3、spring security流程解读之WebSecurityConfiguration

最新推荐文章于 2023-12-13 09:39:51 发布
最新推荐文章于 2023-12-13 09:39:51 发布
阅读量758 收藏 2
点赞数 1
分类专栏: spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153127/article/details/118195696
版权

使用WebSecurity创建了FilterChainProxy拦截的链路代理类,对请求进行拦截。可以通过继承WebSecurityConfigurerAdapter对其进行任意的配置

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
    //判断是否有WebSecurityConfigurer的实现类。
    //如果没有,则创建默认的WebSecurityConfigurerAdapter
   boolean hasConfigurers = webSecurityConfigurers != null
         && !webSecurityConfigurers.isEmpty();
   if (!hasConfigurers) {
      WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
            .postProcess(new WebSecurityConfigurerAdapter() {
            });
      webSecurity.apply(adapter);
   }
   return webSecurity.build();
}

这里着重看下springSecurityFilterChain()这个方法,webSecurityConfigurers集合是获取了WebSecurityConfigurer的实现类,而WebSecurityConfigurerAdapter实现了该接口,所以我们只需要继承WebSecurityConfigurerAdapter 该方法会通过WebSecurity构建出一个FilterChainProxy,也是spring security拦截器的核心入口。

首先看下WebSecurity的类结构图

WebSecurity.build():

public final O build() throws Exception {
   if (this.building.compareAndSet(false, true)) {
      this.object = doBuild();
      return this.object;
   }
   throw new AlreadyBuiltException("This object has already been built");
}

查看源码发现,build()内部是调用了doBuild()方法

protected final O doBuild() throws Exception {
   synchronized (configurers) {
      buildState = BuildState.INITIALIZING;

      beforeInit();
      init();

      buildState = BuildState.CONFIGURING;

      beforeConfigure();
      configure();

      buildState = BuildState.BUILDING;

      O result = performBuild();

      buildState = BuildState.BUILT;

      return result;
   }
}

大致可以分为7步骤

1、修改构建状态为构建中

2、初始化前 beforeInit()。该方法内是空的,如果在初始化前需要什么操作可以重写此方法

3、初始化 init()。这里是调用了SecurityConfigurer实现类的init()方法。WebSecurityConfigurerAdapter实现了该接口。获取HttpSecurity以及设置WebSecurity的拦截器FilterSecurityInterceptor

protected final HttpSecurity getHttp() throws Exception {
   if (http != null) {
      return http;
   }

   DefaultAuthenticationEventPublisher eventPublisher = objectPostProcessor
         .postProcess(new DefaultAuthenticationEventPublisher());
   //1、设置认证事件发布器
   localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

  //2、获取AuthenticationManager对象作为authenticationBuilder的父级
   AuthenticationManager authenticationManager = authenticationManager();
   authenticationBuilder.parentAuthenticationManager(authenticationManager); 
   //3、设置authenticationBuilder的认证事件发布器
   authenticationBuilder.authenticationEventPublisher(eventPublisher);
   //4、创建Map类型分享对象
   Map<Class<?>, Object> sharedObjects = createSharedObjects();

   //5、创建HttpSecurity,可以配置基于web的安全性请求
   http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
         sharedObjects);
   //6、是否禁用默认配置,如果为false,则配置默认的http设置   
   if (!disableDefaults) {
      // @formatter:off
      http
         .csrf().and() //跨域请求伪造验证
         .addFilter(new WebAsyncManagerIntegrationFilter())
         .exceptionHandling().and() //异常执行器,会创建ExceptionTranslationFilter
         .headers().and() //HeaderWriterFilter
         .sessionManagement().and() //SessionManagementFilter
         .securityContext().and() //SecurityContextPersistenceFilter
         .requestCache().and() //RequestCacheAwareFilter
         .anonymous().and() //AnonymousAuthenticationFilter
         .servletApi().and() //SecurityContextHolderAwareRequestFilter
         .apply(new DefaultLoginPageConfigurer<>()).and() //DefaultLoginPageGeneratingFilter
         .logout(); //LogoutFilter
      // @formatter:on
      ClassLoader classLoader = this.context.getClassLoader();
      //7、从配置文件中加载AbstractHttpConfigurer
      List<AbstractHttpConfigurer> defaultHttpConfigurers =
            SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);

      for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
         http.apply(configurer);
      }
   }
   //8、调用configure(HttpSecurity),子类可以重写该方法对http进行配置
   configure(http);
   return http;
}

4、配置前。 默认空

5、配置。调用SecurityConfigurer的configure(WebSecurity)

6、构建FilterChainProxy

7、修改构建状态为已构建

hudongdongjava
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
深入理解 WebSecurityConfigurerAdapter【源码篇】
jiameih的博客
05-03 944
SecurityBuilder 就是用来构建过滤器链的,在 HttpSecurity 实现 SecurityBuilder 时,传入的泛型就是 DefaultSecurityFilterChain,所以 SecurityBuilder#build 方法的功能很明确,就是用来构建一个过滤器链出来,但是那个过滤器链是 Spring Security 中的。,面试的时候我们对知识的掌握有时候很难面面俱到,把自己的思路说出来,而不是直接告诉面试官自己不懂,这也是可以加分的。
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
2、spring security流程解读之自动配置类
u012153127的博客
06-24 305
在上一节我们介绍了怎么去使用spring security及相关配置的使用。接下来我们来看一下spring security的整个运行流程。 我们使用的是springboot项目,那么springboot的特点是配置自动加载。所以我们第一步是先找到对应的spring security的自动配置类。 找到spring-boot-autoconfigure jar包,查看META-INF/spring.factories文件,发现有3个和security servlet相关的自动配置 ,下面对这3个配置类进
Spring Security 源码解读 :基本架构及初始化
weixin_41866717的博客
02-02 1488
Spring Security 源码解读
Spring Security源码解读方法和技巧
实践求真知
12-02 778
一文章参考 http://www.spring4all.com/article/443 http://www.spring4all.com/article/445 http://www.spring4all.com/article/446 http://www.spring4all.com/article/447 http://www.spring4all.com/article/44...
【个人版】SpringBoot下Spring-Security核心概念解读【一】
src1025的博客
12-13 1435
Spring-Security核心设计个人解读
源码解读Spring-Security之初始化启动
夫礼者的专栏
01-30 294
基于 SpringBoot2.4.2 + Spring-Security5.4.2。鉴于最近两年使用到的技术栈中Spring的权重越来越高,加之近期所参与的一个项目需求,遂决定加深以下对于Spring-Security的理解,做到"胸有成竹,遇事不慌"。
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1090
springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习一下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
解读SpringSecurity启动流程源码解析
haozige888的博客
07-15 142
前面两期我讲了SpringSecurity认证流程SpringSecurity鉴权流程,今天是第三期,是SpringSecurity的收尾工作,讲SpringSecurity的启动流程。 就像很多电影拍火了之后其续作往往是前作的前期故事一样,我这个第三期要讲的SpringSecurity启动流程也是不择不扣的"前期故事",它能帮助你真正认清SpringSecurity的整体全貌。 在之前的文章里,在说到SpringSecurity中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东
【个人版】SpringBoot下Spring-Security核心概念解读【二】
最新发布
src1025的博客
12-13 1043
Spring-Security核心类HttpSecurity个人解读
SpringSecurity源码解读
weixin_30412577的博客
01-10 449
1.前言 官方解释如下 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security ...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问用户的数据。在前后端分离的架构中,OAuth2常常用于处理用户登录验证,...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值