SpringSecurity灵魂剖析

最新推荐文章于 2023-01-19 10:45:52 发布
最新推荐文章于 2023-01-19 10:45:52 发布
阅读量167 收藏
点赞数 1
分类专栏: SpringBoot Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38181949/article/details/109604905
版权

SpringSecurity原理剖析

一.前言

​ 在SpringBoot大行其道的时代里,安全认证也被加入Spring家族中。SpringSecurity和Spring做了很好的集成,也是倍受欢迎。但是在使用SpringSecurity的时候会很苦恼,只是按照网上的帖子配置一下,但是具体的运行流程与原理很多人却是很蒙蔽。具体的原理也是一知半解的,源码看不懂,很多人在学习的道路上走着走着就不见了… 本人也苦于SpringSecurity原理的困扰很久,经过了九九八十一天的刻苦钻研,得到一些领悟,特此记录,以供日后翻阅。

​ 目录中的前三章节在网上都可以随处搜索的到,本文重点讲解配置之外的深层次的原理。

一. 配置Spring Security的依赖

​ 首先搭建一个SpringBoot项目,在该项目中引入Spring Security的依赖包,不多说,直接上pom的依赖配置

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- jwt token令牌 -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.3</version>
        </dependency>

        <!-- Spring security 安全认证 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

二.继承WebSecurityConfigurerAdapter 配置安全认证

@Component
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter; // JWT拦截器
    @Autowired
    private AjaxAuthenticationEntryPointHandler entryPointHandler;//未登陆handler
    @Autowired
    private AjaxAccessDeniedHandler accessDeniedHandler; //无权限访问handler
    @Autowired
    private AjaxAuthenticationFailureHandler failureHandler; //登陆失败handler
    @Autowired
    private AjaxLogoutSuccessHandler logoutHandler;//退出handler
    @Autowired
    private AjaxAuthenticationSuccessHandler successHandler;//登陆成功handler
    @Autowired
    private UserDetailsServerImpl detailsServer;
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Autowired
    private SecurityProperties securityProperties;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(detailsServer).passwordEncoder(passwordEncoder);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(securityProperties.getUris().toArray(new String[0]));
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .httpBasic().authenticationEntryPoint(entryPointHandler)
                .and()
                .formLogin()
                .successHandler(successHandler)
                .failureHandler(failureHandler)
                .and()
                .logout()
                .logoutSuccessHandler(logoutHandler)
                .permitAll()
                .and()
                .authorizeRequests()
                .anyRequest()
                .access("@RBACAuthorityManager.hasPermission(request,authentication)")
                .and()
                .exceptionHandling().accessDeniedHandler(accessDeniedHandler);
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //http.userDetailsService(detailsServer);
    }

    public String encoder(String pwd) {
        return passwordEncoder.encode(pwd);
    }
}

三. Filter过滤器的加载

​ 在以上的配置中,整个核心的安全配置都是通过HttpSecurity来完成的,究竟HttpSecurity为我们做了些什么呢?请看下方:

在这里插入图片描述

​ HttpSecurity 这个对象中维护了一个Filter数组,Spring在启动的时候会将那些配置的Filter加入到HttpSecurity这个Filter数组中。接下来我们看看有多少对象调用了this.filters.add(filter) 方法。

在这里插入图片描述

​ 我们看到有各种的Configurer在调用HttpSecurity 对象的 addFilter(Filter filter) 方法,在往HttpSecurity 对象的fiters集合中添加Filter过滤器。

​ 以CorsConfigurer 为例子,CorsConfigurer 继承了 AbstractHttpConfigurer,重写了configure方法,并在该方法中调用了HttpSecurity http.addFilter(corsFilter)。当我们给HttpSecurity 配置了.cors()的时候,那么这个CorsFilter就会被正式的加入到HttpSecurity中,并对所有的请求进行拦截。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

四.Filter过滤器的排序

知道Filter过滤器的加载怎么加载到HttpSecurity之后,我们需要构建一个过滤器链DefaultSecurityFilterChain,

当后期所有的请求进来之后,都需要经过这个过滤器链的认证。

在这里插入图片描述

​ 在这一步是对所有的过滤器进行一个排序,并形成一个过滤器链。具体的排序规则详见FilterComparator,在FilterComparator中已经规定好了各个过滤器的顺序, 如下图:

