SpringSecurity源码分析

最新推荐文章于 2024-11-16 17:49:09 发布
最新推荐文章于 2024-11-16 17:49:09 发布
阅读量65 收藏
点赞数
文章标签: java spring spring cloud Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38470315/article/details/129640411
版权

DelegatingFilterProxy源码分析

说明该方法会在DelegatingFilterProxy初始化的时候调用,目的是创建一个链式调用的Filter类型是FilterChainProxy该类实际上是Filter的一个实现类。

FilterChainProxy源码分析

  1. FilterInvocation是Spring的一个不同的Bean该方方法中实际上就上将ServletRequest和ServletResponse转换为HttpServletRequest和HttpServletResponse。

  1. 重点看一下getFilters方法。

  1. 如果该请求下没有相应的Security过滤器,就直接放行

  1. 创建一个VertualFilterChain该Chain作为FilterChain下的一个子Chain主要是实现SpringSecurity相关Filter的链式调用。

接下来看看VertualFilterChain的doFilter调用代码:

  1. 调用VirtualFilterChain的doFilter方法,调用参数参数链式调用。

核心过滤器介绍

SecurityContextPersistenceFilter

该Filter主要是通过SecurityContext作为SpringSecurity执行的上下文,这里一般会保存用的的登录的Authentication信息。而且SpringSecurity会在请求路由的时候将SecurityContext作为HttpSession的一个命名属性存储。同样SpringSecurty会通过SecurityContextHolder类来方便的获取SecurityContext里面的信息。在每一次请求结束的时候,该filter负责清空SecurityContextHolder里面的内容。SpringSecurity建议为了安全考虑,不建议用户直接的去访问HttpSession。最简单直接的做法就是直接操作SecurityContextHolder类。

注意:这里如果在多个request并发访问的时候,会出现多个Request中从Session获取的是同一个SecurityContext,此时可能会出现一个SecurityContext被多个线程共同访问。此时为了避免多线程之间由于访问的一个session获取的同一个SecurityContext修改造成的影响,建议用户可以自己创建一个使用SecurityContextHolder的createEmptyContext方法创建一个新的临时的对象为每一个请求。并且将用户的认证信息存储到SecurityContext中,这样就不会影响其他线程中的数据了。

UsernamePasswordAuthenticationFilter

这个Filter是最常见并且需要定制的Filter之一。通常需要用户覆盖率比较高。该Filter在SecurityContextPersistentFilter之后被调用。该Filter继承自AbstractAuthenticationProcessingFilter。一般在继承AbstractAuthenticationProcessingFilter的时候只需要覆盖其attemptAuthentication方法。下面看看源码分析

看看该方法内部实现:

如果是登陆认证URl就执行

填充用户登录认证信息代码:

该Filter获取ProviderManager该类负责查询用户的DB信息以及角色相关信息并返回

Authentication对象。下面看一下ProviderManager对象的authenticate方法。

查看DAOAuthenticationProvider方法:

