spring security 自动配置的拦截器是怎么初试化的?

最新推荐文章于 2024-07-17 02:33:00 发布
最新推荐文章于 2024-07-17 02:33:00 发布
阅读量2.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010148865/article/details/79154255
版权 
在springboot中使用 spring security 通常会 创建一个 SecurityConfig类
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
    }

}
注意 @EnableWebSecurity 注解 ,该注解做了很多事情
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
@Documented
@Import({WebSecurityConfiguration.class, ObjectPostProcessorConfiguration.class, SpringWebMvcImportSelector.class})
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
    boolean debug() default false;
}
EnableWebSecurity类 Import WebSecurityConfiguration、ObjectPostProcessorConfiguration和SpringWebMvcImportSelector类
分别看看这三个类的作用
WebSecurityConfiguration类有这么一个方法springSecurityFilterChain()
代码如下:
@Bean(
    name = {"springSecurityFilterChain"}
)
public Filter springSecurityFilterChain() throws Exception {
    boolean hasConfigurers = this.webSecurityConfigurers != null && !this.webSecurityConfigurers.isEmpty();
    if(!hasConfigurers) {
        WebSecurityConfigurerAdapter adapter = (WebSecurityConfigurerAdapter)this.objectObjectPostProcessor.postProcess(new WebSecurityConfigurerAdapter() {
        });
        this.webSecurity.apply(adapter);
    }

    return (Filter)this.webSecurity.build();
}
初试化了springSecurityFilterChain bean,这个chain就是springSecurity中核心的过滤器链
从代码中可以看到调用了 webSecurity.build()方法
webSecurity什么时候注入的?
public final O build() throws Exception {
    if(this.building.compareAndSet(false, true)) {
        this.object = this.doBuild();
        return this.object;
    } else {
        throw new AlreadyBuiltException("This object has already been built");
    }
}
此方法其实是AbstractSecurityBuilder抽象类的方法,调用了this.doBuild()
protected final O doBuild() throws Exception {
    LinkedHashMap var1 = this.configurers;
    synchronized(this.configurers) {
        this.buildState = AbstractConfiguredSecurityBuilder.BuildState.INITIALIZING;
        this.beforeInit();
        this.init();
        this.buildState = AbstractConfiguredSecurityBuilder.BuildState.CONFIGURING;
        this.beforeConfigure();
        this.configure();
        this.buildState = AbstractConfiguredSecurityBuilder.BuildState.BUILDING;
        Object result = this.performBuild();
        this.buildState = AbstractConfiguredSecurityBuilder.BuildState.BUILT;
        return result;
    }
}
doBuild()方法核心就是调用了 this.performBuild()
protected Filter performBuild() throws Exception {
    Assert.state(!this.securityFilterChainBuilders.isEmpty(), "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. More advanced users can invoke " + WebSecurity.class.getSimpleName() + ".addSecurityFilterChainBuilder directly");
    int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
    ArrayList securityFilterChains = new ArrayList(chainSize);
    Iterator filterChainProxy = this.ignoredRequests.iterator();

    while(filterChainProxy.hasNext()) {
        RequestMatcher result = (RequestMatcher)filterChainProxy.next();
        securityFilterChains.add(new DefaultSecurityFilterChain(result, new Filter[0]));
    }

    filterChainProxy = this.securityFilterChainBuilders.iterator();

    while(filterChainProxy.hasNext()) {
        SecurityBuilder result1 = (SecurityBuilder)filterChainProxy.next();
        securityFilterChains.add(result1.build());
    }

    FilterChainProxy filterChainProxy1 = new FilterChainProxy(securityFilterChains);
    if(this.httpFirewall != null) {
        filterChainProxy1.setFirewall(this.httpFirewall);
    }

    filterChainProxy1.afterPropertiesSet();
    Object result2 = filterChainProxy1;
    if(this.debugEnabled) {
        this.logger.warn("\n\n********************************************************************\n**********        Security debugging is enabled.       *************\n**********    This may include sensitive information.  *************\n**********      Do not use in a production system!     *************\n********************************************************************\n\n");
        result2 = new DebugFilter(filterChainProxy1);
    }

    this.postBuildAction.run();
    return (Filter)result2;
}
performBuild()实际上还是调用了WebSecurity的performBuild()方法
还添加了@EnableGlobalAuthentication

                

        

        

    

  


    

      

        

            

              
                
