SpringSecurity的过滤链是如何工作的

最新推荐文章于 2022-11-13 11:04:45 发布
最新推荐文章于 2022-11-13 11:04:45 发布
阅读量151 收藏
点赞数
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38872524/article/details/119991773
版权
本文深入探讨了SpringSecurity的基本组件,包括SecurityConfigurer、WebSecurityConfigurerAdapter、WebSecurity和HttpSecurity。通过分析加载流程,揭示了SpringSecurity如何生成springSecurityFilterChain,并介绍了AuthenticationManager在其中的作用。同时,文章还提及了ShareObject在处理不同过滤链间数据共享的重要性。总结了HttpSecurity的工作流程,帮助读者更好地掌握SpringSecurity的内部机制。
摘要由CSDN通过智能技术生成

前言

之前在配置SpringSecurity整合Oauth2的时候发现了默认配置的请求配置是无效的,因此怀疑SpringSecurity会根据不同的url配置不同的过滤链。因此在代码中打断点观察Spring的启动流程。

1. SpringSecurity的基本组件

SecurityConfigurer


// 0. 可以看见这个类有两个参数B 和 O , 其中 就是将参数B 最后生成参数C, B是C的Builder(构造器)
// 1. init和 configure 方法就是尽可能的封装builder来完善最后生成的O, 目前我们熟悉的SecurityConfigurer 有 WebSecurityConfigurerAdapter,他的builder是 WebSecurity,O是 Filter
// 2. WebSecurity 是 SpringSecurity 的核心,他在Spirng容器中是唯一的。 为此介绍一下 WebSecurity
public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> {
   
	void init(B builder) throws Exception;
	void configure(B builder) throws Exception;
}

WebSecurityConfigurerAdapter (他是一个SecurityConfigurer, 他是用来封装 WebSecurity(Builder的)

因此如上代码可以看成以下片段


// 0. 这段代码来自于我们熟悉的`WebSecurityConfigurerAdapter`,我们通常继承他来进行配置权限之类的
public void init(final WebSecurity web) throws Exception {
   
	// 1. 这段代码是生成一个 HttpSecurity , 这是我们熟悉的对象。
	final HttpSecurity http = getHttp();
	// 2. 这段代码非常重要,其中就是将我们的 配置好的 HttpSecurity 添加到 WebSecurity中, 因此我们隐隐猜到,一个spirng中不会仅仅只有一条过滤链。我们自己配置的 HttpSecurity 知识其中的一一环
	// 3. 这里同时又有个问题,既然 HttpSecurity 是多例的,为什么要将他的独有的参数放到 WebSecurity中。比如 postBuildActiong() 和 
	// web.securityInterceptor(securityInterceptor); 这里先不管。
	web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
   
		public void run() {
   
			FilterSecurityInterceptor securityInterceptor = http
					.getSharedObject(FilterSecurityInterceptor.class);
			web.securityInterceptor(securityInterceptor);
		}
	});
}
public void configure(WebSecurity web) throws Exception {
   

}

WebSecurity (他是一个Builder【SecurityBuilder<Filter>】)

他有SecurityConfigurer来加强这个Builder, 例如WebSecurityConfigurerAdapter

HttpSecurity (他是一个Builder【SecurityBuilder<DefaultSecurityFilterChain>】)

他并没有一个 SecurityConfigurer 来加强这个Builder, 我们对他配置的方法protected void configure(HttpSecurity http)是来源于WebSecurityConfigurerAdapter中的方法,如果我们不重写他默认的http生成如下


