,并且注入为bean;

所以说,只要我们重新定义了这三个其中一个设置为bean,那么基于InMemoryUserDetailsManager 这个就不生效了,这就是为什么我们实现了UserDetailsService后,就没有内存认证的这个类了;

4.6.3  SecurityProperties

我们看到 inMemoryUserDetailsManager中传入了一个 SecurityProperties 该类就是一个

@ConfigurationProperties 标记的注解,也就是说 我们在配置文件写上 
 spring.security. username 是不是就可以映射到属性里面了

通过该类  User user = properties.getUser(); 调用了该方法,可以看到 User对象里面这个name就是叫user,密码为随机生成的uuid,这就是为什么默认的登录名为user

4.6.4 自定义登录时候的用户名和密码

当我们在配置文件中自定义了用户名密码后,随机密码和用户名就为自定义的了,至此 user 和密码整个流程就出来了

4.6.5  如果我们文件自定义了,该标志位就是false了,就不会打印控制台的密码了

星空寻流年
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一文初识 Quarkus 的王者之路,实战杀敌,终成王
m0_67261762的博客
07-03 696
QuarkusQuarkus是红帽面向云原生推出的java技术体系,它已经不能被称为框架了,体系这个词也许更适合它,它有不少非常好的新思路。它侧重于对GraalVM的支持,倾向于使用GraalVM来打包为Native原生应用。Java曾经的优势是Write once run anywhere,但是现在这个优势已经被docker取代,有了docker,只要制作好镜像,其它语言也可以做到Write once run anywhere。而Java庞大的JVM运行时反而就成了它的劣势之一,所以Oracle发布了Gr
初识 Spring Security - v1.1.pdf
08-27
### 初识 Spring Security #### 一、Spring Security 概述 **Spring Security**是一种广泛应用于Java企业级项目中的安全框架,它基于Spring AOP(面向切面编程)和Servlet过滤器来提供全面的安全解决方案。该框架...
springsecurity拦截ajax,Spring Security Ajax 被拦截
weixin_39614546的博客
08-05 499
背景是项目中使用Spring Security 进行安全控制再使用Ajax的时候会报 403(ajax get 方式是没问题的 post 的时候会报)Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了...然后下面贴解决方法,页面的head标签里 下记追加(这里要说的是用的是thymeleaf模板 所有才会有 th:如果是jsp的话使用EL表达式吧th:去掉就...
spring security 入门基础,表单认证web页面跳转
最新发布
冬阳
08-22 653
帮助快速搭建springsecurity 基于form表单方式web 传统开发页面跳转流程分析
初识Dubbo学习,一文掌握Dubbo基础知识文集(4)
m0_50308467的博客
12-19 963
在更高级的安全场景下,Dubbo 还可以与分布式安全管理系统进行集成,确保在复杂的多系统、多环境的分布式安全管理需求下能够提供一致的安全保障。这种方式比较通用,但性能一般。它提供了一套完整的解决方案,包括服务注册与发现、负载均衡、远程调用、断路器、配置管理等,以简化分布式系统开发和维护的复杂性。:Spring Cloud是一套基于Spring Boot的分布式系统开发工具集,提供了众多分布式系统的基础设施,如服务注册与发现、服务调用、负载均衡、断路器、网关等,是构建微服务架构的首选框架之一。
Spring Authorization Server常见问题解答(FAQ)
云逸的博客
09-17 1584
文章会记录可能遇到的问题,并给出一个解决方案,目前框架异常提示信息不完善,所以出现问题后很难排查,这里给出一些解决方案,让大家少走一些弯路;本篇文章持续更新中,欢迎各位读者指正、补充和完善,谢谢大家
SpringCloud初识
05-01 352
SpringCloud是分布式微服务架构下的一战式解决方案,是各个微服务架构落地技术的集合体,俗称微服务全家桶。
知乎4000赞,自学Java怎么入门?
沉默王二
12-12 6263
自学 Java 入门系列来了哦
两年了,我写了这些干货!
江南一点雨的专栏
04-03 2737
开公众号差不多两年了,有不少原创教程,当原创越来越多时,大家搜索起来就很不方便,因此做了一个索引帮助大家快速找到需要的文章! Spring Boot系列 SpringBoot+SpringSecurity处理Ajax登录请求 SpringBoot+Vue前后端分离(一):使用SpringSecurity完美处理权限问题1 SpringBoot+Vue前后端分离(二):使用SpringSecuri...
elasticsearch文档索引API(一)
江南一点雨的专栏
11-21 1490
上篇文章向读者介绍了Elasticsearch中文档的基本读写操作流程,以及分片、副本等的工作流程,本文我们来看看Elasticsearch文档索引API。本文是Elas...
初识Spring Boot框架之Spring Boot的自动配置
08-30
Spring Boot的自动配置是其核心特性之一,极大地简化了传统Spring应用的配置工作。自动配置的概念基于条件化配置,使得Spring Boot可以根据项目中存在的类、jar包或特定配置来自动配置相关的Bean。以下是对这一主题...
初识Spring——Spring核心容器
02-24
IOC-InversionofControl,译为控制反转,是一种遵循依赖倒置原则的代码设计思想。所谓依赖倒置,就是把原本的高层建筑依赖底层建筑“倒置”过来,变成底层建筑依赖高层建筑。高层建筑决定需要什么,底层去实现这样的...
一、初识 Spring MVC
08-09
Spring MVC 是一个基于 Java 的轻量级 Web 开发框架,它是 Spring 框架的重要组成部分,主要用于构建 MVC(Model-View-Controller)架构的 Web 应用程序。本篇文章将深入探讨 Spring MVC 的核心概念、工作原理以及...
spring揭秘06-Autowired自动绑定依赖及组件自动扫描
PacosonSWJTU的博客
08-16 626
Resource注解可以替代 @Autowired 与 @Qualilfier这2个注解结合的功能,即根据beanName到spring容器中查找匹配的bean,并注入依赖关系到当前bean(如Jsr250AnnotationBookAppService);
spring中使用到的设计模式有哪些
weixin_47503016的博客
08-12 473
spring 使用到的设计模式
SpringBoot MySQL BinLog 监听数据变化(多库多表)
掐指一算乀缺钱
08-19 508
SpringBoot MySQL BinLog 监听数据变化(多库多表) 库.表,库1.表1,库1.表2
【速览】Spring(更新中)
椰子的职场成长记录
08-19 182
1. IoC (Inversion of Control, 控制反转) 2. DI (Dependency Injection, 依赖注入) 3. AOP (Aspect-Oriented Programming, 面向切面编程) 4. MVC (Model-View-Controller, 模型-视图-控制器)
spring boot自动配置
2301_79694645的博客
08-18 1124
EnableAutoConfiguration 注解内部使用 @Import(AutoConfigurationImportSelector.class) 来加载配置类。配置文件位置:META-INF/spring.factories,该配置文件中定义了大量的配置类,当 SpringBoot 应用启动时,会自动加载这些配置类,初始化Bean并不是所有的Bean都会被初始化,在配置类中使用Condition来加载满足条件的Bean。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空寻流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值