深入淺出Spring Security(二):FilterChainProxy的創建過程

原創 持盾的紫眸 2020-06-20 11:02

上篇回顧

  • 框架的核心是一個過濾器,這個過濾器名字springSecurityFilterChain類型FilterChainProxy
  • WebSecurityHttpSecurity都是建造者
  • WebSecurity構建目標是FilterChainProxy對象
  • HttpSecurity的構建目標僅僅是FilterChainProxy中的一個SecurityFilterChain
  • @EnableWebSecurity註解,導入了WebSecurityConfiguration
  • WebSecurityConfiguration中創建了建造者對象WebSecurity,和核心過濾器FilterChainProxy

WebSecurityConfiguration開始

WebSecurityConfiguration中需要關注兩個方法:

  1. setFilterChainProxySecurityConfigurer()方法

    創建了WebSecurity建造者對象,用於後面建造FilterChainProxy過濾器

  2. springSecurityFilterChain()方法

    調用WebSecurity.build(),建造出FilterChainProxy過濾器對象

WebSecurity的創建過程:setFilterChainProxySecurityConfigurer()方法

該方法負責收集配置類對象列表webSecurityConfigurers,並創建WebSecurity

  1. @Value("#{}") 是SpEl表達式通常用來獲取bean的屬性或者調用bean的某個方法。

  2. 方法執行時,會先得到webSecurityConfigurers並排序(所有實現了WebSecurityConfigurerAdapter的配置類實例)

  3. newwebsecurity對象,並使用Spring的容器工具初始化

  4. 判斷webSecurityConfigurers內元素的@Order是否有相同,相同的order會拋異常。

    默認order等於LOWEST_PRECEDENCE = 2147483647(參考Integer order = AnnotationAwareOrderComparator.lookupOrder(config)

  5. WebSecurityConfigurerAdapter的子類apply()放入websecurityList<SecurityConfigurer<O, B>> configurersAddedInInitializing中。

setFilterChainProxySecurityConfigurer()

下圖是通過AutowiredWebSecurityConfigurersIgnoreParentsgetWebSecurityConfigurers()方法,獲取所有實現WebSecurityConfigurer的配置類

getWebSecurityConfigurers

FilterChainProxy的創建過程:springSecurityFilterChain()方法

springSecurityFilterChain()方法中調用webSecurity.build()創建了FilterChainProxy

PS:根據下面代碼,我們可以知道如果創建的MySecurityConfig類沒有被sping掃描到,

框架會新new 出一個WebSecurityConfigureAdapter對象,這會導致我們配置的用戶名和密碼失效。

springSecurityFilterChain
springSecurityFilterChain()

我們繼續看FilterChainProxy的創建過程:

WebSecurity是一個建造者,所以我們去看這些方法build(); doBuild(); init(); configure(); performBuild();

build()方法定義在WebSecurity對象的父類AbstractSecurityBuilder中:

AbstractSecurityBuilder#build()

build()方法會調用WebSecurity對象的父類AbstractConfiguredSecurityBuilder#doBuild()

AbstractConfiguredSecurityBuilder#doBuild()

doBuild()先調用init();configure();等方法

我們上面已經得知了configurersAddedInInitializing裏是所有的配置類對象

如下圖,這裏會依次執行配置類的configure();init()方法

doBuild()最後調用了WebSecurity對象的perfomBuild(),來創建了FilterChainProxy對象

performBuild()裏遍歷securityFilterChainBuilders建造者列表

把每個SecurityBuilder建造者對象構建成SecurityFilterChain實例

最後創建並返回FilterChainProxy

performBuild()

securityFilterChainBuilders建造者列表是什麼時候初始化的呢

這時候要注意到WebSecurityConfigurerAdapter,這個類的創建了HttpSecurity並放入了securityFilterChainBuilders

securityFilterChainBuilders

WebSecurityConfigurerAdapter是一個安全配置器,我們知道建造者在performBuild()之前都會把循環調用安全配置器init();configure();方法,然後創建HttpSecurity並放入自己的securityFilterChainBuilders裏。

PS: 前面已經提到了,在WebSecurity初始化時,會依次將WebSecurityConfigurerAdapter的子類放入WebSecurity

public abstract class WebSecurityConfigurerAdapter implements
		WebSecurityConfigurer<WebSecurity> {
}
public interface WebSecurityConfigurer<T extends SecurityBuilder<Filter>> extends
		SecurityConfigurer<Filter, T> {
}

