SpringSecurity的启动流程

已于 2022-02-14 20:53:36 修改
阅读量3k 收藏 1
点赞数 1
文章标签: java spring spring boot 安全
于 2022-02-13 21:04:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36633432/article/details/122893371
版权
本文详细介绍了SpringSecurity的启动流程,从SpringSecurity简介到其架构图,重点解析了WebSecurityConfiguration类中的配置过程,包括配置类的加载、init和configure方法的执行,以及AuthenticationManager和HttpSecurity的构建。通过理解这一流程,有助于深入掌握SpringSecurity的工作原理。
摘要由CSDN通过智能技术生成

SpringSecurity简介+启动流程

springSecurity简介

springSecurity是基于过滤器链的登录验证和权限校验框架,分为启动流程和执行流程,和实际应用三部部分,本章节介绍它的启动流程。后面陆续介绍它的执行流程和在生产实际中springSecurity+jwt的应用。

springSecurity的架构图

在这里插入图片描述
这是笔者在学习过程中绘画的关于spring-security的类图,springSecurity采用建造者(builder)设计模式,在securityBuild中定义了build方法,通过抽象类AbstractConfiguredSecurityBuilder进行通用实现,从而执行配置类(SecurityConfigurer)中的init方法和configure方法。在启动流程中会做详细介绍。

springSecurity的启动流程

在springSecurity中是通过WebSecurityConfiguration类进行安全相关的配置。该类中重点关注如下代码

@Autowired注解标注在类上在初始化对象的时候会调用该方法一次,并注入objectPostProcessor对象。@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()表示会执行autowiredWebSecurityConfigurersIgnoreParents类中的getWebSecurityConfigurers方法,并将执行结果注入给webSecurityConfigurers参数。在代码3中对该方法做了详细介绍,请在代码二中看此方法说明,也就是将我们的配置类放到List集合中返回。

代码1
@Autowired(required = false)
public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
   
	    //通过objectPostProcessor生成WebSecurity对象
		webSecurity = objectPostProcessor
				.postProcess(new WebSecurity(objectPostProcessor));
		if (debugEnabled != null) {
   
			webSecurity.debug(debugEnabled);
		}
        //如果我们定义了多个配置类,可以实现Ordered接口,并重写getOrder对配置类进行排序,一般只定义一个配置类,所以不需要实现Ordered接口
		webSecurityConfigurers.sort(AnnotationAwareOrderComparator.INSTANCE);

		Integer previousOrder = null;
		Object previousConfig = null;
		for (SecurityConfigurer<Filter, WebSecurity> config : webSecurityConfigurers) {
   
			Integer order = AnnotationAwareOrderComparator.lookupOrder(config);
			//在定义order排序编号过程中不允许重复,负责会报错
			if (previousOrder != null && previousOrder.equals(order)) {
   
				throw new IllegalStateException(
						"@Order on WebSecurityConfigurers must be unique. Order of "
								+ order + " was already used on " + previousConfig + ", so it cannot be used on "
								+ config + " too.");
			}
			previousOrder = order;
			previousConfig = config;
		}
		/**
		*webSecurty是SecurityBuilder类的实现类,apply方法是将配置类放到List集合中,便于执行SecurityBuilder中的build方法,从而
		*执行配置类中的init方法和configure方法,进行相关配置。apply方法请参考代码2
		*/
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
   
			webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}

apply方法实际上执行的是add方法,此时的this变量指向WebSecurity。buildState变量用四种状态:buildState.UNBUILT(初始化状态前),INITIALIZING(初始化状态),BUILDING(构建中状态),BUILT(构建完成状态),会在执行后面的doBuild方法中体现。add方法实际上是将配置类对象放到webSecurity的configurers(linkedHashMap<Class,List>)集合中,换句话说将配置类(实现了SecurityConfigurer接口)放到实现了SecurityBuilder接口中的集合中。

代码2
public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception {
   
		add(configurer);
		return configurer;
	}

private <C extends SecurityConfigurer<O, B>> void add(C configurer) {
   
		Assert.notNull(configurer, "configurer cannot be null");

		Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer
				.getClass();
		//防止并发
		synchronized (configurers) {
   
			if (buildState.isConfigured()) {
   
				throw new IllegalStateException("Cannot apply " + configurer
						+ " to already built object");
			}
			//allowConfigurersOfSameType 未初始化默认的状态是false,代表configurers Map中是否可以存在多个相同类型的配置类,
			//true代表可以,false不行,如果是false,代表Map中value集合的大小只能为1.
			List<SecurityConfigurer<O, B>> configs = allowConfigurersOfSameType ? this.configurers
					.get(clazz) : null;
			if (configs == null) {
   
				configs = new ArrayList<>(1);
			}
			configs.add(configurer);
			//放到configurers Map集合中
			this.configurers.put(clazz, configs);
			//如果对象时初始化状态,则在configurersAddedInInitializing(List<SecurityConfigurer)也进行存放,此时是
			//未构建状态,应该configurersAddedInInitializing集合为空
			if (buildState.isInitializing()) {
   
				this.configurersAddedInInitializing.add(configurer);
			}
		}
	}

getWebSecurityConfigurers方法中获取实现了WebSecurityConfigurer接口的实现类,并添加到List集合列表返回。如果有用过SpringSecurty的同学就会发现,在使用springSecurity中,我们会定义一个安全配置类,继承WebSecurityConfigurerAdapter,并重写configure方法,用来表明对那些资源做拦截,或开启corf等相关配置。

代码3
final class AutowiredWebSecurityConfigurersIgnoreParents {
   

	@SuppressWarnings({
    "rawtypes", "unchecked" })
	public List<SecurityConfigurer<Filter, WebSecurity>> getWebSecurityConfigurers() {
   
