SpringSecurity------HttpSecurityConfiguration配置类

最新推荐文章于 2024-05-28 11:28:22 发布
最新推荐文章于 2024-05-28 11:28:22 发布
阅读量2k 收藏
点赞数
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanjun333/article/details/111755623
版权

SpringSecurity------HttpSecurityConfiguration配置类

一、HttpSecurityConfiguration是怎样被加载的

通过@EnableWebSecurity注解上的@Import()注解引入的

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
@Import({ WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class,
		HttpSecurityConfiguration.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;
}

二、HttpSecurityConfiguration主要做了什么

首先,他会通过@Autowired去获取容器中的一个AuthenticationManager实例,如果没能获取到则使用依赖注入的AuthenticationConfiguration实例创建一个AuthenticationManager实例,这个实例其实就是ProviderManager。以上介绍就是当前配置类中的authenticationManager()方法的实现方式。

然后,他会创建一个AuthenticationManagerBuilder(使用的是DefaultPasswordEncoderAuthenticationManagerBuilder),使用的密码编码器是LazyPasswordEncoder,同时将这个建造器的Parent-AuthenticationManager设置成当前配置类创建的AuthenticationManager(这里其实就是ProviderManager的一个实例)。

接着,使用DefaultPasswordEncoderAuthenticationManagerBuilder这个建造器构建一个HttpSecurity实例,并为HttpSecurity设置了一些默认配置。这个单例的HttpSecurity会被注入到容器中,用户就可以使用他进行自定义的鉴权配置了。

三、HttpSecurityConfiguration的源码分析

1、属性字段

//类名前缀
private static final String BEAN_NAME_PREFIX = 
"org.springframework.security.config.annotation.web.configuration.HttpSecurityConfiguration.";
//在容器中的HttpSecurit实例名称
private static final String HTTPSECURITY_BEAN_NAME = BEAN_NAME_PREFIX + "httpSecurity";
//对象后处理器
private ObjectPostProcessor<Object> objectPostProcessor;
//鉴权管理器
private AuthenticationManager authenticationManager;
//鉴权管理器的配置,如果没有从容器中获取到AuthenticationManager,会使用该配置创建一个AuthenticationManager
private AuthenticationConfiguration authenticationConfiguration;
//容器
private ApplicationContext context;

2、核心方法

@Bean(HTTPSECURITY_BEAN_NAME)
@Scope("prototype")
HttpSecurity httpSecurity() throws Exception {
    //密码编码器
	WebSecurityConfigurerAdapter.LazyPasswordEncoder passwordEncoder = 
	new WebSecurityConfigurerAdapter.LazyPasswordEncoder(
			this.context);
    //AuthenticationManager建造器
	AuthenticationManagerBuilder authenticationBuilder = 
	new WebSecurityConfigurerAdapter.DefaultPasswordEncoderAuthenticationManagerBuilder(
			this.objectPostProcessor, passwordEncoder);
	//获取AuthenticationManager(ProviderManager),设置为父AuthenticationManager,用于管理所有的AuthenticationProvider
	authenticationBuilder.parentAuthenticationManager(authenticationManager());
	//创建一个HttpSecurity,相当于xml文件配置中的http名称空间
	HttpSecurity http = new HttpSecurity(this.objectPostProcessor, authenticationBuilder, createSharedObjects());
	//这里有一些默认的配置
	http
		.csrf(withDefaults())
		.addFilter(new WebAsyncManagerIntegrationFilter())
		.exceptionHandling(withDefaults())
		.headers(withDefaults())
		.sessionManagement(withDefaults())
		.securityContext(withDefaults())
		.requestCache(withDefaults())
		.anonymous(withDefaults())
		.servletApi(withDefaults())
		.logout(withDefaults())
		.apply(new DefaultLoginPageConfigurer<>());
		return http;
}

获取AuthenticationManager(ProviderManager),如果已经初始化就直接返回,如果没有就直接使用authenticationConfiguration配置类创建一个

private AuthenticationManager authenticationManager() throws Exception {
	return (this.authenticationManager != null) ? this.authenticationManager
			: this.authenticationConfiguration.getAuthenticationManager();
}

将ApplicationContext包装起来供HttpSecurity使用

private Map<Class<?>, Object> createSharedObjects() {
	Map<Class<?>, Object> sharedObjects = new HashMap<>();
	sharedObjects.put(ApplicationContext.class, this.context);
	return sharedObjects;
}

3、使用@Autowired注入了一些Bean

提供Spring的生命周期支持,主要是用于创建对象。这里注入的是AutowireBeanFactoryObjectPostProcessor类的一个实例

@Autowired
void setObjectPostProcessor(ObjectPostProcessor<Object> objectPostProcessor) {
	this.objectPostProcessor = objectPostProcessor;
}

鉴权对象,这里注入的是ProviderManager的一个实例(有可能在该类初始化的时候容器中还不存在ProviderManager)

@Autowired(required = false)
void setAuthenticationManager(AuthenticationManager authenticationManager) {
	this.authenticationManager = authenticationManager;
}

用于构建ProviderManager的一个配置类

@Autowired
void setAuthenticationConfiguration(AuthenticationConfiguration authenticationConfiguration) {
	this.authenticationConfiguration = authenticationConfiguration;
}

