Spring Security源码学习——建造者之WebSecurity

最新推荐文章于 2024-04-11 15:01:07 发布
最新推荐文章于 2024-04-11 15:01:07 发布
阅读量201 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/120288954
版权

前篇:Spring Security源码学习——建造者基础架构

一、源码

WebSecurity 的目标是构建 FilterChainProxy 对象,即构建核心过滤器 springSecurityFilterChain

主要关注由 AbstractConfiguredSecurityBuilder 继承下来的方法实现 performBuild()
在这里插入图片描述

public final class WebSecurity extends
		AbstractConfiguredSecurityBuilder<Filter, WebSecurity> implements
		SecurityBuilder<Filter>, ApplicationContextAware {
		
	private final List<RequestMatcher> ignoredRequests = new ArrayList<>();

	private final List<SecurityBuilder<? extends SecurityFilterChain>> securityFilterChainBuilders = new ArrayList<>();

	private IgnoredRequestConfigurer ignoredRequestRegistry;

	private FilterSecurityInterceptor filterSecurityInterceptor;

	private HttpFirewall httpFirewall;

	private boolean debugEnabled;

	private WebInvocationPrivilegeEvaluator privilegeEvaluator;

	private DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();

	private SecurityExpressionHandler<FilterInvocation> expressionHandler = defaultWebSecurityExpressionHandler;

    @Override
	protected Filter performBuild() throws Exception {
	
		int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
		//创建了一个 SecurityFilterChain存储器
		List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
				chainSize);
		//将那些忽略拦截的URL封装成一堆 DefaultSecurityFilterChain 添加进 securityFilterChains
		for (RequestMatcher ignoredRequest : ignoredRequests) {
			securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
		}
		//调用的是 build() 方法,其实它最终调用的是 HttpSecurity 实现的 performBuild() 方法,返回值也是 DefaultSecurityFilterChain,随后添加进 securityFilterChains
		for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
			securityFilterChains.add(securityFilterChainBuilder.build());
		}
		//根据securityFilterChains 创建出 FilterChainProxy 对象。
		FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
		if (httpFirewall != null) {
			filterChainProxy.setFirewall(httpFirewall);
		}
		filterChainProxy.afterPropertiesSet();

		Filter result = filterChainProxy;
		if (debugEnabled) {
			logger.warn("");
			result = new DebugFilter(filterChainProxy);
		}
		postBuildAction.run();
		return result;
	}

}
二、WebSecurity的初始化
@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {

	private WebSecurity webSecurity;

	private Boolean debugEnabled;

	private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;

	private ClassLoader beanClassLoader;

	@Autowired(required = false)
	private ObjectPostProcessor<Object> objectObjectPostProcessor;

	
	@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
		//创建WebSecurity	
		webSecurity = objectPostProcessor.postProcess(new WebSecurity(objectPostProcessor));
		if (debugEnabled != null) {
			webSecurity.debug(debugEnabled);
		}

		webSecurityConfigurers.sort(AnnotationAwareOrderComparator.INSTANCE);

		Integer previousOrder = null;
		Object previousConfig = null;
		for (SecurityConfigurer<Filter, WebSecurity> config : webSecurityConfigurers) {
			Integer order = AnnotationAwareOrderComparator.lookupOrder(config);
			if (previousOrder != null && previousOrder.equals(order)) {
				throw new IllegalStateException("");
			}
			previousOrder = order;
			previousConfig = config;
		}
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
			webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}

1、实例化并获取容器中的ObjectPostProcessor

2、实例化容器中名字是autowiredWebSecurityConfigurersIgnoreParents的bean并调用其getWebSecurityConfigurers方法,实例化并获取容器中的所有的WebSecurityConfigurer。默认情况下,容器中只有一个WebSecurityConfigurer,那就是DefaultConfigurerAdapter
在这里插入图片描述
SpringSecurity源码学习之SpringSecurity相关配置类的读取中,我们知道DefaultConfigurerAdapter是在SpringBootWebSecurityConfiguration中注册

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = Type.SERVLET)
public class SpringBootWebSecurityConfiguration {

	@Configuration(proxyBeanMethods = false)
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

	}

}

从上面代码中的@ConditionalOnMissingBean,我们可以知道,如果我们注册了自己的WebSecurityConfigurerAdapter,那么DefaultConfigurerAdapter就不会注册

