HttpSecurityBeanDefinitionParser浅析

最新推荐文章于 2024-03-06 13:40:22 发布
最新推荐文章于 2024-03-06 13:40:22 发布
阅读量663 收藏
点赞数
文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013828625/article/details/72770708
版权

HttpSecurityBeanDefinitionParser是众多SpringSecurity解析器中的一种,也是最为核心的一个解析器,其解析的节点是http声明的节点。

其主要作用有两个,

  • 实例化org.springframework.security.web.FilterChainProxy,并将其注入到Spring容器当中;
  • 根据配置文件初始化SpringSecurity的过滤器链,并将其注入到FilterChainProxy实例的filterChains属性中;

那么,这个类是如何将FilterChainProxy实例化并注入到Spring容器当中的呢?让我们直接贴代码

在我们解析xml文件的http节点时,首先进入这个类的parse方法

    public BeanDefinition parse(Element element, ParserContext pc) {
        CompositeComponentDefinition compositeDef =
            new CompositeComponentDefinition(element.getTagName(), pc.extractSource(element));
        pc.pushContainingComponent(compositeDef);
        //这个方法就是实例化FilterChainProxy对象,并注入进Spring容器
        registerFilterChainProxyIfNecessary(pc, pc.extractSource(element));

        // Obtain the filter chains and add the new chain to it
        //在原来过滤链集合的基础上添加新的过滤链
       BeanDefinition listFactoryBean = pc.getRegistry().getBeanDefinition(BeanIds.FILTER_CHAINS);
        List<BeanReference> filterChains = (List<BeanReference>)
                listFactoryBean.getPropertyValues().getPropertyValue("sourceList").getValue();
        //createFilterChain方法是得到过滤链

        filterChains.add(createFilterChain(element, pc));

 pc.popAndRegisterContainingComponent(); return null; }



让我们来查看一下registerFilterChainProxyIfNecessary是如何做到的



    static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {
        if (pc.getRegistry().containsBeanDefinition(BeanIds.FILTER_CHAIN_PROXY)) {
            return;
        }
        // Not already registered, so register the list of filter chains and the FilterChainProxy
        //创造一个ListFactoryBean,这个类的具体用法可以参考http://www.ithao123.cn/content-10108965.html
       BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);
        listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());
        pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, BeanIds.FILTER_CHAINS));
        //创造一个FilterChainProxy实例

        BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);

 fcpBldr.getRawBeanDefinition().setSource(source);

//为定义添加构造方法参数,其指向的是一个listFactoryBean,实例化的时候会将listFactoryBean中的sourceList属性值付给对应的属性


      fcpBldr.addConstructorArgReference(BeanIds.FILTER_CHAINS);

 fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class)); BeanDefinition fcpBean = fcpBldr.getBeanDefinition();

//注入到Spring容器中,指定bean的id为org.springframework.security.filterChainProxy

pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, BeanIds.FILTER_CHAIN_PROXY));

//设置此bean的别名为springSecurityFilterChain

 pc.getRegistry().registerAlias(BeanIds.FILTER_CHAIN_PROXY, BeanIds.SPRING_SECURITY_FILTER_CHAIN); }



让我们来查看一下createFilterChain方法是如何获取filterChains的



    private BeanReference createFilterChain(Element element, ParserContext pc) {
        //判断http节点的security属性是否为none值,如果是,则返回一个空的过滤器链,表示这个url不经过springsecurity的拦截
       boolean secured = !OPT_SECURITY_NONE.equals(element.getAttribute(ATT_SECURED));

        if (!secured) {
            //...........
            return createSecurityFilterChainBean(element, pc, Collections.emptyList());
        }

        final BeanReference portMapper = createPortMapper(element, pc);
        final BeanReference portResolver = createPortResolver(portMapper, pc);

        ManagedList<BeanReference> authenticationProviders = new ManagedList<BeanReference>();
        BeanReference authenticationManager = createAuthenticationManager(element, pc, authenticationProviders);
        //对有关于http请求的节点属性进行解析
        HttpConfigurationBuilder httpBldr = new HttpConfigurationBuilder(element, pc,
                portMapper, portResolver, authenticationManager);
        //对授权认证方面节点属性进行解析
        AuthenticationConfigBuilder authBldr = new AuthenticationConfigBuilder(element, pc,
                httpBldr.getSessionCreationPolicy(), httpBldr.getRequestCache(), authenticationManager,
                httpBldr.getSessionStrategy(), portMapper, portResolver);
        //设置登出成功的处理器
        httpBldr.setLogoutHandlers(authBldr.getLogoutHandlers());

        authenticationProviders.addAll(authBldr.getProviders());