                  Wgenty
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
Spring Security拦截配置

				
			

			

				

					2301_79108888的博客
				

				

					08-17
					
					2056
					
				

			

		

		

			
				
除了基于角色和URL模式的拦截配置Spring Security还支持自定义过滤器链。这允许我们添加自定义过滤器来处理特定的安全需求。创建一个实现了Filter接口的自定义过滤器类,实现doFilter方法来自定义处理逻辑。配置,将自定义过滤器注册到Spring Security中的过滤器链中。// ...省略其他配置...@Bean// ...省略其他配置...在上述示例代码中,我们创建了一个名为CustomFilter的自定义过滤器,并将其注册到URL模式为。

			
		

	



                

              
                



	

		

			

				
					
Spring Security 自定义登录拦截器

				
			

			

				

					qq_17178219的博客
				

				

					11-22
					
					1853
					
				

			

		

		

			
				
Spring Security 自定义登录拦截器

			
		

	



                


  
              

                


	

		

			

				
					
SpringBoot security 安全认证(二)——登录拦截器

				
			

			

				

					朗朗的博客
				

				

					02-01
					
					1980
					
				

			

		

		

			
				
本节内容:实现登录拦截器,除了登录接口之外所有接口访问都要携带Token,并且对Token合法性进行验证,实现登录状态的保持。核心内容:1、要实现登录拦截器,从Request请求中获取token,从缓存中获取Token并验证登录是否过期,若验证通过则放行;2、实现对拦截器配置SpringBoot 安全模块使用HttpSecurity 来完成请求安全管理。

			
		

	





	

		

			

				
					
Spring Security内置过滤器详解_springsecurity过滤器

				
			

			

				

					2401_85358044的博客
				

				

					07-17
					
					1101
					
				

			

		

		

			
				
我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。

			
		

	



		

			
		



	

		

			

				
					
SpringSecurity拦截器

				
			

			

				

					qq_29860591的博客
				

				

					05-08
					
					1421
					
				

			

		

		

			
				
SpringSecurity拦截器Spring版本
<!--Spring Security过滤器链,注意过滤器名称必须叫springSecurityFilterChain-->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>or...

			
		

	





	

		

			

				
					
Spring-boot添加拦截器---------Interceptor进行认证验证

				
			

			

				

					我是一只蘑菇17的博客
				

				

					11-03
					
					683
					
				

			

		

		

			
				
void afterCompletion()该方法也是需要当前对应的Interceptor的preHandle方法的返回值为true时才会执行,该方法将在整个请求结束之后,也就是在DispatcherServlet 渲染了对应的视图之后执行,也就是页面已经渲染完毕后调用此方法。找了本SpringBoot应用书籍,直接看书有的时候看的有点晕,就索性结合着博客学习,感觉博客里的兄弟搞的挺好的,通俗易懂。比如在登入一个页面时,如果要求用户密码、权限等的验证,就可以用自定义的拦截器进行密码验证和权限限制。

			
		

	





	

		

			

				
					
Spring Security介绍(三)过滤器(1)过滤器链

				
			

			

				

					w_t_y_y的博客
				

				

					02-06
					
					688
					
				

			

		

		

			
				
一、UsernamePasswordAuthenticationFilter

二、BasicAuthenticationFilter


			
		

	





	

		

			

				
					
详解springSecurity之java配置

				
			

			

				

					08-18
				

			

		

		

			
				
Spring Security 之 Java 配置Spring Security 是一个功能强大且灵活的安全框架...我们可以使用 Spring Security 之 Java 配置篇来保护基于 Java 的 Web 应用程序,包括自定义登陆页面、使用多用户、过滤器顺序等。

			
		

	





	

		

			

				
					
详解spring security 配置多个AuthenticationProvider

				
			

			

				

					08-30
				

			

		

		

			
				
Spring Security 配置多个 AuthenticationProvider 详解  Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...

			
		

	





	

		

			

				
					
springSecurity 学习(三)Spring Security常见的拦截器

				
			

			

				

					hzau_itdog的博客
				

				

					01-07
					
					2622
					
				

			

		

		

			
				
Spring Security常见的拦截器
1 . org.springframework.security.web.context.SecurityContextPersistenceFilter
  首当其冲的一个过滤器,作用之重要,自不必多言。
  SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一个
  SecurityContext,并将SecurityContext给以后的过...

