Spring Boot 自动装配 Spring Security 详解

最新推荐文章于 2024-06-03 08:46:47 发布
最新推荐文章于 2024-06-03 08:46:47 发布
阅读量763 收藏 2
点赞数 1
分类专栏: Spring Security 文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ywhjames/article/details/109057503
版权

Spring Boot 自动装配 Spring Security 详解

文章目录

Spring Security 是 Java Web 技术中,管理认证授权安全框架

Spring Security 原理(Servlet)

在 Spring MVC 项目中,Spring Security 在 Web 容器中插入一个 Filter,从而在 Http 请求进入 DispatcherServlet 前对认证(Authentication)和授权(Authorization)进行校验。

关于 Spring Security 的更多架构原理请参看 Servlet 架构

关键结构

                     springSecurityFilterrChain
                                  :
                                  :
DelegatingFilterProxy --> FilterChainProxy --> SecurityFilterChain
                                  ^                     ^
                                  |                     |
                             WebSecurity           HttpSecurity

Spring Security 框架应用了职责链模式,通过多级 Filter 的对请求的层层拦截实现了对不同职责关注点的解耦。

1. SecurityFilterChain 和 FilterChainProxy

Spring Security 框架中表示职责链的接口是 SecurityFilterChain,具有 matches() 和 getFilters() 两个方法。因为 Spring Security 可以配置多个 SecurityFilterChain,所以需要 matches() 方法根据具体的请求完成选择。getFilters() 方法则是用来获取职责链中的 Filter 的有序列表。

package org.springframework.security.web;
// ...
public interface SecurityFilterChain {
   

    boolean matches(HttpServletRequest request);

    List<Filter> getFilters();
}

FilterChainProxy 是 SecurityFilterChain 集合的代理,它将多个 SecurityFilterChain 包装起来,对外暴露统一的入口。

package org.springframework.security.web;
// ...
public class FilterChainProxy extends GenericFilterBean {
   
    // ...
    private List<SecurityFilterChain> filterChains;
    // ...
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
   
        boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
        if (clearContext) {
   
            try {
   
                request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                doFilterInternal(request, response, chain);
            }
            finally {
   
                SecurityContextHolder.clearContext();
                request.removeAttribute(FILTER_APPLIED);
            }
        }
        else {
   
            doFilterInternal(request, response, chain);
        }
    }

    private void doFilterInternal(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
   

        FirewalledRequest fwRequest = firewall
                .getFirewalledRequest((HttpServletRequest) request);
        HttpServletResponse fwResponse = firewall
                .getFirewalledResponse((HttpServletResponse) response);

        List<Filter> filters = getFilters(fwRequest);

        if (filters == null || filters.size() == 0) {
   
            if (logger.isDebugEnabled()) {
   
                logger.debug(UrlUtils.buildRequestUrl(fwRequest)
                        + (filters == null ? " has no matching filters"
                                : " has an empty filter list"));
            }

            fwRequest.reset();

            chain.doFilter(fwRequest, fwResponse);

            return;
        }

        VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
        vfc.doFilter(fwRequest, fwResponse);
    }

    private List<Filter> getFilters(HttpServletRequest request) {
   
        for (SecurityFilterChain chain : filterChains) {
   
            if (chain.matches(request)) {
   
                return chain.getFilters();
            }
        }

        return null;
    }
    // ...
}

2. DelegatingFilterProxy

DelegatingFilterProxy 是 FilterChainProxy 的代理,是 Spring Security 框架与 Web 容器关联的 Filter 对象,其 initDelegate() 方法根据 targetBeanName 来获取真正作为 Filter 的 Bean。

事实上,代理 FilterChainProxy 对象的 DelegatingFilterProxy 对象的 targetBeanName 成员的值是 springSecurityFilterChain,即 DelegatingFilterProxy 对象代理了名为 springSecurityFilterChain 的 Bean。

package org.springframework.web.filter;
// ...
public class DelegatingFilterProxy extends GenericFilterBean {
   
    // ...
    @Nullable
    private volatile Filter delegate;
    // ...
    public DelegatingFilterProxy(String targetBeanName, @Nullable WebApplicationContext wac) {
   
        Assert.hasText(targetBeanName, "Target Filter bean name must not be null or empty");
        this.setTargetBeanName(targetBeanName);
        this.webApplicationContext = wac;
        if (wac != null) {
   
            this.setEnvironment(wac.getEnvironment());
        }
    }
    // ...
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
   

        // Lazily initialize the delegate if necessary.
        Filter delegateToUse = this.delegate;
        if (delegateToUse == null) {
   
            synchronized (this.delegateMonitor) {
   
                delegateToUse = this.delegate;
                if (delegateToUse == null) {
   
                    WebApplicationContext wac = findWebApplicationContext();
                    if (wac == null) {
   
