Spring Security的初始化过程(1)

最新推荐文章于 2023-03-10 23:10:02 发布
最新推荐文章于 2023-03-10 23:10:02 发布
阅读量227 收藏
点赞数
文章标签: java spring spring boot Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44612246/article/details/129455903
版权

Spring Security可以通过xml配置或者注解方式初始化,其实只是配置方式不同,初始化过程大致相同。

所以我们只分析通过注解方式的初始化。注解方式的初始化也会根据你的项目采用的框架不同而有所不同,我们只分析SpringBoot框架下的Spring Security的初始化过程。

我们简单先罗列一下与Spring Security有关的配置在Spring.facories文件中的自动装配类,只是有个直观印象就可以,不会逐一做分析:

```

org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration,\

org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration,\

org.springframework.boot.autoconfigure.security.servlet.SecurityFilterAutoConfiguration,\

org.springframework.boot.autoconfigure.security.reactive.ReactiveSecurityAutoConfiguration,\

org.springframework.boot.autoconfigure.security.reactive.ReactiveUserDetailsServiceAutoConfiguration,\

org.springframework.boot.autoconfigure.security.rsocket.RSocketSecurityAutoConfiguration,\

org.springframework.boot.autoconfigure.security.saml2.Saml2RelyingPartyAutoConfiguration,\

org.springframework.boot.autoconfigure.sendgrid.SendGridAutoConfiguration,\

org.springframework.boot.autoconfigure.session.SessionAutoConfiguration,\

org.springframework.boot.autoconfigure.security.oauth2.client.servlet.OAuth2ClientAutoConfiguration,\

org.springframework.boot.autoconfigure.security.oauth2.client.reactive.ReactiveOAuth2ClientAutoConfiguration,\

org.springframework.boot.autoconfigure.security.oauth2.resource.servlet.OAuth2ResourceServerAutoConfiguration,\

org.springframework.boot.autoconfigure.security.oauth2.resource.reactive.ReactiveOAuth2ResourceServerAutoConfiguration,\

```

Spring Security的初始化过程确实比较复杂,配置类非常多,刚开始确实有点无从下手的感觉。

所以,决定先从官网上的文档入手。

参考:https://docs.spring.io/spring-security/reference/servlet/architecture.html

通过阅读文档我们知道:

1. Spring Security通过filter实现。

2. filter生效过程如下图,其中Spring Security会配置n多个filter来实现目标:

![image.png](/img/bVc4owN)

3. 而Spring Security的多个过滤器并不是并行插入到Servlet的filte chain中的,而是以一个filter的方式插入进去,这个filter就是DelegatingFilterProxy:

![image.png](/img/bVc4owP)

4. DelegatingFilterProxy包含一个由SecurityFilterChain组成的FilterChainProxy:

![image.png](/img/bVc4owX)

4. 而正是这个SecurityFilterChain包含一系列用来实现Spring Security的过滤器filters:

![image.png](/img/bVc4ow2)

***通过以上分析,我们知道Spring Security就是通过组装在FilterChainProxy中的SecurityFilterChain实现的,SecurityFilterChain中包含了一系列过滤器,正是这些过滤器实现了Spring Security的所有功能。***

***所以,第一步,我们先从源码的角度分析Spring Security的SecurityFilterChain的初始化过程。***

Spring Security的配置类在SpringBoot框架下不需要通过类似@EnableWebSecurity的方式启用,SpringBoot的自动装配机制会自动启用Spring Security的配置。

#### HttpSecutiry类结构

Spring Security的Filter最终是通过SecurityBuilder创建的,SecurityBuilder持有各过滤器的配置器,最后通过配置器生成过滤器并组装到SecurityFilterChain中。

![image.png](/img/bVc4ozN)

#### HttpSecurityConfiguration

HttpSecurityConfiguration是SpringSecurity的一个重要配置类,他的一个重要作用是初始化HttpSecurity对象。

通过httpSecurity()方法创建:

```

@Bean(HTTPSECURITY_BEAN_NAME)

@Scope("prototype")

HttpSecurity httpSecurity() throws Exception {

WebSecurityConfigurerAdapter.LazyPasswordEncoder passwordEncoder = new WebSecurityConfigurerAdapter.LazyPasswordEncoder(

this.context);

AuthenticationManagerBuilder authenticationBuilder = new WebSecurityConfigurerAdapter.DefaultPasswordEncoderAuthenticationManagerBuilder(

this.objectPostProcessor, passwordEncoder);

authenticationBuilder.parentAuthenticationManager(authenticationManager());

HttpSecurity http = new HttpSecurity(this.objectPostProcessor, authenticationBuilder, createSharedObjects());

// @formatter:off

http

.csrf(withDefaults())

.addFilter(new WebAsyncManagerIntegrationFilter())

.exceptionHandling(withDefaults())

.headers(withDefaults())

.sessionManagement(withDefaults())

.securityContext(withDefaults())

.requestCache(withDefaults())

.anonymous(withDefaults())

.servletApi(withDefaults())

.apply(new DefaultLoginPageConfigurer<>());

http.logout(withDefaults());

// @formatter:on

return http;

}

