Spring Security源码学习——建造者基础架构

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量243 收藏
点赞数
分类专栏: Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/120272957
版权
前言

Spring Security整个框架的核心就是构建一个名字为 springSecurityFilterChain 的过滤器Bean,它的类型是 FilterChainProxy

它整个框架主要由 建造者 和 配置器 构成,在服务启动时就是 通过配置器对建造者进行配置 ,配置完成再由建造者创建出核心过滤器。

本文主要讲的就是他的建造者

1、SecurityBuilder
public interface SecurityBuilder<O> {
	O build() throws Exception;
}

其类继承结构图如下
在这里插入图片描述

基本实现是AbstractConfiguredSecurityBuilder及其子类AbstractConfiguredSecurityBuilder。

WebSecurity构建目标是整个Spring Security安全过滤器FilterChainProxy,
HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。
AuthenticationManagerBuilder的作用是构建AuthenticationManager

2、AbstractSecurityBuilder

说明:SecurityBuilder的抽象子类,确保建造者只被构建一次,对父接口方法 build() 进行了原子判断,保证每次只构建一次,定义了一个抽象方法 doBuild() 供子类扩展

public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> {

	private AtomicBoolean building = new AtomicBoolean();

	private O object;
	
	public final O build() throws Exception {
		if (this.building.compareAndSet(false, true)) {
			this.object = doBuild();
			return this.object;
		}
		throw new AlreadyBuiltException("This object has already been built");
	}
	
	public final O getObject() {
		if (!this.building.get()) {
			throw new IllegalStateException("This object has not been built");
		}
		return this.object;
	}
	protected abstract O doBuild() throws Exception;
}
2、AbstractConfiguredSecurityBuilder
public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>>
		extends AbstractSecurityBuilder<O> {
	
	/// 所要应用到当前 SecurityBuilder 上的所有的 SecurityConfigurer
	private final LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, List<SecurityConfigurer<O, B>>> configurers = new LinkedHashMap<>();
	
	//  用于记录在初始化期间添加进来的 SecurityConfigurer
	private final List<SecurityConfigurer<O, B>> configurersAddedInInitializing = new ArrayList<>();

   // 共享对象
	private final Map<Class<?>, Object> sharedObjects = new HashMap<>();

	private final boolean allowConfigurersOfSameType;

	private BuildState buildState = BuildState.UNBUILT;

	private ObjectPostProcessor<Object> objectPostProcessor;


	//允许配置器应用到建造者中,实际上就是把各种配置添加到该类定义的配置器列表 configurers、configurersAddedInInitializing
	private <C extends SecurityConfigurer<O, B>> void add(C configurer) {
		Assert.notNull(configurer, "configurer cannot be null");

		Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer
				.getClass();
		synchronized (configurers) {
			if (buildState.isConfigured()) {
				throw new IllegalStateException("Cannot apply " + configurer
						+ " to already built object");
			}
			List<SecurityConfigurer<O, B>> configs = allowConfigurersOfSameType ? this.configurers
					.get(clazz) : null;
			if (configs == null) {
				configs = new ArrayList<>(1);
			}
			configs.add(configurer);
			this.configurers.put(clazz, configs);
			if (buildState.isInitializing()) {
				this.configurersAddedInInitializing.add(configurer);
			}
		}
	}





	//实现的父类方法,真正执行构建的方法,方法中调用了 init()、configure()
	protected final O doBuild() throws Exception {
		synchronized (configurers) {
			buildState = BuildState.INITIALIZING;

			beforeInit();
			init();

			buildState = BuildState.CONFIGURING;

			beforeConfigure();
			configure();

			buildState = BuildState.BUILDING;

			O result = performBuild();

			buildState = BuildState.BUILT;

			return result;
		}
	}


	protected void beforeInit() throws Exception {
	}

	
	protected void beforeConfigure() throws Exception {
	}

	//配置完所有之后,进行实际的执行,该方法是抽象方法,留给下层子类(WebSecurity、HttpSecurity) 实现
	protected abstract O performBuild() throws Exception;

	//循环初始化所有的 configurers、configurersAddedInInitializing 配置
	private void init() throws Exception {
		Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

		for (SecurityConfigurer<O, B> configurer : configurers) {
			configurer.init((B) this);
		}

		for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {
			configurer.init((B) this);
		}
	}

	//循环配置所有的 configurers
	private void configure() throws Exception {
		Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

		for (SecurityConfigurer<O, B> configurer : configurers) {
			configurer.configure((B) this);
		}
	}