                        throw new IllegalStateException("No WebApplicationContext found: " +
                                "no ContextLoaderListener or DispatcherServlet registered?");
                    }
                    delegateToUse = initDelegate(wac);
                }
                this.delegate = delegateToUse;
            }
        }

        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegateToUse, request, response, filterChain);
    }
    // ...
    protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
   
        String targetBeanName = getTargetBeanName();
        Assert.state(targetBeanName != null, "No target bean name set");
        Filter delegate = wac.getBean(targetBeanName, Filter.class);
        if (isTargetFilterLifecycle()) {
   
            delegate.init(getFilterConfig());
        }
        return delegate;
    }
    // ...
}

3. WebSecurity 和 HttpSecurity

最后,WebSecurityFilterChainProxy 的 Builder 类,HttpSecurityDefaultSecurityFilterChain 的 Builder 类。它们都继承了 AbstractConfiguredSecurityBuilder 类,而 AbstractConfiguredSecurityBuilder 又继承 AbstractSecurityBuilder 类,AbstractSecurityBuilder 则实现了 SecurityBuilder 接口。

3.1. SecurityBuilder 接口

SecurityBuilder 接口中只定义了 build() 方法。

package org.springframework.security.config.annotation;
// ...
public interface SecurityBuilder<O> {
   

    O build() throws Exception;
}
3.2. AbstractSecurityBuilder 抽象类

AbstractSecurityBuilder 的 build() 方法直接调用 doBuild() 方法。

package org.springframework.security.config.annotation;
// ...
public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> {
   
    // ...
    public final O build() throws Exception {
   
        if (this.building.compareAndSet(false, true)) {
   
            this.object = doBuild();
            return this.object;
        }
        throw new AlreadyBuiltException("This object has already been built");
    }
    // ...
    protected abstract O doBuild() throws Exception;
    // ...
}
3.4. AbstractConfiguredSecurityBuilder 抽象类

AbstractConfiguredSecurityBuilder 重写了 doBuild() 方法,依次调用 beforeInit(), init(), beforeConfigure(), configure() 方法进行初始化和配置,最后调用 performBuild() 方法完成对象创建过程。