查看UserDetailService#loadUserbyName方法

DAOAuthenticationProvider调用UserService结束后需要对用户的状态做校验

Spring Security源码解析(一)
qq_40577332的博客
05-30 3411
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
SpringSecurity异常处理源码解析
HHoao的博客
05-03 826
SpringSecurity异常处理源码解析 异常处理主要是由ExceptionTranslationFilter完成的,而ExceptionTranslationFilter是由ExceptionHandlingConfigurer配置的,所以我们从ExceptionHandlingConfigurer开始解析 我们首先看ExceptionHandlingConfigurer的configure(Httpsecurity security)方法: @Override public void configu
Spring Security 源码分析(一):过滤器链
ywb201314的专栏
03-22 562
实例 调用apply方法获取中的配置,并调用buildinit();/*** 内部配置初始化*//*** 配置逻辑*/可以看到构建操作为将通过apply方法应用进来的配置分别初始化和构建,链条为。中的(认证管理器生成配置)、(过滤器管理器生成配置)、(过滤器生成配置) 都是继承通过这个链条生成目标对象,这 3 个配置也是的配置核心。
SpringSecurity源码分析(二) SpringBoot集成SpringSecuritySpring安全框架的执行过程
xl649138628的专栏
02-23 433
SpringSecurity的执行过程
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1511
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
3.springSecurity源码分析1
08-03
3.springSecurity源码分析1
spring security源码分析.pdf
07-11
### Spring Security 源码分析知识点 #### 一、Spring Security 概述 Spring Security 是一个强大且可高度定制的身份验证和访问控制框架。它提供了许多功能,包括登录表单、记住密码、CSRF 保护等。为了更好地理解...
springsecurity源码分析
03-16
Spring Security源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring ...
Mybatis
庸不易的博客
11-15 792
1、定义不同:#{} 预处理:而 ${} 是直接替换2、使用不同:#{} 适用于所有类型的参数匹配;但 ${} 只适用于数值类型。3、安全性不同:#{} 性能高,并且没有安全问题;但 $ {} 存在 SQL 注入的安全问题。4、使用场景不同:当传递的是一个 SQL 关键字 的时候,只能 使用 ${}。当传递的是一个字段,总之,就是需要获取到参数类型 与 内容,只能使用 #{}。(PS:数字类型,#{} 和 ${} 都是可以使用的!5、 ${} 不能用于 模糊匹配查询;
1112--接口
kequanrrr的博客
11-12 455
interface + 接口名{ }。。。。implements 接口名{ }接口:接口中的抽象方法可以省略 abstract 关键字使用:要实现接口中的所有 抽象方法隐含三个修饰符:public+static+final2.单继承 多接口。
SpringBoot(五)
₍˄·͈༝·͈˄*₎◞ ̑̑的博客
11-13 932
Rest请求处理
java加锁问题详解
qq_74056922的博客
11-14 762
java(JVAM)对加锁的API进行了封装,通过使用synchronized关键字来完成加锁操作。
什么是面向对象编程?什么是面向过程编程?
m0_70208894的博客
11-15 514
不同的编程范式适用于不同的场景,选择合适的范式可以提高代码的可维护性、可读性和效率。Java 和 Go 的选择反映了不同的设计哲学,Java 更加注重封装和对象的使用,而 Go 更加简洁,强调过程和函数的使用。
HashMap源码分析
最新发布
L25000的专栏
11-16 613
如果这个cap刚好是2的幂次方呢,即4,8,16,32,64等这样的,这样的数已经满足条件了,再减去1,把数变成3,7,31,63。,即hash值的第5为是1,这样在扩容到32后,取索引得出来的结果就和16的不一样了,索引位置比oldCap大了一个oldCap值;,求余数,n是一个2的幂次方数,减去1,即后面全是1,前面全是0,与上这个hash,只能保证经过运算,结果都会在。,即hash值的第5为是0,这样在扩容到32后,取索引得出来的结果还是和16的一样;cap=1,2的0次方就等于1,返回的是就是4。
如何合理设计一套springcloud+springboot项目中的各个微服务模块之间的继承关系的最优方案
tigerhhzz的博客
11-14 1132
文章目录一、模块化设计所遵循的原则二、项目架构设计三、各个模块作用说明3.1 core 模块3.2 common 模块3.3 generatorcode模块3.4 business 模块3.5 web 模块3.6 admin 模块3.7 父pom四、采用import引入SpringBoot 在springcloud微服务项目中经常用到多模块化的架构设计,随着业务模块的增多,各个服务模块之间的依赖关系就越来越复杂;本文从项目起初的搭建,给出一套Model优秀设计方案。 一、模块化设计所遵循的原则 单一职责
BP新增页签增强
BinGeneral的博客
11-15 878
以上就是BP新增页签的介绍,希望对您有所帮助。在总结过程中,该篇文档给予了极大的帮助和借鉴。
深入理解Java的类加载与卸载机制
Luffy的博客
11-12 1206
类加载是指JVM将.class文件中的二进制数据读入内存中,经过一系列验证、解析和初始化,最终在JVM中生成可以被使用的Class对象。JVM会为每个类加载并生成一个唯一的Class对象,这个对象封装了类的所有信息,包括方法、属性等。类加载的三大步骤:1.加载(Loading):从不同的源(如文件、网络)获取类的二进制字节码,并生成Class对象。2.链接(Linking):对类的二进制进行校验和解析,确保类文件格式正确。验证(Verification):检查字节码是否符合JVM的规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java码库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值