springboot情操陶冶-web配置(九)

最新推荐文章于 2024-05-11 22:33:45 发布
最新推荐文章于 2024-05-11 22:33:45 发布
阅读量99 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/question-sky/p/10106884.html
版权

承接前文springboot情操陶冶-web配置(八),本文在前文的基础上深入了解下WebSecurity类的运作逻辑

WebSecurityConfigurerAdapter

在剖析WebSecurity的工作逻辑之前,先预热下springboot security推荐复写的抽象类WebSecurityConfigurerAdapter,观察下其是如何被实例化的,方便后续的深入理解

1.ApplicationContext环境设置

    @Autowired
    public void setApplicationContext(ApplicationContext context) {
        this.context = context;

        ObjectPostProcessor<Object> objectPostProcessor = context.getBean(ObjectPostProcessor.class);
        LazyPasswordEncoder passwordEncoder = new LazyPasswordEncoder(context);
        // 
        authenticationBuilder = new DefaultPasswordEncoderAuthenticationManagerBuilder(objectPostProcessor, passwordEncoder);
        localConfigureAuthenticationBldr = new DefaultPasswordEncoderAuthenticationManagerBuilder(objectPostProcessor, passwordEncoder) {
            @Override
            public AuthenticationManagerBuilder eraseCredentials(boolean eraseCredentials) {
                authenticationBuilder.eraseCredentials(eraseCredentials);
                return super.eraseCredentials(eraseCredentials);
            }

        };
    }

同前文的认证管理器创建差不多,但这里细心的可以看到其内部创建了两个一模一样的认证管理器对象,目的应该是为了引用AuthenticationConfiguration对象中的认证管理器作准备,下文会提及

2.引入前文所提的AuthenticationConfiguration对象

    @Autowired
    public void setAuthenticationConfiguration(
            AuthenticationConfiguration authenticationConfiguration) {
        this.authenticationConfiguration = authenticationConfiguration;
    }

目的是间接调用此类获取对应的认证管理器AuthenticationManager对象,具体的读者可自行阅读

3.共享变量集合,security板块引入了共享变量,目的就跟缓存一样

    private Map<Class<? extends Object>, Object> createSharedObjects() {
        Map<Class<? extends Object>, Object> sharedObjects = new HashMap<Class<? extends Object>, Object>();
        sharedObjects.putAll(localConfigureAuthenticationBldr.getSharedObjects());
        sharedObjects.put(UserDetailsService.class, userDetailsService());
        sharedObjects.put(ApplicationContext.class, context);
        sharedObjects.put(ContentNegotiationStrategy.class, contentNegotiationStrategy);
        sharedObjects.put(AuthenticationTrustResolver.class, trustResolver);
        return sharedObjects;
    }

OK,差不多就这样,开始我们的主角之旅把

WebSecurityConfiguration

根据前文可知,WebSecurity对象的创建与运作都是通过WebSecurityConfiguration来的,笔者在此处再作下简单的归纳
1.实例化WebSecurity对象并注册至ApplicationContext上下文对象中
2.获取ApplicationContext对象上注册的类型为WebSecurityConfigurer的接口集合,存放至WebSecurity的父类AbstractConfiguredSecurityBuilder的内部属性configurers(hashmap)
3.运行WebSecurity的build()方法创建Filter过滤链

基于上述的结论我们再着重看下第三点的创建过滤链是如何完成的,本文侧重点也在于此

WebSecurity#build()

build()方法是由其父类AbstractSecurityBuilder来完成的,代码很简单

    public final O build() throws Exception {
        // 确保只会被build一次
        if (this.building.compareAndSet(false, true)) {
            this.object = doBuild();
            return this.object;
        }
        throw new AlreadyBuiltException("This object has already been built");
    }

接着跟踪doBuild()模板方法,发现是由其子类抽象类AbstractConfiguredSecurityBuilder来操作的

    @Override
    protected final O doBuild() throws Exception {
        synchronized (configurers) {
            buildState = BuildState.INITIALIZING;

            // init
            beforeInit();
            init();

            buildState = BuildState.CONFIGURING;

            // configure
            beforeConfigure();
            configure();

            buildState = BuildState.BUILDING;

