Security配置生效源码分析

最新推荐文章于 2024-07-21 10:42:02 发布
最新推荐文章于 2024-07-21 10:42:02 发布
阅读量783 收藏
点赞数
分类专栏: 源码分析 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xjzzon/article/details/123017804
版权
本文详细分析了Spring Security配置生效的流程,从启动类的注解解析到WebSecurityConfiguration,再到配置注入和生效入口。讲解了WebSecurityConfigurerAdapter的init和configure方法如何调用用户自定义的配置,以及如何构建FilterChainProxy。最后总结了配置生效过程中的关键点和设计模式的借鉴之处。
摘要由CSDN通过智能技术生成
文章概述

本文主要解决几个问题:

  • security配置生效的入口是哪里
  • 我们平时写的security配置是如何被调用的
  • 为什么我们写的配置需要继承WebSecurityConfigurerAdapter
  • HttpSecurity和WebSecurity是干嘛用的
配置核心类
  • 启动Security,需要在启动类上添加@EnableSecurity注解
@SpringBootApplication
@EnableWebSecurity
public class ThingsboardApp {
   
    ...
}
  • @EnableSecurity解析
@Import({
    WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
   

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;
}

@EnableSecurity注解通过@Import引入了WebSecurityConfiguration作为bean。

  • WebSecurityConfiguration类,是一个bean,spring启动后,关于security的配置生效从这里开始。
@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
   
    ...
}

实现了ImportAware接口,ImportAware接口作用是将引入了@Import注解的类的AnnotationMetadata信息通过setImportMetadata方法传入ImportAware的实现类中。借鉴点:@Import是叠加在@EnableSecurity注解上的,而@EnableSecurity又是注解在启动类上的,于是在WebSecurityConfiguration类就能拿到启动类上的注解信息,通常关心的是@EnableXXXX注解的信息,因为这里可能包含一些开启的配置信息。
实现了BeanClassLoaderAware接口,将Spring容器的BeanClassLoader设置到属性中,目前没看到有用到这个属性。

配置注入

WebSecurityConfiguration类

@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(
			ObjectPostProcessor<Object> objectPostProcessor,
			@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
			throws Exception {
   
        ...
}

方法参数利用SPEL将注入类型为WebSecurityConfigurer.class的bean,WebSecurityConfigurer的重要实现类WebSecurityConfigurerAdapter,是我们配置security通常需要继承的基类。于是这里拿到了我们的配置bean,将它们设置到webSecurityConfigurers属性中。