```

创建HttpSecurity对象并调用一系列方法装配configurers属性,configurers是一个包含各安全过滤器配置器的集合。

Spring Security的过滤器是通过对应的配置器生成的,所以我们的目光要先聚焦在以上生成配置器的代码上。

比如http.csrf(withDefaults())调用会生成Spring Security的防跨域请求过滤器的配置器,最后通过配置器生成过滤器(后面我们会分析源码)。

Spring Security的其他过滤器也是通过以上方式、首先生成过滤器的配置器、然后再有配置器生成过滤器,再将过滤器组装在SecurityFilterChain中从而生效的。具体的生成配置器的代码就不一一贴出了。

***HttpSecurityConfiguration的其他初始化过程暂时忽略。***

#### SpringBootWebSecurityConfiguration

SpringBootWebSecurityConfiguration只有一个方法defaultSecurityFilterChain,用来创建SecurityFilterChain:

```

@Configuration(proxyBeanMethods = false)

@ConditionalOnDefaultWebSecurity

@ConditionalOnWebApplication(type = Type.SERVLET)

class SpringBootWebSecurityConfiguration {

@Bean

@Order(SecurityProperties.BASIC_AUTH_ORDER)

SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {

http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();

return http.build();

}

}

```

defaultSecurityFilterChain方法有一个参数:HttpSecurity,该对象的初始化过程我们前面已经分析过了,我们直接看http.build()。

#### AbstractSecurityBuilder#build()

build方法在父类AbstractSecurityBuilde中实现:

```

@Override

public final O build() throws Exception {

if (this.building.compareAndSet(false, true)) {

this.object = doBuild();

return this.object;

}

throw new AlreadyBuiltException("This object has already been built");

}

```

#### AbstractConfiguredSecurityBuilder#doBuild

doBuild方法的一系列调用方法:

```

@Override

protected final O doBuild() throws Exception {

synchronized (this.configurers) {

this.buildState = BuildState.INITIALIZING;

beforeInit();

init();

this.buildState = BuildState.CONFIGURING;

beforeConfigure();

configure();

this.buildState = BuildState.BUILDING;

O result = performBuild();

this.buildState = BuildState.BUILT;

return result;

}

}

```

***我们重点关注两个,一个是configure(),一个是performBuild()。***

#### AbstractConfiguredSecurityBuilder#configure()

configure方法获取到configures,逐个调用其configure方法。configures我们前面分析HttpSecurityConfiguration源码的时候已经分析过了,是在HttpSecurity被创建之后装配出来的。

```

private void configure() throws Exception {

Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

for (SecurityConfigurer<O, B> configurer : configurers) {

configurer.configure((B) this);

}

}

```

被装配进来的众多配置器我们暂时就不一一分析了,还是以跨域过滤配置器为例,了解一下过滤器的创建和配置过程,其他配置器的配置过程大同小异:

```

@Override

public void configure(H http) {

CsrfFilter filter = new CsrfFilter(this.csrfTokenRepository);

...省略n行代码

filter = postProcess(filter);

http.addFilter(filter);

}

```

可以看到configure方法创建过滤器,并将过滤器加入到HttpSecurity的filters容器中。

简单看一眼addFilter方法:

```

@Override

public HttpSecurity addFilter(Filter filter) {

Integer order = this.filterOrders.getOrder(filter.getClass());

if (order == null) {

throw new IllegalArgumentException("The Filter class " + filter.getClass().getName()

+ " does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.");

}

this.filters.add(new OrderedFilter(filter, order));

return this;

}

```

我们只要了解到所有的filter再加入到filters中的时候都是有顺序的,这个顺序是在HttpSecurity初始化的过程中指定的。

***好了,到现在为止,我们知道各过滤器已经被加入到创建器(builder)的容器filters中了。***

***接下来,我们可以猜测得到,肯定就是创建器要通过什么方式将他的filters中的各过滤器装配的SecurityFilterChans中了。***

***继续分析......***

#### HttpSecurity#performBuilder()

performBuilder()方法又绕回到HttpSecurity中实现,将创建好的过滤器fiters作为参数,创建DefaultSecurityFilterChain:

```

@Override

protected DefaultSecurityFilterChain performBuild() {

this.filters.sort(OrderComparator.INSTANCE);

List<Filter> sortedFilters = new ArrayList<>(this.filters.size());

for (Filter filter : this.filters) {

sortedFilters.add(((OrderedFilter) filter).filter);

}

return new DefaultSecurityFilterChain(this.requestMatcher, sortedFilters);

}

```

***DefaultSecurityFilterChain才是我们的主角!创建好的DefaultSecurityFilterChain注入到Spring的Ioc容器中,之后组装到FilterChainProxy中生效。***

下回分解!!!