        List<OrderDecorator> unorderedFilterChain = new ArrayList<OrderDecorator>();
        //添加关于http的一些拦截器
        unorderedFilterChain.addAll(httpBldr.getFilters());
        //添加授权认证的一些拦截器 
       unorderedFilterChain.addAll(authBldr.getFilters());
        //添加自定义拦截器
       unorderedFilterChain.addAll(buildCustomFilterList(element, pc));
        //对这些拦截器进行排序
        Collections.sort(unorderedFilterChain, new OrderComparator());
        checkFilterChainOrder(unorderedFilterChain, pc, pc.extractSource(element));

        // The list of filter beans
        List<BeanMetadataElement> filterChain = new ManagedList<BeanMetadataElement>();

        for (OrderDecorator od : unorderedFilterChain) {
            filterChain.add(od.bean);
        }
        //返回封装后的过滤器链
        return createSecurityFilterChainBean(element, pc, filterChain);
    }








                

        

        

    




    

      

        

            

              
                
                  张Roc
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
springSecurity源码分析-spring-security.xml文件配置

				
			

			

				

					Leon_Jinhai_Sun的博客
				

				

					02-22
					
					330
					
				

			

		

		

			
				
spring-security.xml文件中配置

在配置文件中我们主要使用标签来过多成配置


<!-- 配置不拦截的资源 -->
<security:http pattern="/login.jsp" security="none"/>
<security:http pattern="/failer.jsp" security="none"/>
<s...

			
		

	



                

              
                



	

		

			

				
					
Spring Security的配置机制早就变了

				
			

			

				

					码农小胖哥
				

				

					04-18
					
					3582
					
				

			

		

		

			
				
以前胖哥说过SecurityConfigurerAdapter会在即将发布的5.7版本作废,从Spring Security 5.4版本开始会提供一个原型范围的HttpSecurity来帮助我们构建过滤器链SecurityFilterChain:@Bean(HTTPSECURITY_BEAN_NAME)
@Scope("prototype")
HttpSecurity...

			
		

	



                


  
              

                


	

		

			

				
					
无法自动装配。找不到 ‘HttpSecurity‘ 类型的 Bean。

					
最新发布

				
			

			

				

					qq_63635361的博客
				

				

					03-06
					
					840
					
				

			

		

		

			
				
遇到的一个小问题

			
		

	





	

		

			

				
					
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)

				
			

			

				

					qq_51553982的博客
				

				

					07-26
					
					1209
					
				

			

		

		

			
				
根据上方官方文档的解释我们在前后端分离的项目中,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......

			
		

	



		

			
		



	

		

			

				
					
SpringSecurity原理(四)——过滤器

				
			

			

				

					trayvontang的博客
				

				

					05-07
					
					1135
					
				

			

		

		

			
				
概述
前面的文章中我们已经基本了解了怎样使用Spring Security的基本的认证(Authentication)和授权(Authority)
但是,我们还不清楚Spring Security到底是怎样执行这些流程。
这篇文章,我们就以SpringBoot为例,来梳理一下Spring Security从启动到执行这些流程的过程。
前置知识
我们知道Spring Security是通过Filter的方式来完成它的核心流程。但是:

Spring Security到底拥有哪些Filter?
这些Filter

			
		

	





	

		

			

				
					
Spring Security4.0.3源码分析之http标签解析

				
			

			

				

					黄太洪的博客
				

				

					05-09
					
					2401
					
				

			

		

		

			
				
最近在学习安全框架Spring Security,想弄清楚其中实现的具体步骤,于是下定决心,研究一下Spring Security源码,这篇博客的目的是想把学习过程记录下来。学习过程中主要参考了http://dead-knight.iteye.com/blog/1511389大神的博客,然后在其基础上,进行更详细的说明在FilterChainProxy初始化的过程中,大概描述了标签解析的一些步骤,但

			
		

	





	

		

			

				
					
dotnet(C#/mono)轻量级XML解析库Mono.Xml源码

				
			

			

				

					RainsSoft
				

				

					06-23
					
					2229
					
				

			

		

		

			
				
unity3d减少播放器包含的 dll 文件

       unity3d在构建播放器时(台式机、Android 或 iOS)有一点非常重要,也就是不要依赖 
System.dll 或 System.Xml.dll。Unity 的播放器安装中不包含
System.dll 或 System.Xml.dll。这意味着,如果想要使用 Xml 或
System.dll 中的通用容器,那么必要的

			
		

	





	

		

			

				
					
unity3d使用Mono.Xml读取xml

				
			

			

				

					九逍工作室
				

				

					11-30
					
					1176
					
				

			

		

		

			
				
unity3d读取xml有好几种方式,最简单是直接利用c#读取xml,但是项目打包可能有点大。另外两个是利用其他轻量级xml库来实现,如Mono.Xml、XMLParser。Mono.Xml是c#写的,XMLParser是js写的。文章主要说明Mono.Xml的用法。


首先,定义一个xml文件,如下:

ROOT>
  table wave="1" level="1" name="Jo

			
		

	





	

		

			

				
					
spring securityhttpSecurity使用示例

				
			

			

				

					
				

				

					06-03
					
					1149
					
				

			

		

		

			
				
httpSecurity
 类似于spring security的xml配置文件命名空间配置中的<http>元素。它允许对特定的http请求基于安全考虑进行配置。默认情况下,适用于所有的请求,但可以使用requestMatcher(RequestMatcher)或者其它相似的方法进行限制。
使用示例:
最基本的基于表单的配置如下。该配置将所有的url访问权限设定为角...

