SpringSecurity实现原理

最新推荐文章于 2023-07-20 17:18:21 发布
最新推荐文章于 2023-07-20 17:18:21 发布
阅读量801 收藏 1
点赞数 1
分类专栏: SpringSecurity 文章标签: security
赵小奥的专属文章
本文链接:https://blog.csdn.net/z318913/article/details/123585683
版权

SpringSecurity实现原理

实现原理

在Spring Security中认证、授权等功能都是基于过滤器完成的。

在这里插入图片描述

在这里插入图片描述

需要注意的是,默认过滤器并不是直接放在Web项目的原生过滤器链中,而是通过一个FlterChainProxy来统一管理。Spring Security中的过滤器链通过FilterChainProxy嵌入到Web项目的原生过滤器链中。FilterChainProxy 作为一个顶层的管理者,将统一管理SecurityFilter。FilterChainProxy本身是通过Spring框架提供的 DelegatingFilterProxy整合到原生的过滤器链中。

Security Filters

那么在 Spring Security中给我们提供那些过滤器?默认情况下那些过滤器会被加载呢?

以下就是按顺序进行加载的默认过滤器。

在这里插入图片描述

在这里插入图片描述

可以看出,Spring Security提供了30多个过滤器。默认情况下Spring Boot在对Spring Security进入自动化配置时,会创建一个名为SpringSecurityFilerChain的过滤器,并注入到Spring容器中,这个过滤器将负责所有的安全管理,包括用户认证、授权、重定向到登录页面等。具体可以参考WebSecurityConfiguration的源码:

在这里插入图片描述

具体来看这些Filters的加载顺序的话,我们可以进行debug来查看。

(1)首先对springSecurityFilterChain()方法源码进行添加断点

在这里插入图片描述

(2)然后使用debug模式启动项目
在这里插入图片描述

(3)对源码中的securityFilterChain进行计算,就得到默认的过滤器加载顺序了

在这里插入图片描述

SpringBootWebSecurityConfiguration

这个类是spring boot自动配置类,通过这个源码得知,默认情况下对所有请求进行权限控制:

//The default configuration for web security. It relies on Spring Security's content-
//negotiation strategy to determine what sort of authentication to use. If the user 
//specifies their own WebSecurityConfigurerAdapter or SecurityFilterChain bean, this will 
//back-off completely and the users should specify all the bits that they want to configure
//as part of the custom security configuration.
//web安全的默认配置。它依靠Spring Security的内容协商策略来确定使用哪种身份验证。如果用户指定了自己的
//WebSecurityConfigureAdapter或SecurityFilterChain bean,这将完全退出,用户应该指定他们想要配置
//的所有位,作为自定义安全配置的一部分。

@Configuration(proxyBeanMethods = false)
@ConditionalOnDefaultWebSecurity
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {

   @Bean
   @Order(SecurityProperties.BASIC_AUTH_ORDER)
   SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
   															throws Exception {                                         http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();
          return http.build();
   }

}

在这里插入图片描述

这就是为什么在引入Spring Security的依赖后没有任何的配置情况下,请求会被拦截的原因。

通过对上面自动配置的分析,我们可以看出默认生效条件是:

在这里插入图片描述

  • 条件一:classpath中存在SecurityFilterChain.class, HttpSecurity.class
  • 条件二:没有自定义 WebSecurityConfigurerAdapter.class, SecurityFilterChain.class