在这里插入图片描述

五. 过滤器链的排序

​ 启动项目,在HttpSecurity的performBuid()方法打上断点,发现在此处对加入的所有的过滤器进行了一个排序操作。排序的规则和 FilterComparator一致。在我们这次的配置中,过滤器链中一共有13个过滤器,并且WebAsyncManagerIntegrationFilter在最前边。

在这里插入图片描述

六.过滤器对请求的处理

通过以上步骤,我们知道了当前项目中有13个过滤器,接下来依次对这13Filter进行打断点,向后台发送请求。

通过断点可以发现整个的请求顺序和DefaultSecurityFilterChain 中过滤器的顺序是一致的,WebAsyncManagerIntegrationFilter最先被处理,FilterSecurityInterceptor被最后处理。所有的Filter过滤器都通过了,才会进入到业务层。如果在某一个过滤器中验证失败,则该请求将会被拒绝。

到此一个完整的SpringSecurity请求拦截也就全部清楚了,在项目中到底有哪些过滤器,我们只需要打个断点看看过滤器链中有哪些,我们也可以自定义过滤器加入到HttpSecurity中即可。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

山顶上的飞机
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud:认证 授权 OAuth2、JWT
泛泛之素
06-09 6894
OAuth2 OAuth2是当前授权的行业标准,其重点在于为Web应用程序、桌面应用程序、移动设备以及室内设备的授权流程提供简单的客户端开发方式。它为第三方应用提供对HTTP服务的有限访问,既可以是资源拥有者通过授权允许第三方应用获取HTTP服务,也可以是第三方以自己的名义获取访问权限。 角色 OAuth2中主要分为了4种角色: Resource Owner(资源所有者),是能够对受保护的资源授予访问权限的实体,可以是一个用户,这时会称为终端用户(end-user)。 Resource Server(资源
OAther2【代码实现认证流程】
m0_73647713的博客
12-26 417
1.访问getcode--这个类发送认证请求给回调地址(CLIENT_ID,CALLBACKCODE,RESPONSE_TYPE) OAuthClientRequest。1.用户访问相关网站gitee-->选择第三方登录(授权码模式,重定向路径redirec_uri,clint_id)5.gitee收到授权码,根据授权码获取令牌(这里要判断code,client_id,client_密钥)4.第三方返回授权码(重定向路径redirec_uri)2.跳转第三方授权(第三方的账号密码或者扫码授权)
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
什么是OAuth2
weixin_60257072的博客
01-19 1581
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本节使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。授权码模式简单理解是使用授权码去获取令牌,要想获取令牌先要获取授权码,授权码的获取需要资源拥有者亲自授权同意才可以获取。
微信oauth2授权登录实践
热门推荐
MJ的博客
11-01 1万+
1、准备工作 微信公众平台测试号申请一个帐号,扫码登录 扫码关注一下,否则获取授权码时报错 授权成功回调地址redirect_url配置,可配置baidu.com,有些域名会有问题 绑定微信开发者账号 二、按照文档走oauth2授权码流程 1.获取授权码。scope为snsapi_base为静默模式及自动授权不会弹框,而snsapi_userinfo则必须显示点击确认授权按钮。redirecurl需要URLencode一下。 https://open.weixin.qq.com
安全研发备战笔记
yib0y的博客
03-10 290
做安全研发太难了。。。。 渗透得懂,开发得会,企业安全建设得精。 WEB渗透测试: https://www.jianshu.com/p/bce07495b77c https://blog.csdn.net/yexudengzhidao/article/details/93527586 https://blog.csdn.net/autumn20080101/article/details/5107...
Spring+源码+深度解析
05-16
Spring的DI机制是其灵魂所在,通过反转控制,使得对象之间的依赖关系由框架来管理。在源码中,我们可以看到BeanFactory和ApplicationContext接口是如何实现依赖查找和注入的。同时,注解驱动的DI,如@Autowired和@...
chapter1.zip
04-28
在核心概念方面,Spring Boot的“自动配置”是其灵魂所在。它通过“@EnableAutoConfiguration”注解自动识别并配置相关的Bean,极大地简化了项目初始化过程。此外,“Starter POMs”是Spring Boot的另一大特色,这些...
基于Spring Boot+mysql的考研资讯平台系统设计与实现(源码+文档).zip
04-26