            // build
            O result = performBuild();

            buildState = BuildState.BUILT;

            return result;
        }
    }

大致可以分为三步走,下面笔者就按照上述的三步一一分开剖析

初始化阶段

分为beforeInit()init()两个操作

beforeInit()

beforeInit()初始化前的操作,默认是空的,可供用户去复写

init()

init()初始化方法比较有意思了,看下其源码

    private void init() throws Exception {
        // WebSecurity内的configurer是WebSecurityConfigurer类型的
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

        // 遍历调用公用的init()方法,关注此处的this指代WebSecurity对象
        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.init((B) this);
        }

        // 候补
        for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {
            configurer.init((B) this);
        }
    }

好,笔者来看下configurer#init()方法,此处只针对WebSecurityConfigurer接口的初始化。即使用户没有去实现该接口,springboot也会默认有个类去实现

@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = Type.SERVLET)
public class SpringBootWebSecurityConfiguration {

    @Configuration
    @Order(SecurityProperties.BASIC_AUTH_ORDER)
    static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

    }

}

很明显,就是继承WebSecurityConfigurerAdapter类来实现的,那我们看下其init()方法的操作

    public void init(final WebSecurity web) throws Exception {
        // important
        final HttpSecurity http = getHttp();
        // configure interceptor?
        web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
            public void run() {
                FilterSecurityInterceptor securityInterceptor = http
                        .getSharedObject(FilterSecurityInterceptor.class);
                web.securityInterceptor(securityInterceptor);
            }
        });
    }

上述的代码比较关键,笔者按两个小步骤讲述一下
1.创建HttpSecurity对象,贴出源码仔细分析下

    protected final HttpSecurity getHttp() throws Exception {
        if (http != null) {
            return http;
        }

        // 配置事件发行器
        DefaultAuthenticationEventPublisher eventPublisher = objectPostProcessor
                .postProcess(new DefaultAuthenticationEventPublisher());
        localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

        // 获取父级认证管理器,涉及configure(AuthenticationManagerBuilder auth)方法复写
        AuthenticationManager authenticationManager = authenticationManager();
        authenticationBuilder.parentAuthenticationManager(authenticationManager);
        Map<Class<? extends Object>, Object> sharedObjects = createSharedObjects();

        // 创建HttpSecurity对象
        http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
                sharedObjects);
        // 是否屏蔽默认配置,默认为false
        if (!disableDefaults) {
            // @formatter:off
            http
                .csrf().and()
                .addFilter(new WebAsyncManagerIntegrationFilter())
                .exceptionHandling().and()
                .headers().and()
                .sessionManagement().and()
                .securityContext().and()
                .requestCache().and()
                .anonymous().and()
                .servletApi().and()
                .apply(new DefaultLoginPageConfigurer<>()).and()
                .logout();
            // @formatter:on
            ClassLoader classLoader = this.context.getClassLoader();
            // 加载spring.factories中以AbstractHttpConfigurer作为Key的类型集合
            List<AbstractHttpConfigurer> defaultHttpConfigurers =
                    SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);

            for(AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
                http.apply(configurer);
            }
        }
        // 供用户自定义配置HTTP安全配置,默认支持表单和Basic方式提交认证信息
        configure(http);
        return http;
    }

代码信息过多,不一一分析了,springboot推荐用户复写以下两个方法

  • configure(AuthenticationManagerBuilder auth) 配置认证管理器,用户信息读取方式、加密方式均可通过此方法配置
  • configure(HttpSecurity http) 配置http服务,路径拦截、csrf保护等等均可通过此方法配置

2.将HttpSecurity放入WebSecurity中,细看发现HttpSecurity是用来创建FilterChain过滤链的。并尝试塞入一个FilterSecurityInterceptor拦截器,默认一般都是会配置的。

配置阶段

分为beforeConfigure()configure()阶段

beforeConfigure()

配置前的操作,供用户去复写

configure()

遍历其下的所有的WebSecurityConfigurerAdapter的实现类,统一调用configure(WebSecurity web)配置。很明显,用户也可以复写方法来配置,比如对HttpSecurity默认的配置不满意,也可以通过此类来复写之;屏蔽一些URL的访问等等。