这是一条海鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
SpringSecurityWeb应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用的安全需求,但是功能相对单一。SpringSecurity安全粒度细,与Spring...
Spring SecurityWebSecurity
be Free & Happy
10-09 156
首先,查看WebSecurity类图,如下: SecurityBuilder是基础接口,代码如下: public interface SecurityBuilder<O> { /** * Builds the object and returns it or null. * * @return the Object to be built or null if...
Spring Security】—— WebSecurity
qq_33471737的博客
06-28 650
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurity 的继承关系图 在前面了解过 WebSecurity、HttpSecurity、AuthenticationManagerBuilder 这三个重要构建者公共的部分: |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder 公共的这部分对构建者做扩展,点击这里可以回顾
Spring-Security源码分析】WebSecurity
ywb201314的专栏
03-21 539
对用户请求的认证是使用的authenticationManager.authenticate(),关于这部分请参考https://blog.csdn.net/shenchaohao12321/article/details/87721655,认证成功后会使用accessDecisionManager.decide()方法完成用户访问的授权,下面分析授权流程。使用默认实现,这意味着此后将返回servletPath和pathInfo的原始值,而不是用于安全模式匹配的修改后的值。
Spring Security Web安全性解决方案
HideonHacker的博客
04-11 737
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的...Web集成:Spring Security能够无缝集成到Spring框架和Spring MVC中,提供了过滤器、标签库等工具,简化了权限控制和
基于Java的SSM整合Spring Security设计源码
05-25
源码为基于Java的SSM整合Spring Security设计,包含13个Java文件、8个JSP文件等,共32个文件。该项目旨在为用户提供一个全面、便捷的SSM整合Spring Security解决方案,通过JavaJavaScript技术的结合,为用户带来...
SpringSecurity实战源码
最新发布
07-06
SpringSecurity实战源码
SpringSecurity学习之自定义过滤器的实现代码
08-26
"SpringSecurity学习之自定义过滤器的实现代码" Spring Security学习之自定义过滤器的实现代码主要介绍了Spring Security学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有...
Web 服务规范_第 4 部分:WS-Security源码
11-12
了解 Web 服务规范_第 4 部分:WS-Security源码
Spring Security 源码分析 --- WebSecurity
weixin_30492601的博客
07-13 267
概述 spring security 源码分析系列文章。 源码分析 我们想一下,我们使用 ss 框架的步骤是怎么样的。@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity public class SecurityConfig extends WebSecurityConfigur...
SpringSecurity保护web
码农界扛把子的博客
03-22 228
首先要理解SpringSecurity的模块,一共有11个模块 ACL :支持通过访问控制列表为域对象提供安全性 切面:一个很小的模块,当使用springSecurity注解时,会使用AspectJ的切面,而不是使用标准的SpringAOP CAS客户端:提供与Jasig的中心认证服务进行集成的功能 配置(Configuration):包含通过xml和java配置springSecurity的功能...
Spring Security : Web安全构建器 WebSecurity
Details Inside Spring
09-02 2386
package org.springframework.security.config.annotation.web.builders; // 这里省略了各个 import 导入行 /** * * WebSecurityWebSecurityConfiguration 创建,用于创建 FilterChainProxy, 这个 FilterChainProxy * 也就是通常我们...
16、Spring MVC 之 Web Security
carl.zhao的专栏
11-05 1515
Spring Security是一个单独的项目,它可以无缝的和Spring MVC集成。Spring Security提供会特性保护web应用来自恶意的攻击。
WebSecurity源码分析
ywb201314的专栏
03-22 621
WebSecurityspring-security整个体系里面最为重要的一个安全类,通过之前的文章分析,我们可以得知spring-security是通过一个名称为springSecurityFilterChain的过滤器对所有的请求进行过滤的,同时在WebSecurityConfiguration源码分析中我们可以得知这个过滤器是通过以下方式被WebSecurity构建出来的123456789101112= null&&!if (!});
SpringSecurity Web 权限方案
m0_62946761的博客
01-20 4537
介绍spring security基本功能,包括自定义登录i页面,自定义403页面,相关注解和方法的使用。
SpringSecurity Web权限方案
一名蒟蒻的博客
07-23 230
三、SpringSecurity Web 权限方案 1、设置登录账号、密码 在 application.properties添加相应的配置 spring.security.user.name=test spring.security.user.password=test 编写配置类 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值