看透SpringSecurity:穿针引线 · SpringSecurity的初始化过程(精)

2023-10-19 04:50
文章标签 java spring 过程 初始化 springsecurity 看透 穿针引线

本文主要是介绍看透SpringSecurity:穿针引线 · SpringSecurity的初始化过程(精),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

原文在公众号,这里的排版有时间再搞,需要的移至文章底部。

 

友情提示:阅读的时候尽量开着电脑一起走。

 

今天聊一下SpringSecurity在SpringBoot下的初始化过程,直接切入正题。

 

先做一些准备工作:
导入maven依赖,

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId><version>1.5.8.RELEASE</version>
</dependency>
根据SpringSecurity官网提示,创建一个配置类,

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}

好了,我们的准备工作已经完成了……

 

读源码的时候,每遇到一个新的类,都要看一下这个类的继承关系,这个习惯对于读源码很有帮助。(idea快捷键:Ctrl + H)

 

根据WebSecurityConfigurerAdapter的结构,可以大概判定这几个函数需要重写,所以我们的SecurityConfig需要加一些东西,最终是这样的。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {super.configure(auth);}@Overridepublic void configure(WebSecurity web) throws Exception {super.configure(web);}@Overrideprotected void configure(HttpSecurity http) throws Exception {super.configure(http);}
}

 

想一想,SpringBoot相比Spring一个很明显的特点就是简化了配置流程,先看一下之前在Spring下是如何配置的。

<filter><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>

DelegatingFilterProxy相当于一个委托人,将过滤执行 的步骤 委托给springSecurityFilterChain,所以springSecurityFilterChain的创建过程就代表了SpringSecurity的初始化过程。

 

在开始读源码前,必须要清楚所读的内容。SpringSecurity是一个web安全框架,所谓的安全框架,主要的工作就是在处理业务逻辑前做一些安全校验,而安全校验集中在两部分,第一个是http请求本身,比如可能存在csrf(跨站点请求伪造);第二个就是http请求携带的内容(想做的事情) ,需要做一些身份权限校验,今天我们只关注第二个。

身份权限校验,必然少不了业务处理前的拦截以及授权的获取,拦截器组成一个拦截器链,授权的获取需要身份验证器、权限获取中心等,总结一下,一个简单的身份权限校验,需要以下几部分:

filterChain:过滤器链,匹配url

interceptorChain:对匹配到的url做身份权限校验

authenticationManager:身份验证管理

authorizationProvider:role和permission的数据源

 

----------------------------------------------------------

 

下面开始读源码,了解SpringSecurity的初始化过程。

 

以SpringBoot的尿性来看,初始化十有八九是放在了注解里,从@EnableWebSecurity入手。

注解有6个,其中上面3个是做annotation描述的,@Configuration就不解释了,我们要关注的是中间的两个,@Import和@EnableGlobalAuthentication。

 

先看一下@Import导入的第一个类WebSecurityConfiguration,顾名思义,这个是做web安全配置的,SpringSecurityFilterChain的创建过程就藏在这里。

代码不是很多,其中需要注意的是webSecurityConfigurers和webSecurity这两个字段。SpringSecurity是安全框架,安全(Security)就是就是身份(Authentication)+权限(Authorization),身份就是凭据,至于权限包括了role和permission(资源);对于框架来说,需要注意的字眼包括xxConfigure、xxBuilder、xxManager、xxFilter、xxInterceptor这样的字眼。

 

webSecurityConfigurers和WebSecurity都是在这里初始化的,并且我们创建的SecurityConfig也被这两个字段装载,前者添加到了自身(集合),后者添加到了它的webSecurity.configures字段中(集合)。

 

再回到springSecurityFilterChain(),最终的返回结果是由webSecurity.build()构建的,换言之,webSecurity.build()的过程就代表了SpringSecurity的初始化过程,下面来介绍webSecurity.build()的执行步骤。

    1.webSecurity.build()

    2.webSecurity.doBuild() // 真正的构建

构建过程很有意思。buildState标记了构建状态;beforeInit()和beforeConfigure()委托给子类实现;init()做初始化,configure()做配置,configurer()会调用我们创建的SecurityConfigure.configure(WebSecuity),我们覆盖了该函数来配置webSecurity;最后由performBuild()构建返回结果。

有意思的是在init()里面,init()遍历了两个集合做初始化,configures我们知道,刚才webSecurity初始化的时候把我们创建的SecurityConfig放到了这个字段中,而configurersAddedInInitializing则可以在configurers.init()时通过configurers初始化资源的方式初始化,代码中是这个函数:WebSecurity.add(C configure),这样既不影响configurers数据的完整性,又可以在beforeInit()中初始化(Spring的架构真是太美了)。

SecurityConfig.init()实际上是由父类实现的,主要是通过getHttp()初始化了authenticationManager和http两个字段,同时将authenticationManager配置到了authenticatoinBuilder里面,结尾执行了configure(HttpSecurity),没错,就是我们覆盖的3个函数之一,可以在这里配置httpSecurity

authenticationManager()这个函数需要留意,默认是走if取SpringSecurity提供给我们的authenticationManager,但是我们覆盖了configure(AuthenticatonManagerBuilder),所以就会走else,使用我们提供的authenticationManager,而在authenticationManagerBuilder里,又可以自定义数据源(身份信息和role、permission等)。

 

最关键的performBuild(),收尾工作都在这里。有两个新面孔需要关注,ignoredRequests和securityFilterChainBuilders,ignoredRequests可以通过 ignoredRequestRegistry的多个函数初始化资源,securityFilterChainBuilders是在之前SecurityConfig.init()函数里做的资源初始化(其实不算新面孔哈),里边有httpSecurity,图上面有,不贴了。
 

可见最终构建的securityFilterChain由两部分组成,一块儿是不需要拦截的,通过ignoredRequests提供,另一块儿只有一个,就是httpSecurity中filters组成的拦截器链,最终构建出一个FilterChainProxy。

 

回到最开始,还有两个注解没有说完,SpringWebMvcImportSelector通过导入了一个类,来做http请求参数获取,@EnableGlobalAuthentication#AuthenticationConfiguration则提供了一个默认的authenticationManager,如果我们不覆盖configure(AuthenticationManagerBuilder)函数,就会用这个。

 

----------------------------------------------------------

 

结束前我们梳理下整个流程:

 

做个测试:

完美!