		List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers = new ArrayList<>();
		Map<String, WebSecurityConfigurer> beansOfType = beanFactory
				.getBeansOfType(WebSecurityConfigurer.class);
		for (Entry<String, WebSecurityConfigurer> entry : beansOfType.entrySet()) {
   
			webSecurityConfigurers.add(entry.getValue());
		}
		return webSecurityConfigurers;
	}
}

通过上述代码在webSecurity对象中已经将配置类放入到WebSecurity的List集合中。最后执行webSecurity的build方法。

代码4
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
   
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		//如果我们没有定义配置类,将会默认生成一个配置对象,进行默认的配置
		if (!hasConfigurers) {
   
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
   
					});
			webSecurity.apply(adapter)
最低0.47元/天 解锁文章
小兔子不吃草
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 教程(Spring Security Tutorial)1
08-04
摘要认证的密码加密通用密码加密Remember-Me(记住我)认证:基于散列的令牌方法Remember-Me(记住我)认证:基于持久化的令牌方法OAuth 2.
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程图 SpringSecurity系统启动流程 SpringSecurity调用流程
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 4666
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Spring Security启动流程
呜呼哈
04-26 1053
SecurityConfigurer 用来配置SecurityBuilder的超类。 所有SecurityConfigurer首先调用其init(SecurityBuilder)方法。 再调用了所有init(SecurityBuilder)方法之后,调用每个configure(SecurityBuilder)方法。 public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { /** 初始化Se.
详解SpringSecurity启动流程
2301_76607156的博客
04-20 312
全部弄得明明白白,必须要精研源码,在初期,我们只要知道它的一条主脉络,在之后的使用中,哪出了问题你可以直接去定位到可能是哪有问题,这样就已经很好了,学习是一个循环渐进的过程。中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东西,也知道它到底是干什么用的,但是我们却不知道这个过滤器链是由什么类什么时候去怎么样创建出来的。其次,还有一个重点就是倒数第二行代码,我也加上了注释,我们一般在我们自定义的配置类中重写的就是这个方法,所以我们的自定义配置就是在这里生效的。
Spring Security启动加载流程分析
让兔子飞得更高
01-24 694
主要参考博文:Spring Security启动加载流程梳理 补充博文:DelegatingFilterProxy的作用与用法 &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt; org.springframework...
SpringSecurity - 启动流程分析(一)
业精于勤荒于嬉
07-21 1258
SpringSecurity 流程分析
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
Spring security登录过程逻辑详解
08-19
Spring Security 登录过程逻辑详解 Spring Security 是一个广泛使用的 Java 安全框架,提供了完善的身份验证和授权机制。本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解...
SpringSecurity 启动构建过程
u012329294的专栏
03-01 285
如上图,SpringSecurity启动构建过程 1)boot的main函数run 2)context进行refresh() 3)beans通过getBean(beanName) 创建所有注解对象 4)security在Config的annotation目录下的web/configuration下创建webSecurityConfiguration实例 构造出核心的s...
SpringSecurity启动流程源码解析
qq_49144601的博客
07-15 425
前面两期我讲了SpringSecurity认证流程和SpringSecurity鉴权流程,今天是第三期,是SpringSecurity的收尾工作,讲SpringSecurity启动流程。 就像很多电影拍火了之后其续作往往是前作的前期故事一样,我这个第三期要讲的SpringSecurity启动流程也是不择不扣的"前期故事",它能帮助你真正认清SpringSecurity的整体全貌。 在之前的文章里,在说到SpringSecurity中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东
spring security启动流程解析(一)SecurityAutoConfiguration
a807719447的专栏
11-21 3394
springboot体系下我们一般是找 xxxAutoConfiguration,那么这里我们可以通过查找securityAutoConfiguration可以找到如下类: SecurityAutoConfiguration SecurityFilterAutoConfiguration SecurityRequestMatcherProviderAutoConfiguration ManagementWebSecurityAutoConfiguration MockMvcSecurityAutoCon
Spring-Security 运行流程
u012156496的博客
12-06 1万+
Spring-Security 运行流程首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得
Spring-Security框架的启动过程
weixin_42145727的博客
03-23 410
spring通过自动配置导入WebSecurityConfigurerAdapter扩展,然后实例化HttpSecurity,使用扩展对HttpSecurity进行配置,得到 完成配置后注入到DelegatingFilterProxy中,由DelegatingFilterProxyRegistrationBean添加到tomcat容器中,这样就能通过过滤器DelegatingFilterProxy找到FilterChainProxy完成过滤器的调用
SpringBoot Security 启动过程
Logicr的博客
12-30 268
启动流程图Tomcat中StandardWrapperValve类调ApplicationFilterFactory获取filterChainspringSecurityFilterChain等放到数组里获取FilterChain对象,传给DelegatingFilterProxy这个代理类处理获取DelegatingFilterProxy bean获取代理对象delegate,传入invokeDelegateFilterChainProxy extends GenericFilterBean 代理类开始工
SpringSecurity - 启动流程分析(二)
业精于勤荒于嬉
07-22 516
SpringSecurity - 启动流程分析(二)
默认SpringSecurity大致启动流程源码分析
HHoao的博客
05-05 640
默认SpringSecurity大致启动流程源码分析
SpringSecurity启动器
热门推荐
钟健的博客
03-22 6万+
Spring Security 启动器 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写 SpringSecurityConfig 安全配置类 SpringSecurityConfig 安全控制配置类作为安全控制中心, 用
springsecurity启动流程
06-06
Spring Security启动流程如下: 1. 首先,Spring Security会读取配置文件中的安全配置信息,包括认证方式、授权方式、角色权限等。 2. 接着,Spring Security会根据配置信息创建相应的过滤器链,用于处理请求的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值