可能使用Spring Security进行权限控制,实现用户登录验证、权限分配等功能,确保系统安全。 8. **文档编写**: 包含的“设计文档.doc”、“readme.docx”和“设计文档.ppt”可能是系统的详细设计文档、使用说明和...
基于Springboot电影推荐系统的设计与实现(视频)_kaic.zip
最新发布
04-04
推荐算法是整个系统的灵魂。常见的推荐算法有基于内容的过滤、协同过滤、矩阵分解等。其中,协同过滤分为用户-用户和物品-物品两种,可以根据用户历史行为预测其可能感兴趣的电影。矩阵分解(如SVD)则通过降维处理...
JAVA办公自动化系统(源代码+论文+外文翻译).rar
04-14
1. 用户管理:包括用户注册、登录、权限分配等功能,通常会用到Spring Security或者Apache Shiro等安全框架。 2. 功能模块:如文档管理、任务分配、会议安排、邮件通知等,这些功能通常通过MVC(Model-View-...
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1000
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
* 深入理解SpringSecurity **
暗余的博客
04-01 900
SpringSecurity 开发基于表单的认证 内容简介: SpringSecurity基本原理 实现用户名+密码认证 实现手机号+短信认证 一. SpringSecurity的基本原理 1.1 SpringSecurity的开关: 在application.properties中可以设置: Security.basic.enabled=false 当注释掉这句的时候,默认开启,...
springSecurity初识-练气初期
qq_43788185的博客
09-05 240
1.写在前面 Spring Security是一个框架,提供针对常见攻击的身份验证,授权和保护。通过对命令式和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实标准。 Spring Securityspring AOP思想的具体实现。它基于servlet过滤器实现访问控制。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架 (画外音:学起来有点复杂,相对于Shiro)。 2. Spring Security主要jar包功能介绍 spring-security-core.
SpringSecurity基本原理
smartsteps的博客
09-07 169
基本原理 2.核心类
Spring Security 之基本概念
weixin_34269583的博客
11-13 164
Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证. 不得不说, Spring Security 是一个非常庞大的框架, 非常值得花时间好好学习. =========...
SpringBoot启动图像设置
qq_38181949的博客
06-15 6118
看别人SpringBoot项目中经常自定义启动图像,闲来无事,网上找了几个生成banner.txt的网址 1.个人比较喜欢这个网站,看着舒服 https://www.bootschool.net/ascii 2.http://patorjk.com/software/taag/#p=display&f=Graffiti&t=Type Something 3.http://www....
记录使用Spring MultipartFile上传文件超过最大限制时,无法捕获MaxUploadSizeExceededException异常的问题
qq_38181949的博客
01-07 4232
一:MaxUploadSizeExceededException 问题 SpringBoot项目配置了配置了上传文件的最大值限制,当上传的文件超过最大值的限制时会抛出MaxUploadSizeExceededException异常,如下: 2020-01-07 09:40:31 [http-nio-8081-exec-1] [ERROR] o.a.c.c.C.[.[.[/video].[dispa...
@MappedSupperclass、@EntityListeners注解注意事项
qq_38181949的博客
06-14 2248
1. @MappedSupperclass注解 (1) 该注解标注在类上,用来标识父类; (2) 该注解标识的类不能映射到数据库,被标识的类的属性必须通过子类来映射; (3) 该注解标识了类之后,不能再有@Entity和@Table注解标识该类 (4) 标识有该注解的类,通常属性上用以下注解@Id @GeneratedVale(strategy=GenerationType.IDENTITY) ...
Spring Security3 深度源码剖析
书中详细剖析Spring Security 3的核心组件和工作流程,帮助读者深入理解其内部机制。 1. **FilterChainProxy初始化**:Spring Security 的核心是基于过滤器的架构,FilterChainProxy 负责组织和管理多个安全过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值