Spring容器

@Autowired
void setApplicationContext(ApplicationContext context) {
	this.context = context;
}
豢龙先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Spring bean 的5个作用域 Spring Bean的默认作用域为:singleton。它相比其他作用域的优点是系统开销小,Bean实例一旦创建成功便可重复使用。 1.singleton作用域
Rideal的博客
09-13 5192
Spring bean 的5个作用域 Spring Bean的默认作用域为:singleton。它相比其他作用域的优点是系统开销小,Bean实例一旦创建成功便可重复使用。 1.singleton作用域: Spring IOC容器中只会创建该bean定义的唯一的共享的bean实例,被存储到单例缓存(singleton cache)中,对针对该bean的后续请求和引用,只要id与该bean定义相
SecuritySpring Boot配置自定义登录接口
qq_43887341的博客
06-21 1207
SecuritySpring Boot配置自定义登录接口
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1276
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
SecurityConfig配置
最新发布
ZYH_CKA的博客
05-28 742
【代码】SecurityConfig配置
SecurityConfiguration配置
qq_38624193的博客
10-17 69
【代码】SecurityConfiguration配置
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 2041
Spring Security配置流程剖析
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
spring-security-demo.zip
08-10
本示例"spring-security-demo.zip"很可能是为了演示如何在Spring Boot应用中集成和配置Spring Security。下面我们将深入探讨Spring Security的核心概念、功能以及如何在实际项目中运用它们。 1. **核心概念**: - ...
spring-Security-oauth2.zip
05-26
本压缩包文件“spring-Security-oauth2.zip”很可能包含一系列关于如何在Spring Security中集成和配置OAuth2的教程、示例代码或文档。 1. **OAuth2 概述** OAuth2 是一种授权协议,它允许用户授权第三方应用访问其...
spring-security-jwt-demo.zip
11-19
"spring-security-jwt-demo"是一个实战项目,它演示了如何在Spring Boot应用中集成Spring Security和JWT。项目包含了以下关键组件: - 登录控制器:处理用户登录请求,验证用户名和密码,然后生成JWT并返回。 - ...
spring-security-oauth2详细配置demo
09-30
这个详细配置的Demo旨在帮助开发者理解并实现OAuth2在Spring Security中的应用。在这个Demo中,我们将探讨OAuth2的核心概念、Spring Security OAuth2的主要组件以及如何将它们整合到实际的应用中。 OAuth2是一种...
bean参数singleton、prototype的区别
SCU-JJkinging的博客
11-21 186
1)当scope的取值为singleton时 Bean的实例化个数:1个 Bean的实例化时机:当Spring核心文件被加载时,实例化配置的Bean实例 Bean的生命周期: 对象创建:当应用加载,创建容器时,对象就被创建了 对象运行:只要容器在,对象一直活着 对象销毁:当应用卸载,销毁容器时,对象就被销毁了 2)当scope的取值为prototype时 Bean的实例化个数:多个 Bean的实例化时机:当调用getBean()方法时实例化Bean 对象创建:当使用对象时,创建新的对象实例 对象运行:只要对
Spring中Bean的作用域
unber的博客
08-10 5585
Spring 中 bean 的 5 种作用域,然后详细介绍 singleton 和 prototype 这两种最常用的作用域。
微人事第十天:HttpSecurity配置
qq_41998938的博客
02-01 652
Spring Security可以针对不同的访问路径,来根据登陆的用户判断该用户是否可以访问。实现这个功能就需要HttpSecurity配置来解决。 1.配置 以下配置可以看出,这里提供了两个登陆的用户,用户javaboy具有admin权限,用户江南一点雨既有admin又有user权限。 接下来配置中根据不同的访问权限来设定该用户是否能访问。 例如以下代码就表示以admin开头的路径只能ad...
Spring支持的Bean的作用域有哪几种?每种作用域是什么样的?
lq1193199534的博客
07-01 2802
Spring支持的Bean的作用域有哪几种?每种作用域是什么样的?
SpringBoot笔记10】Spring中Bean的6种作用域
西瓜游侠的博客
01-12 9593
参考:官方文档 1 Bean的作用域 在Spring Framework中,总共定义了6种bean 的作用域,其中有4种作用域只有当应用为web应用的时候才有效,并且Spring还支持自定义作用域。 下表描述了这6种作用域: Scope Description singleton (默认的)在每个Spring IoC容器中,一个bean定义对应只会有唯一的一个bean实例。 ...
Spring默认的Bean的scope
大树叶 技术专栏
03-09 8720
scope属性可以理解成bean的生命周期 1、默认的值是singleton(単例),spring容器只会创建一个相应的bean实例,所有的对该bean的请求,spring容器都只返回这个实例。 2、还可取值proptotype(原型) ,每次请求都会获得新的bean实例。 3、还可取值request、session、global session等(不常用)
spring框架bean的生命范围(scope)
ming13849012515的博客
01-08 513
&lt;bean ...&gt;&lt;/bean&gt;中有一个属性,叫scope,就是设定生命范围的。 Scope的作用: 可以用scope属性来限定bean的生命范围(即是在什么范围内拿到的bean是相同的) scope属性经常使用的值有一下几种: singleton:在整个应用的里面,拿取bean,都是同一个bean的引用(似于单例模式);singleton也是默人的scope;...
7.spring之Bean的作用域
anjunshuang
08-26 1413
1.Bean的作用域 什么是作用域呢?即“scope”,在面向对象程序设计中一般指对象或变量之间的可见范围。而在Spring容器中是指其创建的Bean对象相对于其他Bean对象的请求可见范围。 Spring提供“singleton”和“prototype”两种基本作用域,另外提供“request”、“session”、“global session”三种web作用域;Spring还允许用户定制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豢龙先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值