配置生效入口
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
   
    ..
最低0.47元/天 解锁文章
jazon@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity源码
05-29
4. **配置解析**:查看`WebSecurityConfigurerAdapter`和`GlobalAuthenticationConfigurerAdapter`的源码,理解配置是如何生效的。 5. **安全上下文**:理解`SecurityContextHolder`如何存储和管理当前用户的认证...
Java兼容性与安全性设置
退思园
12-01 4752
    为了使操作系统支持Java,可由Sun公司的Java下载网页, 根据操作系统类型下载和安装一个免费JRE(Java Runtime Environment), 例如, JRE6。然后, 将本文件下载保存, 拷贝, 并粘贴到JRE所在的security目录, 例如, C:/Program Files/Java/jre6/lib/security/, 替换原有的文件java.policy, 设
java.security不能修改_Security.addProvider不生效问题解决。不用修改java.Security,解决no such provider 或者 JCE cannot aut...
weixin_31586521的博客
02-13 3007
现象在使用Security.addProvider(new BouncyCastleProvider());的时候,在本地好使,上线后不能用。要改jre下面的java.security才能用。不然会报no such provider 或者JCE cannot authenticate the provider问题本质java security对BouncyCastleProvider的安全认证...
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1589
了解SpringSecurity,并进行简单使用与配置
JAVA安全站点设置全局生效
lion_cui的IT二三事
03-25 2442
在Xenapp的环境中,由于是多用户共享一个操作系统,软件需要用到统一设置,例如JAVA控件是在B/S架构中经常用到的.控制面板中的JAVA设置只会对当前用户生效,要想对所有用户生效需要修改一些设置JAVA的安全设置是保存在 c:/users/%username%/AppData/LocalLow/Sun/Java/Deployment/security/ sexception.sites文件里
java.security
好男儿今生不后悔
01-13 332
java.security KeyStore PrivateKey Signature java.security.cert X509Certificate
linux 下 java.security修改_linux下修改内核参数进行Tcp性能调优 -- 高并发
weixin_39556891的博客
11-10 1695
前言: Tcp/ip协议对网络编程的重要性,进行过网络开发的人员都知道,我们所编写的网络程序除了硬件,结构等限制,通过修改Tcp/ip内核参数也能得到很大的性能提升, 下面就列举一些Tcp/ip内核参数,解释它们的含义并通过修改来它们来优化我们的网络程序,主要是针对高并发情况。 这里网络程序主要指的是服务器端1. fs.file-max最大可以打开的文件描述符数量,注意是整个系统。 在服务器中,我...
java分布式医疗平台源码
05-17
这使得配置更新可以在不重启服务的情况下动态生效,增强了系统的灵活性。 6. **his-doctor**:医生模块可能包括医生注册、排班、病历管理等功能,涉及用户权限控制、数据库操作和可能的第三方API交互,如电子健康...
[jojozhai]Spring Security开发安全的REST服务源码完整版
11-22
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括Web应用和...通过学习和分析这套源码,开发者可以深入理解Spring Security如何保护REST服务,从而在实际项目中更有效地应用和扩展这个框架。
使用SpringSecurity3用户验证几点体会(异常信息,验证码)
04-03
6. **源码分析**: 分析`ValidateCodeAuthenticationFilter`的源码可以帮助我们理解验证码验证的整个流程,包括何时生成验证码、如何将其与用户的会话关联、以及如何在认证过程中验证它。这有助于我们定制自己的...
teradata DB connection在Jboss中的配置
03-17
5. **重启JBoss**:完成上述配置后,需要重启JBoss服务以使改动生效。 6. **测试连接**:通过编写一个简单的Java程序或者在管理控制台中测试数据源连接,确保配置成功。 通过以上步骤,你的JBoss应用服务器应该...
java.security.policy_java.security.policy 配置说明
weixin_35103924的博客
02-13 1226
众所周知,Java语言具有完善的安全框架,从编程语言,编译器、解释程序到Java虚拟机,都能确保Java系统不被无效的代码或敌对的编译器暗中破坏,基本上,它们保证了Java代码按预定的规则运作。但是,当我们需要逾越这些限制时,例如,读写文件,监听和读写Socket,退出Java系统等,就必须使用数字签名或安全策略文件(*.Policy)。在企业内部网中,本文提出了使用安全策略文件来设置java程序...
Java安全——策略文件说明
多头注意力探索Now
06-27 1976
java安全策略文件说明
java security 详解_SpringSecurity基础功能详解
weixin_39737831的博客
02-16 762
本篇目录:一、默认情况二、自定义用户认证三、自定义用户登录页面四、自定义登录成功、失败处理五、图形验证码六、记住我功能七、Session管理八、退出操作首先说明本文所用的SpringSecurity版本是2.0.4.RELEASE。下面逐个功能介绍。一、默认情况1、构建与配置1)pom.xmlorg.springframework.bootspring-boot-starter-security2...
java.security不能修改,如何在不修改java.security文件的情况下在Java 8中启用SSLv3?...
weixin_29029145的博客
02-13 1667
In JDK 8 SSLv3 is disabled and TLSv1.2 is enabled by default.When i google i found lot of posts where SSLv3 is enabled by commenting out the line in java.security file in the lib folder.I want to enab...
Spring Security Config : AbstractConfiguredSecurityBuilder
ywb201314的专栏
03-21 246
在生命周期基础之上实现并final了基类定义的抽象方法#doBuild,将构建划分为三个主要阶段#init,#configure,#performBuild;对 #init/#configure阶段提供了前置回调#beforeInit/#beforeConfigure空方法供基类扩展;// 构建过程配置方法 : 调用所有 SecurityConfigurer 的 #configure 配置方法。// 构建过程初始化方法 : 调用所有 SecurityConfigurer 的 #init 初始化方法。
Java Security 入门(从java17之后被弃用)
owisho_java的专栏
03-03 1154
java security
springsecurity配置类不生效
09-05
关于Spring Security配置类不生效的问题,可能有几个原因导致。以下是一些可能的解决方案: 1. 确保你的配置类(通常是继承自`WebSecurityConfigurerAdapter`)上标注了`@EnableWebSecurity`注解。这个注解用于启用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值