protected void configure(HttpSecurity http) throws Exception {
   
	logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).")
最低0.47元/天 解锁文章
weixin_38872524
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity过滤链执行过程
HMH_huige的博客
08-08 97
SpringSecurity执行过程
SpringSecurity ,oAuth2.0 从入门到源码精通 之 (六)spring security 配置多条过滤器链
llk15884975173的博客
12-01 932
在前一篇文章,我们介绍了 Spring Security 的启动流程和配置流程,在介绍 WebSecurity 时,我们提到可以创建多个 WebSecurityConfigurerAdapter 的子类实例,也就会创建多条过滤器链,今天我们就来简单了解一下如何配置多个过滤器链。 1 简单配置 配置方法很简单,我们直接上代码: 创建一个配置类,再在该类创建几个 WebSecurityConfigurerAdapter 的子类,并给这些类加上 @Order 和 @Configuration 注解: Mult
SpringSecurity ,oAuth2.0 从入门到源码精通 之 (五)spring security 的 启动流程、构建 filterChainProxy 和 过滤器链 的流程详解
llk15884975173的博客
11-24 462
经过前面的学习,我们已经学会了如何进行简单的 Spring Security 配置来完成一些基本功能。今天,我们将一起详细讨论 WebSecurityConfigurerAdapter 的使用。 1 Spring Security 自动配置 在开始之前,我们先看一下 Spring Security 的自动配置。对于熟悉 SpringBoot 自动配置的小伙伴来说,可以跳过本小节。 我们在 idea 双击 shift 键,输入 spring.factories ,然后找到下图红框的文件: 然后搜素 .
filter java oauth_Spring OAuth过滤器链和Java配置
weixin_39602560的博客
12-24 251
我正在尝试将spring-security-oauth添加到具有spring-security的现有应用程序.我正在使用Java配置.我有一个现有的修改过滤器链(添加了一些自定义过滤器)但是对’/ oauth / token’的请求没有使用它,而是使用’默认’过滤器链.如何才能访问保护oauth端点的过滤器链,以便我可以在那里使用自定义过滤器,还是可以将OAuth端点连接到现有设置?解决方法:...
spring oauth2 过滤器执行
cjk_0071的博客
03-22 635
spring oauth2 过滤器执行
全面解析Spring Security 过滤器链的机制和特性
08-18
每条过滤链实际上就是一个 SecurityFilterChain。 在 Spring Security 过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤...
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
spring security 4 小例子带自定义过滤
03-20
3. **集成Spring Security**:为了让自定义过滤器能与Spring Security的其他组件协同工作,我们可能需要设置一些属性,如`AuthenticationManager`或`SecurityContextHolder`。例如,我们的自定义过滤器在验证成功后...
springsecurity使用demo
03-03
Spring Security 提供了一套丰富的过滤器链,这些过滤器处理请求,执行认证和授权过程。 1. **配置 Spring Security**: 在 Spring Security ,我们通常通过 Java 配置或 XML 配置来设置安全规则。在 Java 配置...
Spring Security模块
09-03
2. **过滤器链**:Spring Security过滤器链开始工作,首先是 `DelegatingFilterProxy`,它将请求转发给 Spring Security过滤器链。 3. **匿名身份验证**:如果用户尚未登录,Spring Security 会提供一个匿名...
Spring Security 实战:过滤器链的机制和特性
码农小胖哥
03-09 1045
1. 前言过滤器作为 Spring Security 的重之重,我们需要了解其的机制。这样我们才能根据业务需求的变化进行定制。今天来探讨一下 Spring Security 过滤...
Spring Security OAuth 学习笔记(一)
lizewen1987的专栏
06-20 134
Spring Security OAuth学习笔记(一)(原创) Spring Security OAuth项目是Spring对OAuth协议实现的一个开源项目。提供  OAuth providers和OAuth  consumers的实现。以下是个人的学习笔记仅供参考。 OAuth协议相关的参考资料: http://oauth.net/(官网) http://wenku.baidu...
【超详细断点级别讲解 SpringSecurity】项目实战:用户认证、用户授权
Zhou_LC的博客
11-13 926
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
记录Springboot 集成 SpringSecurity 5.7时 AuthenticationManager发生的循环依赖问题
Ricardo.M.Yu的博客
10-17 2701
springsecurity5.7 AuthenticationManager发生的循环依赖问题
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5394
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
浅析Spring Security过滤流程
困难是否磨灭你的自信
05-06 692
前言 记录对Spring Security过滤流程的梳理结果 总览 当用户端发送请求到我们的Web应用时,首先是Container(例如Tomcat)接收到请求,然后通过一系列的Filter后到达具体的Servlet Filter顺序在Spring Boot有两种控制机制 Filter类型的Bean使用@Order注解或实现Ordered接口 使用FilterRegistrationBean为...
Spring Security:(六)过滤器链SecurityFilterChain
colin2200的博客
03-26 233
Spring Security的功能点入口是FilterChainProxy,在FilterChainProxy管理着多个过滤器链 SecurityFilterChain。 Spring Security是通过调用 HttpSecurity的 build()方法实例化SecurityFilterChain。 过滤器链SecurityFilterChain是多个过滤器的集合...
Spring Security 5.7.1安全过滤器链配置方法
DDDInJava
05-31 4062
@RequiredArgsConstructor(onConstructor_ = @Autowired) @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfiguration { @NonNull private AuthenticationSuccessHandler authenticationSuccessHandler; @NonNull p.
Spring-Security+JWT+MongoDB解析Spring-Security的基本流程
sunfulinya的博客
10-16 521
最近再看Spring-Security,通过不断的调试,总算对其流程有所认识,总结一下。这里用到了Security和jwt,都是很实用的知识点,希望能够帮到你。用MongoDB是因为我最近再看,只涉及最简单的用法,想换成mysql也可以。(刚开始写博客,写的不好多多包涵)看完这篇文章之后你可以知道如何使用springboot,springSecurity,jwt实现基于token的权限管理。
Spring Security过滤
最新发布
09-24
Spring Security过滤链是指一系列的过滤器按特定的顺序组成的链条,用于处理HTTP请求并执行相应的安全操作。过滤器链的加载原理是在Spring Security的配置文件进行配置,根据配置的内容动态加载过滤器。过滤器链的每个过滤器负责不同的安全功能,比如认证、授权、防止跨站请求伪造等。根据具体的需求,可以在配置文件添加或移除过滤器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值