《深入淺出Spring Security(一):三句話解釋框架原理》

《深入淺出Spring Security(二):FilterChainProxy的創建過程》

《深入淺出Spring Security(三):FilterChainProxy的運行過程》

《深入淺出Spring Security(四):詳解WebSecurity與HttpSecurity》

《深入淺出Spring Security(五):認證和授權的過程》

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(二)java版spring boot 社交電子商務平臺-security簡單使用

security的簡單原理: 使用衆多的攔截器對url攔截,以此來管理權限。但是這麼多攔截器,不可能對其一一來講,主要講裏面核心流程的兩個。 首先,權限管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessing

原創 2023-10-10 11:05:06

spring boot 2.2.2 中禁用 spring security

只要在 spring boot 中加入 spring security 就會自動啓用七安全機制,默認每次訪問接口都會進行驗證。但是由於某些原因,不想使用 spring security,可以選擇禁用 spring security

ChaseDreamBoy 2020-07-07 07:25:52

(二)基於數據庫的認證與授權

環境準備 controller @RestController @RequestMapping("/api/admin") public class AdminController { @GetMapping("/hel

西红柿鸡蛋打卤面 2020-07-05 23:15:39

(一)創建簡單的Spring security 項目

參考:陳木鑫老師的《Spring Security 實戰》 創建spring boot項目 通過Intellij IDEA創建Spring Boot項目的方式有許多種,其中最簡單的方式就是使用Spring Initializr 工

西红柿鸡蛋打卤面 2020-07-05 23:15:39

spring security報錯解決:IllegalArgumentException:There is no PasswordEncoder mapped for the id "null"

報錯信息:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 頁面毫無響應 後臺彙報錯誤:java.la

南风~~~ 2020-07-05 17:06:59

springboot 2.0 集成 Spring Security進行安全控制

添加依賴 <!-- spring security 權限框架依賴 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-

瘦_猴 2020-07-05 08:08:47

無法對自定義的securityMetadataSource進行注入

在做spring security3的另一種配置方式,測試時,無法對自定義的securityMetadataSource進行注入想要使用的dao處理,後來調試發現注入進去時null,對於注入進來的是獲取不到的,利用構造可以解決, 解決方案

steryzone 2020-07-04 17:45:55

SpringSecurityOAuth開發app認證框架

令牌的表現形式就是一個字符串 文章目錄服務提供商的實現認證服務器demo pom 文件中引入app模塊依賴 使正常啓動實現認證服務器WhaleAuthenticationSecurityConfig授權碼模式的請求參數Use

神奇小白 2020-07-04 01:46:13

使用JWT替換默認令牌token

文章目錄JSON Web Token (JWT)自包含token的創建總結密籤可擴展替換默認tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties

神奇小白 2020-07-04 01:46:13

Spring Boot集成Spring Security或Shiro實現用戶登錄認證和授權,thymeleaf與之整合。

一般來說,Web 應用的安全性包括用戶認證(Authentication)和用戶授權(Authorization)兩個部分。 用戶認證:指的是驗證某個用戶是否爲系統中的合法主體,也就是說用戶能否訪問該系統。(登錄) 用戶授權

Himit_ZH 2020-07-01 14:53:10

Spring Security源碼閱讀2-Spring Security過濾器鏈初始化1

Spring Security的核心實現是通過一條過濾器鏈來確定用戶的每一個請求應該得到什麼樣的反饋。 1. 使用@EnableWebSecurity註解開啓Spring Security 在使用Spring Security時首

liulijun-dev 2020-06-30 23:58:26

Spring Security源碼閱讀3-Spring Security過濾器鏈的初始化2

在Spring Security源碼閱讀2-Spring Security過濾器鏈的初始化1文章中,遺留了如下兩個問題: 在步驟(15)中,我們說HttpSecurity類中的performBuild函數返回了DefaultS

liulijun-dev 2020-06-30 23:58:26

看完這篇,SpringSecurity就算入門了

看完這篇,SpringSecurity就算入門了 1.SpringSecurity是什麼?能幹嘛? Spring Security 是一個安全框架,能夠爲 Spring企業應用系統提供聲明式的安全訪問控制。 主要用來做訪問權限管理

未来谁可知 2020-06-30 23:08:52

SpringCloud+Spring Security OAuth2 實現微服務統一認證授權

目前正在做了一個基於Spring Cloud的微服務項目,現在的好多項目都是基於APP移動端以及前後端分離的項目,之前基於Session的前後端放到一起的項目已經慢慢失寵並淡出我們視線,尤其是當基於SpringCloud的微服務

一个BUG搞一天。 2020-06-30 17:34:33

【spring系列】spring security入門

​ spring security作爲spring的親兒子,在進行web開發的時候,可以進行一個優雅的權限控制。筆者說來慚愧,工作n多年一直沒有機會深入研究此框架。如有不對的地方望大家指正。 spring boot引入 mave

叁滴水 2020-06-29 06:50:00