创建阶段

真正的创建Filter对象是由performBuild()方法执行的,别看源码很长,其实就一个意思,通过HttpSecurity对象来创建Filter过滤链

    @Override
    protected Filter performBuild() throws Exception {
        Assert.state(
                !securityFilterChainBuilders.isEmpty(),
                "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. More advanced users can invoke "
                        + WebSecurity.class.getSimpleName()
                        + ".addSecurityFilterChainBuilder directly");
        int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
        List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
                chainSize);
        // 用户可通过调用websecurity.ignoring()方法来屏蔽一些访问路径
        for (RequestMatcher ignoredRequest : ignoredRequests) {
            securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
        }
        for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
            // HttpSecurity#build()会被执行,执行逻辑就跟本文的WebSecurity一模一样
            securityFilterChains.add(securityFilterChainBuilder.build());
        }
        FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
        // 防火墙配置
        if (httpFirewall != null) {
            filterChainProxy.setFirewall(httpFirewall);
        }
        filterChainProxy.afterPropertiesSet();

        Filter result = filterChainProxy;
        
        postBuildAction.run();
        return result;
    }

具体的用户可自行去阅读

小结

本文主要讲述了WebSecurity与HttpSecurity之间的关系以及如何被创建,其实都是一样的,它们都是AbstractConfiguredSecurityBuilder的复写类,核心都是会执行其中的build()模板方法来创建过滤链。笔者或者读者只需要复写其中的几个重要方法便可实现简单的安全配置。希望本文对大家有用