}
这是一条海鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA架构师学习路线图(绝对详细)
M11223344555的博客
03-28 4190
JAVA架构师学习路线图(绝对详细) 性能调优 Jvm性能调优 JVM类加载机制详解 JVM内存模型 垃圾收集机制详解 十种垃圾收集器详解 JVM调优工具详解 GC日志详细分析 JVM调优实战 Mysql性能调优 SQL执行原理详解 索引底层剖析 执行计划与SQL优化 Mysql锁机制与事务隔离级别详解 Tomcat调优 整体认知Tomcat项目架构 生产环境配置 掌握Tomcat 线程模型背后原理 Nginx调优 Nginx快速掌握 熟练掌握Nginx核心配置 掌握Nginx负载算法配置 并发编程 操作系
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2710
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
springSecurity配置详解
andyaqu的专栏
07-25 485
SpringSide 3的官方文档中,说安全框架使用的是Spring Security 2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi 2.0的官方文档后,一切都释然了。 先来谈一谈A...
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3923
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
Spring security源码解析系列01--- 创建一个简单项目
一直打铁
11-11 226
目录一、介绍二、创建项目2.1 从Spring Initializr 直接生成下载2.1 从IDEA 直接生成2.3 pom.xml二、添加接口三、启动登录四、修改用户名和密码 一、介绍 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security 官方地址 系列的介绍一个技术时, 有两种方法, 一种就是根据项目代码 层层递进, 另外一种就是从 整理架构开始,循着架构 解析每一个点, 这是跟着代码层
SpringSecurity入门到源码分析(一):项目搭建与基本原理
敲代码的旺财的博客
05-24 973
最近工作中用到了SpringSecurity来做SSO登录,之前一直用的是shiro+cas的方式做SSO登录,学习过程中也是遇到了不少的坑,写点东西记录学到的知识,也做个知识分享。 一、SpringSecurity简介 SpringSecurity基于Spring框架,提供一套web安全性的解决方案。主要包括用户认证和用户授权两个方面:用户认证就是我们常说的...
源码角度拆解SpringSecurity之万能的SecurityBuilder
会飞的耗子
03-31 948
上一篇我们梳理了整个框架的核心流程,知道了SpringSecurity其实是基于Filter来实现的认证和权限管理,以及它是如何一步步被创建出来的。可是我们使用SpringSecurity框架时最特别的代码就是 **“http.xxx().xxx().and().xxx()...”** 了吧,这些语句其实就是我们定义的配置,那么这些配置又是如何被加载到框架中的呢,本章我们就一起来进行拆解吧。
从GitHub火到了boss直聘!共计1658页的《Java岗面试核心MCA版》,拿走不谢
Java5658的博客
06-10 282
2019年我凭借一份《Java面试核心知识点》成功拿下了阿、字节、小米等大厂的offer,两年的时间,为了完成我给自己立的flag(拿下一线互联网企业offer大满贯),即使在职也一直在不断的学习与备战面试中!...
学会了提薪 32K!共计 1658 页的《java 岗面试核心》
weixin_70730532的博客
08-19 213
2019 年我凭借一份《Java 面试核心知识点》成功拿下了阿、字节、小米等大厂的 offer,两年的时间,为了完成我给自己立的 flag(拿下一线互联网企业 offer 大满贯),即使在职也一直在不断的学习与备战面试中!不得不说程序员除了做项目之外,提升自己技能最快的方式就是和,这说的刷题不是无脑刷,而是要明白面试官为什么会问这个问题,以及这个问题的意义在哪!今天带来的是 2022 全新升级的,这个版本面不仅仅包含了面试题,还有更多的技术难点、等等,!
人类高质量 Java 学习路线【一条龙版】
Feng_clay的博客
12-04 1562
大家好,我是张讨嫌。现在网上的编程资料实在太多了,而且人人肯定都说自己的最好,那就导致大家又不知道怎么选了。大部分的博主推荐资源,也就是把播放量高的视频说一遍,水一期视频,没有一条很清晰的学习路线。 所以今天我的这个 Java 学习路线就做做减法,给大家来个一条龙服务,Java 要学的知识点、对应的最佳学习资源和预计要花费的时间,都安排的明明白白的,不用选了,有计划了,也别再迷茫和纠结了,就无脑跟着学就行了。 我还在文档中整理了链接,也不用自己搜了,还有思维导图。 大纲 实在太长了,没办法全部展开,
spring security初步搭建
09-26
SpringSecurity框架,初步搭建成功,注释很详细。有一些开发过程中注释的源码,对使用security框架有一定帮助
SpringSecurity基本原理图
11-12
Security基本执行过程的分析和各个环节类执行的分析。
教你搭建SpringSecurity3框架(附源码
weixin_34248258的博客
12-04 59
源码下载地址:http://pan.baidu.com/s/1qWsgIg0 一、web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org...
Spring Security - Spring Security Architecture(Spring安全框架的体系结构)
swadian2008的博客
08-06 448
目录1. Introduction(简介)2. Authentication(认证) & Access Control(访问控制)2.1 Authentication(认证)2.2 Customizing Authentication Managers(自定义认证管理器)2.3 Authorization or Access Control(授权或访问控制)3. Web Security(Web安全)3.1 Web Security基本组件3.2 Creating and Customizing Filte
Spring Security源码(一):整体框架设计
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-06 2090
整个框架的核心就是构建一个名字为 springSecurityFilterChain 的过滤器,它的类型是 FilterChainProxy
Spring Security Config : 概念模型接口 SecurityBuilder
Details Inside Spring
05-06 1196
源代码版本 : Spring Security Config 5.1.4.RELEASE SecurityBuilder是Spring Security Config对安全构建器的概念建模接口,该接口约定了Spring Security Config的各种安全构建器实现类的统一行为: 执行构建调用 #build() 方法; 这是一个泛型接口,泛型参数O表示目标构建对象的类型(O可以理解成是...
Spring Security 架构
love_asia的专栏
11-02 114
官网文档描述有点模糊,自己调试一下。确实在容器的Filter Chain安装了一个springSecurityFilterChain。 看一下这个springSecurityFilterChain有啥。 重点都在这个FilterSecurityInterceptor了。 看看面配置的啥。 嗯。对应一下代码: 配置顺序很重要。 ...
spring security-源码流程分析(一)
luoxiaomei999的博客
02-25 821
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 环境 springboot: 2.3.4.RELEASE spring security :spring-boot-starter-security版本跟随springboot 一、springboot默认自动配置了security,我们看下security相关类都是在什么情况下加载的 如上图,securit.
深入解析Spring Security源码
"本文将对Spring Security源码进行分析,主要关注`ConfigAttributeDefinition`和`ConfigAttributeEditor`两个类的实现与作用。" 在Spring Security框架中,`ConfigAttributeDefinition`扮演着至关重要的角色,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值