默认情况下,条件都是满足的,WebSecurityConfigurerAdapter这个类极其重要,Spring Security核心配置都在这个类中。

在这里插入图片描述

如果要对Spring Security进行自定义配置,就要自定义这个类实例,通过覆盖类中方法达到修改默认配置的目的。

只是六号z
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security详细介绍及使用含完整代码(值得珍藏)
m0_61331573的博客
04-06 1092
然后,创建一个配置类来设置Spring Security:import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.conf
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity原理和机制
weixin_45984552的博客
07-24 2118
以后每当有请求到来时,SpringSecurity就会先从Session中取出⽤户登录数据,保存到SecurityContextHolder中,⽅便在该请求的后续处理过程中使⽤,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将SecuritySecurityContextHolder中的数据清空。身份认证,就是判断⼀个⽤户是否为合法⽤户的处理过程。在的架构设计中,认证和授权是分开的,⽆论使⽤什么样的认证⽅式。...
Spring Security的工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity原理分析
Feverasa的博客
12-05 6416
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
Spring Security 的工作原理/总体架构
swadian2008的博客
07-20 498
这些过滤器的排序是Spring官方提供的,后来Spring可能觉得这样展示的意义不大,删去了这部分内容, 补充了一些从日志查看过滤器加载顺序的说明。//首先说,这里就是 Spring Security 的工作原理,重中之重,非常重要,虽然讲的是一个异常过滤器,但是实际上是一个执行流程。// 在Spring 中,Spring 管理过滤器的生命周期,所以 Filter 实例也是 Spring 中的一个Bean。//见名知意,过滤器链的代理 FilterChainProxy 中会持有过滤器链的对象。
【Spring Security】基本原理
懂得一千零一种,赋予你失败的方法!
08-24 1064
文章目录Spring Security 原理一、权限管理中的相关概念二、Spring Security 基本原理1.FilterSecurityInterceptor2.ExceptionTranslationFilter3.UsernamePasswordAuthenticationFilter三、UserDetailsService 接口讲解四、PasswordEncoder 接口讲解总结 Spring Security 原理 一、权限管理中的相关概念 1、主体 英文单词:principal 使用.
Spring Security实现禁止用户重复登陆的配置原理
08-25
主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security自定义登录原理实现详解
09-07
主要介绍了Spring Security自定义登录原理实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 实现“记住我”功能及原理解析
08-19
主要介绍了Spring Security 实现“记住我”功能及原理解析,需要的朋友可以参考下
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
SpringSecurity3.1实际摸索总结
05-08
文档包含各种重要命令参数的解析、具体的原理、具体的代码分析、实现资源也从数据库进行验证。在别人资料基础上做了的优化和总结。绝对物有所值。
Java全栈工程师-Spring Security
06-22
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理?本课程讲解Spring Security三种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法?本课程讲解Spring Security结合...
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1563
以上是10月31日对29日的Security学习进行日常总结。
Spring Security原理
qixiang_chen的博客
06-30 1433
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
Spring Security的实现原理
qq_39481994的博客
05-10 482
spring security是基于spring AOP和servlet过滤器的安全框架,在web请求级和方法调用级处理身份确认和授权。 spring security借助了一系列的Servlet Filter,当添加了@EnableWebSecurity注解之后,Spring会创建一个名字为SpringSecurityFilterChain的Bean,其类型为DelegatingFilterProxy,这是一个特殊的ServletFilter,将工作委托给一个javax.servlet.Filter的实
spring security实现原理
最新发布
09-15
Spring Security是一个用于认证和授权的框架,其主要原理是通过Filter来处理。具体来说,Spring Security的基本流程如下: 1. 首先,Tomcat会执行自身已有的Filter。 2. 然后,请求会被交给SpringSecurity定义的FilterChainProxy。 3. FilterChainProxy会根据配置的规则,依次执行Spring Security用于认证和授权管理的各种Filter。 4. 这些Filter会进行用户认证、权限检查等操作,以确保请求的安全性。 在默认情况下,使用spring-boot-starter-security引入Spring Security后,会默认注入一些Filter,包括: - SecurityContextPersistenceFilter:用于在请求间持久化SecurityContext。 - UsernamePasswordAuthenticationFilter:用于处理基于用户名和密码的认证。 - DefaultLoginPageGeneratingFilter:用于生成默认的登录页面。 - DefaultLogoutPageGeneratingFilter:用于生成默认的退出页面。 - BasicAuthenticationFilter:用于处理HTTP基本认证。 - RequestCacheAwareFilter:用于处理请求缓存。 - SecurityContextHolderAwareRequestFilter:用于处理SecurityContextHolder。 以上是Spring Security的基本原理和默认注入的Filter列表。通过这些Filter的配合,Spring Security能够实现认证和授权的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值