上一篇 [Spring事务控制AOP环绕切入底层原理](https://segmentfault.com/a/1190000042806063)

下一篇 [Spring Security的初始化过程(2)](https://segmentfault.com/a/1190000042973182)

weixin_44612246
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程图 SpringSecurity系统启动流程 SpringSecurity调用流程
Spring框架初始化解析
08-28
Spring框架的初始化过程是由Spring容器加载和管理的,通过使用不同的加载方式和Bean生命周期回调方法,来实现对Bean的初始化和销毁。 一、 Spring框架的设计核心是org.springframework.beans包,它为与JavaBeans...
看透SpringSecurity:穿针引线 · SpringSecurity初始化过程(精)
以镒称铢的博客
01-19 364
原文在公众号,这里的排版有时间再搞,需要的移至文章底部。 友情提示:阅读的时候尽量开着电脑一起走。 今天聊一下SpringSecuritySpringBoot下的初始化过程,直接切入正题。 先做一些准备工作: 导入maven依赖, <dependency> <groupId>org.springframework.boot</gr...
Spring Security 初始化流程详解
weixin_34240657的博客
05-10 2250
最近在整合微服务OAuth 2认证过程中,它是基于Spring Security之上,而本人对Spring Security架构原理并不太熟悉,导致很多配置搞不太清楚,遂咬牙啃完了Spring Security核心源码,花了差不多一星期,总体上来说,其代码确实比较晦涩,之前在学习Apache Shiro框架之前也曾经在相关论坛里了解过,相比Spring Security,Apache Shiro真...
透过源码详解Spring Security 初始化流程
LoveSummer
11-11 962
Spring Security在3.2版本之后支持Java Configuration,即:通过Java编码形式配置Spring Security,可不再依赖XML文件配置,本文采用Java Configuration方式。 在Spring Security官方文档中有一个最简配置例子: import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.*
Spring Security初始化过程(2)
weixin_44612246的博客
03-10 246
SpringSecurity初始化过程源码分析
常用的框架技术-09 Spring Security 的源代码和初始化项目
11-23
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个...
Spring security认证授权
11-30
这可以通过在Spring Boot初始化器或者数据迁移工具(如Flyway或Liquibase)中实现。 4. **自动创建数据库**: - 使用Spring Boot的JPA和数据源配置,可以自动创建和更新数据库表。只需要在`application....
spring security 认证授权实现
10-14
- 项目中提供的建库脚本是为了快速初始化数据库结构,包括用户表、权限表、角色表等相关安全实体。 - 这些脚本有助于开发者快速搭建环境,进行开发和测试。 6. **不包含OAuth2.0**: - OAuth2.0是一种开放标准,...
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBootSpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
spring security 初始化
ZiLongO的专栏
09-02 575
spring security 初始化基本要求 编辑工具STS Java 版本 1.8 构建工具maven 环境搭建 创建maven工程 添加spring-security-demo 工程依赖 添加配置文件添加spring-mvc-config 添加spring-config 添加 spring-security-config 配置验证 配置授权 问
SpringSecurity启动流程源码解析 | CSDN新人第三弹
和耳朵
07-15 234
别辜负生命,别辜负自己。 楔子 前面两期我讲了SpringSecurity认证流程和SpringSecurity鉴权流程,今天是第三期,是SpringSecurity的收尾工作,讲SpringSecurity的启动流程。 就像很多电影拍火了之后其续作往往是前作的前期故事一样,我这个第三期要讲的SpringSecurity启动流程也是不择不扣的"前期故事",它能帮助你真正认清SpringSecurity的整体全貌。 在之前的文章里,在说到SpringSecurity中的过滤器链的时候,往往是把它作为一个.
springsecurity默认用户生成
sdaujsj1的博客
06-27 282
spring默认用户生成 springboot背后默默做了很多事情: 开启springSecurity自动化配置,开启后,会自动创建一个名为SpringSecurityFilterChain的过滤器,并注入到spring容器中,这个过滤器将负责所有的安全管理,包括用户的认证,授权,重定向到登录页面等(springSecurityFilterChain实际上代理了SpringSecurity中的过滤器链) 创建一个UserDetailsService实例,UserDetailsService负责提供用户数据
SpringSecurity初始化配置
m0_58664047的博客
05-31 71
第一步:创建一个boot工程,在pom文件中引入相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency>
Spring Security启动加载流程梳理
凶猛的小蜜蜂
04-19 3119
注:本文使用的Spring版本:4.0.2.RELEASE ,Spring Security版本:3.2.8.RELEASE web.xml配置 使用Spring Security需要在web.xml加入一个Filter,如下: &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-nam...
Spring Security 初始化源码分析
雷X峰
05-13 399
本文基于 spring-boot-2.1.0.RELEASE版本 spring boot security 初始化流程,spring boot security主要采用了责任链模式,责任链中的每个filter处理不用的功能
SpringSecurity默认用户认证
天天向上
09-01 2441
1. 新建SpringBoot项目 2. 项目依赖 <dependencies> <!-- security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependenc
Spring Security初始化过程(3)
weixin_44612246的博客
03-10 119
SpringSecurity初始化过程源码分析
4.SpringSecurity初始化的本质
飘然渡沧海的博客
03-06 140
SpringSecurity初始化的本质
spring security初始化
最新发布
04-27
以下是Spring Security初始化的一般步骤: 1. 添加依赖:在项目的构建文件(如Maven或Gradle)中添加Spring Security的依赖项。 2. 配置文件:创建一个Spring Security的配置文件,通常是一个Java类,用于配置安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值