转载于:https://www.cnblogs.com/question-sky/p/10106884.html

weixin_30437481
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
开展古典文学活动,陶冶幼儿情操
08-19
开展古典文学活动,陶冶幼儿情操
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
Ccww_的博客
07-24 1373
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   在...
Spring Security : 配置 HttpSecurity 的 SecurityConfigurer
Details Inside Spring
05-13 2121
Spring Security中HttpSecurity是一个安全构建器SecurityBuilder,目的是构建一个对HTTP请求进行安全控制的DefaultSecurityFilterChain。对HttpSecurity进行配置,是通过一组安全配置器来完成的。这组安全配置器有一个共同的抽象基类AbstractHttpConfigurer。而配置HttpSecurity的安全构建器实现类列表如...
Java最新深入理解 SecurityConfigurer 【源码篇】,Dubbo SPI及自适应扩展原理
最新发布
2301_82241647的博客
05-11 649
AbstractHttpConfigurer 这一派中的东西非常多,我们所有的过滤器配置,都是它的子类,我们来看下都有哪些类?可以看到,它的实现类还是非常多的。这么多实现类,松哥就不一一给大家介绍了,我挑一个常用的 FormLoginConfigurer 来给大家详细介绍,只要大家把这个理解了,其他的照猫画虎就很好理解了。我们一个一个来看。
02_SpringSecurity学习之多种配置共存
ShiJunzhiCome的博客
08-08 800
Spring Security 多种配置共存
Spring Security源码(四):配置器详解
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-18 1011
其实整个配置器最重要的两个方法就是 init() 和 configure() ,目的是配置 WebSecurity、HttpSecurity 和 AuthenticationManagerBuilder 三个建造者,所有都配置好后就可以创建核心过滤器了
SpringSecurity HttpSecurity链式调用探究
sinat_33472737的博客
04-24 673
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
改革美术课堂教学陶冶审美情操.doc
12-04
通过美术学习,旨在陶冶学生的审美情操,培养健全人格。 2. 改革教学观念:“返朴归真”意味着鼓励孩子们自由创作,不要过于追求形似,而应注重表达感受和理解。过于严格的“像”与“不像”的评价方式可能会限制...
总目标新增内容涵养美感和谐身心陶冶情操健全人格PPT课件.pptx
10-12
音乐教育是人文素养的重要组成部分,旨在通过学习音乐基础知识和技能,培养学生的美感,和谐身心,陶冶情操,健全人格。在最新的教育改革中,音乐教育的目标和内容有了新的调整和充实,旨在更好地满足学生全面发展和...
总目标新增内容涵养美感和谐身心陶冶情操健全人格PPT学习教案.pptx
10-03
这篇PPT学习教案主要关注的是音乐教育领域的新变化和教学目标的更新,旨在通过音乐教育来涵养学生的美感,和谐他们的身心,陶冶情操,以及健全人格。教案详细阐述了音乐教育的各个方面,包括基本目标、情感态度价值...
总目标新增内容涵养美感和谐身心陶冶情操健全人格学习教案.pptx
11-22
总目标新增内容涵养美感和谐身心陶冶情操健全人格学习教案.pptx
Spring Security源码学习——请求配置
clyu的博客
10-05 325
前言 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。 public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { //一个初始化方法 void
授权服务器框架Spring Authorization Server的过滤器链
码农小胖哥
11-11 5132
上一篇我们初次体验了Spring Authorization Server,很多粉丝都希望对这个新授权框架有进一步了解。所以今天我们再进一步再从配置上来了解和OAuth2.0授权服务器相关...
Spring Security的基本组件
weixin_40991408的博客
05-20 595
Spring Security的基本组件
【Spring Security】—— 配置器 SecurityConfigurer 接口三个分支
qq_33471737的博客
07-05 1047
官网地址 Spring Security Reference 版本:Version 5.5.0 【Spring Security】——配置器综合概述SecurityConfigurer 接口SecurityConfigurerAdapter它允许子类只实现他们感兴趣的方法使用 SecurityConfigurer 完成后获得对正在配置的 SecurityBuilder 的访问权限的机制setBuilder 方法复合后置处理对象GlobalAuthenticationConfigurerAdapterWe
Spring Security验证码配置化开发
zzztimes的博客
11-23 400
今天介绍一种以配置器的方式处理验证码生成、校验,流程可以参考Security中的FormLoginConfigurer表单登录配置器,在前两篇中提到的定制化UsernamePasswordAuthenticationFilter过滤器,就是表单登录配置器中的认证实现环节,而FormLoginConfigurer表单登录配置器的作用是定义了登录功能的入口、实现流程(从上文中可以看出我们所做的定制化是对于方法体,于配置器而言,我们的定制化是模板方法模式下的一种实现)。这个是将缓存层拉出来做了通用设计,
【Spring Security】——配置器之 SecurityConfigurerAdapter 分支
qq_33471737的博客
07-07 1552
官网地址 Spring Security Reference 版本:Version 5.5.0 配置器之 SecurityConfigurerAdapter 一族
《spring security in action》读书笔记
慢慢的长大
10-09 414
why demo 管理用户 处理密码 身份验证 实践:小型安全web应用程序 配置授权:闲置访问 配置授权:应用限制 实施过滤器 应用CSRF保护和CORS 实践:职责分离 OAuth2如何工作 OAuth2:实现授权服务器 OAuth2:实现资源服务器 使用JWT和加密签名 全局方法安全性:授权前和授权后 全局方法安全性:授权前和过滤后 实践:Oauth2应用程序 用于反应式应用程序的Spring Security Spring Security 测试
深入理解 SecurityConfigurer 【源码篇】(1)
jiameih的博客
05-03 892
AbstractHttpConfigurer 这一派中的东西非常多,我们所有的过滤器配置,都是它的子类,我们来看下都有哪些类?可以看到,它的实现类还是非常多的。这么多实现类,松哥就不一一给大家介绍了,我挑一个常用的 FormLoginConfigurer 来给大家详细介绍,只要大家把这个理解了,其他的照猫画虎就很好理解了。我们一个一个来看。
springboot情操陶冶-@Conditional和@AutoConfigureAfter注解解析
05-15
在Spring Boot中,我们可以使用@Conditional和@AutoConfigureAfter注解来控制自动配置类的加载顺序和条件。 @Conditional注解用于控制自动配置类是否应该被加载。它接受一个实现了Condition接口的类作为参数,这个类会根据一些条件来判断是否应该加载这个自动配置类。例如,我们可以使用@ConditionalOnClass注解来表示只有当某个类存在于类路径中时才加载自动配置类。 @AutoConfigureAfter注解用于控制自动配置类的加载顺序。它接受一个或多个自动配置类的类名作为参数,表示只有在这些自动配置类加载完成之后才会加载当前自动配置类。这样可以确保依赖关系正确,避免由于加载顺序不当而导致的问题。 需要注意的是,@Conditional和@AutoConfigureAfter注解都只对类级别的自动配置生效,它们不会影响方法级别的自动配置。如果你需要控制方法级别的自动配置,可以使用@ConditionalOnBean或@ConditionalOnMissingBean注解来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值