			
		

	





	

		

			

				
					
Spring Security XML配置模板.docx

				
			

			

				

					07-05
				

			

		

		

			
				
- **auto-config**: 设置为 `true` 表示自动配置 Spring Security。 - **access-denied-page**: 指定当用户尝试访问其无权限访问的资源时所显示的页面。 - **session-fixation-protection**: 设置为 `newSession` ...

			
		

	





	

		

			

				
					
Spring Security入门(九) 使用Spring MVC开发RESTful API-使用Filter和Interceptor拦截REST服务

				
			

			

				

					上千主上-贝库塔
				

				

					04-29
					
					435
					
				

			

		

		

			
				
一.导学


如果想用RESTful API记录处理时间,就需要用下面三种拦截方式了


RESTful API的拦截

过滤器(Filter)
拦截器(interceptor)
切片(Aspect)



二.过滤器(Filter)

编写过滤器

@Component
public class TimeFilter implements Filter {
    @Override//初始
...

			
		

	





	

		

			

				
					
Spring Security的十一个拦截器

				
			

			

				

					justlpf的专栏
				

				

					04-14
					
					598
					
				

			

		

		

			
				
处理form登录的过滤器,与form登录有关的所有操作都是在这里进行的,登陆时判断用户名密码是否有效,有效的话就跳转到成功页面。

			
		

	





	

		

			

				
					
SpringSecurity如何理解学习常用拦截器——举例进行学习——从0到1教会方法自行学习~

				
			

			

				

					Alascanfu的博客
				

				

					02-15
					
					1425
					
				

			

		

		

			
				
本篇内容:如何理解学习SpringSecurity的常用拦截器——举例进行学习
文章专栏:前后端分离项目(Vue + SpringBoot)
最近更新:2022年2月5日 Nginx 入门到实战案例 配置反向代理、负载均衡、动静分离以及对Nginx高可用的服务器集群
个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去的,如果你很喜欢博文的话,建议看下面一行~(疯狂暗示QwQ)


			
		

	





	

		

			

				
					
Spring Security和Struts拦截器比较

				
			

			

				

					zeb_perfect的专栏
				

				

					07-14
					
					3063
					
				

			

		

		

			
				
虽然收集了好多资料,但依旧还不是很懂为什么有人要做Spring Security和struts的整合,在我看来,他们都做到了拦截,希望了解的评论告诉我谢谢。
对比:
Struts2 简单来说,就是一个拦截器栈 也就是一系列的拦截器。 处理用户的请求,OGNL的使用,表单验证 等都是默认的拦截器在起作用。
而spring拦截器,主要体现在AOP的事务管理方面,还有比如一些错误或者异常的日志的

			
		

	





	

		

			

				
					
利用MockMvc进行单元测试时 不走拦截器(利用postman测试是走拦截器

				
			

			

				

					v慕言的博客
				

				

					03-15
					
					2639
					
				

			

		

		

			
				
遇到这个问题 主要是 在单元测试时候 要在MockMvc中配置拦截器
才可以,要不然就是不走拦截器顺利 通过
要走拦截器的话 在 测试类中 进行如下配置:
增加如下代码:
@MockBean
private MyInterceptor myInterceptor; //自己的拦截器对象

@BeforeEach
void setUp(){
	mockMvc= MockMVCBuilders.standaloneSetup(xxxController)
			.addInterceptor(myInterce

			
		

	





	

		

			

				
					
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程

				
			

			

				

					xl649138628的专栏
				

				

					02-19
					
					1447
					
				

			

		

		

			
				
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程

			
		

	





	

		

			

				
					
Spring Security安全拦截基础实现

				
			

			

				

					weixin_63920305的博客
				

				

					11-21
					
					1256
					
				

			

		

		

			
				
继承WebSecurityConfigurerAdapter 类并实现configure两个方法(同名),注入PasswordEncoder 类(密码加密类)实现loadUserByUsername()方法对用户进行验证是否存在并授权。为了偷懒,我这里用的是Mybatis plus,哈哈哈哈。该类是对用户权限的配置

			
		

	





	

		

			

				
					
springsecurity的自定义拦截器

					
最新发布

				
			

			

				

					08-11
				

			

		

		

			
				
Spring Security中,你可以通过创建`WebMvcConfigurerAdapter`或更现代的`WebSecurityConfigurerAdapter`来配置自定义拦截器。下面是一个简单的例子:  ```java @Configuration @EnableWebSecurity public class ...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值