			
		

	





	

		

			

				
					
SpringSecurity HttpSecurity链式调用探究

				
			

			

				

					sinat_33472737的博客
				

				

					04-24
					
					671
					
				

			

		

		

			
				
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
欢迎使用Markdown编辑器
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar

			
		

	





	

		

			

				
					
SpringSecurity------HttpSecurityConfiguration配置类

				
			

			

				

					豢龙先生
				

				

					12-27
					
					2067
					
				

			

		

		

			
				
SpringSecurity------HttpSecurityConfiguration配置类一、WebSecurityConfiguration是怎样被加载的二、WebSecurityConfiguration主要做了什么三、WebSecurityConfiguration的源码分析1、属性字段2、核心方法3、使用@Autowired注入了一些Bean4、使用@Bean初始化一些Bean
一、WebSecurityConfiguration是怎样被加载的
二、WebSecurityConfigurati

			
		

	





	

		

			

				
					
HttpSecurity的配置以及登录表单的详细配置和注销登录的配置

				
			

			

				

					Suame_ya的博客
				

				

					01-03
					
					1462
					
				

			

		

		

			
				
/**
 * @Author fei
 * @Date 2021/1/2 3:43 下午
 *
 * @Configuration用于定义配置类,定义的配置类可以替换xml文件,一般和@Bean注解联合使用。
 * @Configuration注解主要标注在某个类上,相当于xml配置文件中的<beans>
 * @Bean注解主要标注在某个方法上,相当于xml配置文件中的<bean>
 */

@Configuration
public class SecurityConfig ..

			
		

	





	

		

			

				
					
01_SpringSecurity学习之配置HttpSecurity

				
			

			

				

					ShiJunzhiCome的博客
				

				

					08-06
					
					8211
					
				

			

		

		

			
				
Spring Security 学习之配置 HttpSecurity

			
		

	





	

		

			

				
					
慢慢来就很简单的security学习(四)源码阅读httpSecurity和AuthenticationManager

				
			

			

				

					miyahejuzi的博客
				

				

					08-26
					
					2088
					
				

			

		

		

			
				
文章目录httpSecurity 的执行流程和 AuthenticationConfiguration 配置的 AuthenticationManager0x00 回顾0x01 从 WebSecurityConfigurerAdapter 里面的 getHttp() 开始0x02 看一下 AuthenticationConfiguration 里面做了些什么0x03 AuthenticationM...

			
		

	





	

		

			

				
					
spring中注册bean(通过代码动态注册)

					
热门推荐

				
			

			

				

					ChinFeng的专栏
				

				

					10-27
					
					1万+
					
				

			

		

		

			
				
//将applicationContext转换为ConfigurableApplicationContext
		ConfigurableApplicationContext configurableApplicationContext = (ConfigurableApplicationContext) applicationContext;
		
		// 获取bean工厂并转换为Defaul

			
		

	





	

		

			

				
					
springBeanDefinition & BeanDefinitionParser

				
			

			

				

					weixin_33828101的博客
				

				

					11-12
					
					333
					
				

			

		

		

			
				
 xml bean factory 的解析过程的 堆栈大概是这样的:

      at org.springframework.beans.factory.xml.NamespaceHandlerSupport.findParserForElement(NamespaceHandlerSupport.java:84)
      at org.springframework.beans.f...

			
		

	





	

		

			

				
					
Spring学习笔记之保护方法应用

				
			

			

				

					薛小强Forever
				

				

					06-01
					
					869
					
				

			

		

		

			
				
在本章中我们将会看到如何使用Spring Security保护bean方法。

			
		

	





	

		

			

				
					
spring security 自定义bean

				
			

			

				

					jaesonchen
				

				

					05-10
					
					312
					
				

			

		

		

			
				

&lt;beans
	xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:aop="http://www.springframework.org/schema/aop"
	xmlns:security="http:...

			
		

	





	

		

			

				
					
浅谈SpringBeanDefinitionParser的触发流程

				
			

			

				

					boneix的博客
				

				

					04-11
					
					9999
					
				

			

		

		

			
				
源码分析Spring中NamespaceHandlerSupport的BeanDefinitionParser进行bean的增强操作

			
		

	





	

		

			

				
					
threadlocal浅析

				
			

			

				

					09-13
				

			

		

		

			
				
ThreadLocal 是 Java 中的一个类,它提供了一种线程局部变量的机制。线程局部变量是指每个线程都有自己的变量副本,每个线程对该变量的访问都是独立的,互不影响。  ThreadLocal 主要用于解决多线程并发访问共享变量...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值