package org.springframework.security.config.annotation;
// ...
public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>>
        extends AbstractSecurityBuilder
最低0.47元/天 解锁文章
刑风
关注
专栏目录
Spring Boot 3.x 系列【1】Spring Boot 3.0 版本新特性
记录知识、锤炼自我
02-28 4200
本系列基于最新Spring Boot 3.0版本,由浅入深,从实战到源码分析,详细讲解各种Spring Boot 的使用技巧,适用于初学和进阶使用者。 因为是基于Spring Boot 3.0,所以会先讲解大家比较关注的3.0 新特性,初学者可以跳过前两篇相关内容。
Spring Boot Actuator 模块详解::健康检查,度量,指标收集和监控
lvlei19911108的博客
06-23 601
前言去年我们项目做了微服务1.0的架构转型,但是服务监控这块却没有跟上。这不,最近我就被分配了要将我们核心的微服务应用全部监控起来的任务。我们的微服务应用都是SpringBoot 应用,因此就自然而然的想到了借助Spring Boot 的Actuator 模块。(没吃过猪肉总听过猪叫见过猪跑吧????)。本篇是我在完成这个工单之后,对Spring Boot Actuator模块 学习应用的总结。...
Spring Security 实战干货:Spring Boot 中的 Spring Security 自动配置初探
qq_16229873的博客
10-14 795
更多写作与参考学习材料等可登录ZG文库网http://www.zgwenku.com/ 1. 前言 我们在前几篇对 Spring Security 的用户信息管理机制,密码机制进行了探讨。我们发现Spring Security Starter相关的Servlet自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot ...
Spring Security 自动装配
weixin_30263073的博客
06-15 217
1、自动装配的配置类 org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration         // 自动装配类 注册DefaultAuthenticationEventPublisher org.springframework.boot.autoconfi...
SpringSecurity系列 - 01 SpringSecurity自动配置原理
你今天真好看呀
09-10 967
经过上面的分析可以看出,默认情况下,条件都是满足的。http . authorizeRequests() // 对所有的请求开启权限认证,认证之后才能访问 . anyRequest() . authenticated() . and() // 支持表单认证 . formLogin() . and() // 支持basic认证 . httpBasic();} }WebSecurityConfigurerAdapter 这个类极其重要,Spring Security 核心配置都在这个类中,
如何理解学习SpringSecurity自动配置原理以及其拓展——举例进行学习——从0到1教会方法自行学习
Alascanfu的博客
02-17 912
本篇内容:如何理解学习SpringSecurity自动配置原理以及其拓展——举例进行学习——从0到1教会方法自行学习 文章专栏:前后端分离项目(Vue + SpringBoot) 最近更新:2022年2月16日 SpringSecurity如何理解学习常用拦截器——举例进行学习——从0到1教会方法自行学习~ 个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去的,如果你很喜欢博文的话
springsecurity自动配置
weixin_40655902的博客
05-18 503
使用版本 为springboot 2.2.7 1.springboot默认配置文件 2.默认配置类 3.SecurityAutoConfiguration 默认到入了三个类 SpringBootWebSecurityConfiguration、 WebSecurityEnablerConfiguration、 SecurityDataConfiguration @Configuration(proxyBeanMethods = false) @ConditionalOnClass(DefaultAuth
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 494
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
spring bootspring-security 自动配置源码分析
zhenghuangyu的博客
10-12 573
概述 最近使用了spring-boot整合spring-security,比较想知道spring-boot到底在里面给我配置了什么bean,以及我自己写的 UserDetailService 是怎么生效的。特地跟踪源码分析了一遍,在这里记录一下。 入口是spring-boot自动装配 @EnableAutoConfiguration ,使用了这个注解spring-boot会加载spring.f...
spring boot
10-01
### Spring Boot核心知识点详解 #### 一、Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目标是简化新Spring应用的初始搭建以及开发过程中的复杂性。Spring Boot为开发者提供了一种无需大量...
Spring boot——Actuator 详解
热门推荐
weixin_45985053的博客
07-19 3万+
SpringBoot提供了所谓的endpoints(下文翻译为端点)给外部来与应用程序进行访问和交互。打比方来说,/health端点提供了关于应用健康情况的一些基础信息。metrics端点提供了一些有用的应用程序指标(JVM内存使用、系统CPU使用等)。这些Actuator模块本来就有的端点我们称之为原生端点。应用配置类获取应用程序中加载的应用配置、环境变量、自动化配置报告等与SpringBoot应用密切相关的配置类信息。度量指标类操作控制类提供了对应用的关闭等操作类功能。...
SpringSecurity6从入门到实战之SpringSecurity整合自动装配详解(源码级讲解,耐心看完)
最新发布
helloworld工程师的博客
06-03 1452
这里我先引出问题然后再来一步步进行剖析,SpringSecurity到底是如何实现引入依赖后所有请求都需要进行认证并且会弹出login登录表单页面.接下来会对SpringBoot自动装配进行详解,SpringSecurity也是通过自动装配实现以上一系列操作的。
SpringbootSpringSecurity自动装配原理,源码级别绝对详细
qq_51114283的博客
05-18 1209
SpringSecurity自动装配原理,源码级别,绝对详细
浅谈 SpringSecurity使用方式——自动配置原理(一)
小爽帅到拖网速的博客
09-10 1101
1、用户身份认证 快速开始 基于Spring Boot实现 引入依赖 <!-- 实现对 Spring MVC 的自动化配置 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- 实现对 Spri
Spring Boot Starter自动装配原理
程序员
07-07 1722
先看看SpringBoot自动装配的原理,看了源码原理后就明白为什么可以自定义Starter了 @SpringBootApplication是必须的,在Application启动类上的一个注解,大家都知道,就从@SpringBootApplication入手,点击进去是很多注解的组合,每个注解就不多做解释了 重点看@EnableAutoConfiguration,它是自动装配的整个逻辑,再点击去,关键信息@Import(AutoConfigurationImportSelector.class)
SpringSecurity(三)【默认自动配置分析】
Vinjcent
10-24 1128
解析 SpringSecurity 所有默认配置用来修改默认认证的数据源信息。
SpringSecurity6从入门到上天系列第七篇:讲明白SpringBoot自动装配完善上篇文章中的结论
treewithwater的博客
11-20 77
本文是SpringSecurity6从入门到上天系列第七篇,详细讲解了SpringBoot自动装配完善上篇文章中的结论
SpringBoot学习(五)-Spring Security配置与应用
小孔靠得住的博客
01-06 1539
Spring Security是一个基于Java的开源框架,用于在Java应用程序中提供身份验证和授权功能。它是Spring框架的一部分,可以与Spring应用程序集成,为应用程序提供安全性。
"2021年最新Spring Boot中文参考手册详解
手册内容包括但不限于Spring Boot的基本概念、核心特性、开发环境搭建、项目结构、自动装配、启动器、配置文件、日志、测试、部署等方面的内容。通过阅读这本手册,读者不仅可以了解Spring Boot框架的原理和设计思想...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值