 

公众号搜索:以镒称铢

 

这篇关于看透SpringSecurity:穿针引线 · SpringSecurity的初始化过程(精)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!

原文地址:https://blog.csdn.net/qq_35045184/article/details/104035320
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/237421

相关文章

SpringBoot条件注解核心作用与使用场景详解

SpringBoot条件注解核心作用与使用场景详解

《SpringBoot条件注解核心作用与使用场景详解》SpringBoot的条件注解为开发者提供了强大的动态配置能力,理解其原理和适用场景是构建灵活、可扩展应用的关键,本文将系统梳理所有常用的条件注... 目录引言一、条件注解的核心机制二、SpringBoot内置条件注解详解1、@ConditionalOn
阅读更多...
通过Spring层面进行事务回滚的实现

通过Spring层面进行事务回滚的实现

《通过Spring层面进行事务回滚的实现》本文主要介绍了通过Spring层面进行事务回滚的实现,包括声明式事务和编程式事务,具有一定的参考价值,感兴趣的可以了解一下... 目录声明式事务回滚:1. 基础注解配置2. 指定回滚异常类型3. ​不回滚特殊场景编程式事务回滚:1. ​使用 TransactionT
阅读更多...
Spring LDAP目录服务的使用示例

Spring LDAP目录服务的使用示例

《SpringLDAP目录服务的使用示例》本文主要介绍了SpringLDAP目录服务的使用示例... 目录引言一、Spring LDAP基础二、LdapTemplate详解三、LDAP对象映射四、基本LDAP操作4.1 查询操作4.2 添加操作4.3 修改操作4.4 删除操作五、认证与授权六、高级特性与最佳
阅读更多...
Spring Shell 命令行实现交互式Shell应用开发

Spring Shell 命令行实现交互式Shell应用开发

《SpringShell命令行实现交互式Shell应用开发》本文主要介绍了SpringShell命令行实现交互式Shell应用开发,能够帮助开发者快速构建功能丰富的命令行应用程序,具有一定的参考价... 目录引言一、Spring Shell概述二、创建命令类三、命令参数处理四、命令分组与帮助系统五、自定义S
阅读更多...
SpringSecurity JWT基于令牌的无状态认证实现

SpringSecurity JWT基于令牌的无状态认证实现

《SpringSecurityJWT基于令牌的无状态认证实现》SpringSecurity中实现基于JWT的无状态认证是一种常见的做法,本文就来介绍一下SpringSecurityJWT基于令牌的无... 目录引言一、JWT基本原理与结构二、Spring Security JWT依赖配置三、JWT令牌生成与
阅读更多...
Java中Date、LocalDate、LocalDateTime、LocalTime、时间戳之间的相互转换代码

Java中Date、LocalDate、LocalDateTime、LocalTime、时间戳之间的相互转换代码

《Java中Date、LocalDate、LocalDateTime、LocalTime、时间戳之间的相互转换代码》:本文主要介绍Java中日期时间转换的多种方法,包括将Date转换为LocalD... 目录一、Date转LocalDateTime二、Date转LocalDate三、LocalDateTim
阅读更多...
如何配置Spring Boot中的Jackson序列化

如何配置Spring Boot中的Jackson序列化

《如何配置SpringBoot中的Jackson序列化》在开发基于SpringBoot的应用程序时,Jackson是默认的JSON序列化和反序列化工具,本文将详细介绍如何在SpringBoot中配置... 目录配置Spring Boot中的Jackson序列化1. 为什么需要自定义Jackson配置?2.
阅读更多...
Java中使用Hutool进行AES加密解密的方法举例

Java中使用Hutool进行AES加密解密的方法举例

《Java中使用Hutool进行AES加密解密的方法举例》AES是一种对称加密,所谓对称加密就是加密与解密使用的秘钥是一个,下面:本文主要介绍Java中使用Hutool进行AES加密解密的相关资料... 目录前言一、Hutool简介与引入1.1 Hutool简介1.2 引入Hutool二、AES加密解密基础
阅读更多...
PyInstaller打包selenium-wire过程中常见问题和解决指南

PyInstaller打包selenium-wire过程中常见问题和解决指南

《PyInstaller打包selenium-wire过程中常见问题和解决指南》常用的打包工具PyInstaller能将Python项目打包成单个可执行文件,但也会因为兼容性问题和路径管理而出现各种运... 目录前言1. 背景2. 可能遇到的问题概述3. PyInstaller 打包步骤及参数配置4. 依赖
阅读更多...
Spring Boot项目部署命令java -jar的各种参数及作用详解

Spring Boot项目部署命令java -jar的各种参数及作用详解

《SpringBoot项目部署命令java-jar的各种参数及作用详解》:本文主要介绍SpringBoot项目部署命令java-jar的各种参数及作用的相关资料,包括设置内存大小、垃圾回收... 目录前言一、基础命令结构二、常见的 Java 命令参数1. 设置内存大小2. 配置垃圾回收器3. 配置线程栈大小
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2