WebSecurityConfigurer與ResourceServerConfigurer

原創 lsk984411392 2020-06-22 03:47

WebSecurityConfigurerAdapter與ResourceServerConfigurerAdapter

WebSecurityConfigurer是springsecurity框架配置的類
ResourceServerConfigurerAdapter是oauth2框架配置的類

1、springsecurity的配置

Java在正常servelet處理http的請求可能會經過很多的filter,大體例子像下面這個:
在這裏插入圖片描述
而spring security又是怎麼處理的呢,詳見下圖:
在這裏插入圖片描述
從圖中可以看出spring security自己有一個叫FilterChainProxy代理類,該類也實現了servlet接口。FilterChainProxy內部有一個List filterChains,而SecurityFilterChain是一個接口也是一個chain,每個chain裏有若干個filter.既然有多個filter chain,那麼來了一個http請求,這個請求(通過該請求的url來判斷)應該由哪個或者哪些filter chain來進行處理呢?
在spring security裏一個請只會被一個filter chain進行處理,也就是spring security通過遍歷filterChains這個集合時,只要找到能處理該請求的filter chain就不再進行其他的filter chain匹配。
如下圖:
在這裏插入圖片描述
比如來了一個請求,url是:/foo/**,那麼他會被會第一個filter chain處理,後面的兩個filter chain會被忽略掉。`

當我們在spring boot引入了spring-security的相關包時,security默認會爲我們創建一個默認WebSecurityConfigurerAdapter,他攔截所有的http請求(/**),且這個Order的值是:@Order(100) ,order值越小過濾鏈越在前。Security默認還會爲我們創建一些filter:

2、ResourceServerConfigurer的配置

WebSecurityConfigurerAdapter與ResourceServerConfigurerAdapter同時在的話且都配置了處理url爲:/api/**,默認是後者會生效。
因爲默認的WebSecurityConfigurerAdapter裏的@Order值是100(我們可以在該類上可以明確看到@Order(100)),而我們在ResourceServerConfigurerAdapter上添加了@EnableResourceServer註解,這個玩意兒是幹什麼用的呢?他其中之一就是定義了@Order值爲3(該註解裏引用了ResourceServerConfiguration,這個類裏面定義了Order值).在spring 的體系裏Order值越小優先級越高,所以ResourceServerConfigurerAdapter優先級比另外一個更高,他會優先處理,而WebSecurityConfigurerAdapter會失效。

3、之間的關係

他們所屬的功能模塊不同,前者spring security的,後者是spring security oauth2裏的。他們都是Adapter,他們都會產生一個filter Chain,他們兩者可以相互配合來對不同的Url進行權限控制。

但是,我們經常在寫代碼的時候經常會出現這種情況,當我們在做oauth2的時候,當把兩個類同時放在項目的時候,都聲明瞭對http url的不同處理,但是就是ResourceServerConfigurerAdapter會把的http配置信息完全被覆蓋掉,最後形成了,所有的請求只會在ResourceServerConfigurerAdapter的fitler chain中處理,導致用戶不知道這兩者到底是怎麼回事。

這其實是因爲對spring security的配置不熟悉導致的,也就是antMatcher()和authorizeRequests().antMatchers()。

4、例子

只會攔截匹配到/user/**的請求,其他請求會被其他攔截器攔截
在這裏插入圖片描述
攔截所有請求,/api/*需要有權限,其他地址都放行
在這裏插入圖片描述
上面這個例子,本意是想/api/ 端點須要被認證且要有USER權限;/user/**的端點須要被認證,

但是最終的結果是WebSecurityConfigurerAdapter相關的配置信息沒生效。
因爲ResourceServerConfigurer的優先級高,請求被它的過濾鏈所攔截
導致/user/**的接口會被放行

但是如果這麼配置:
在這裏插入圖片描述
/api/**會被ResourceServerConfigurer攔截
/user/**會被WebSecurityConfigurer攔截
這樣纔是對的

5、antMatcher與authorizeRequests

antMatcher()是HttpSecurity的一個方法,他只告訴了Spring我只配置了一個我這個Adapter能處理哪個的url,它與authorizeRequests()沒有任何關係。
然後使用authorizeRequests().antMatchers()是告訴你在antMatchers()中指定的一個或多個路徑,比如執行permitAll()或hasRole()。他們在第一個http.antMatcher()匹配時就會生效。
所以,WebSecurityConfigurerAdapter與ResourceServerConfigurerAdapter同時使用,其實和spring security的多個HttpSecurity配置是一樣的,原理也差不多是一樣的。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

springsecurity 集成 oauth2

什麼是oAuth2 簡單來說,就是讓一個系統可以直接訪問另一個系統,通過授權碼。 與單點登錄的區別 什麼是單點登錄: 用戶成功登錄A系統,需要訪問B系統時,可以不用輸入用戶名密碼進行認證就可以直接訪問B系統的資源。 什麼是oaut

爱游戏爱动漫的肥宅 2020-07-03 05:34:24

springboot+springsecurity基礎配置(二)

繼續上一篇博客的項目,向下擴展   springsecurity中所有配置基本都來源於一個默認的WebSecurityConfigurerAdapter 所以我們要寫一個類來繼承它,放棄默認配置 叫SecurityConfig   添加一

疯子也是猖狂 2020-06-23 23:08:48

OAuth2.0第三方授權

第一章.OAuth2.0 介紹 OAuth認證   OAuth認證是爲了做到第三方應用在未獲取到用戶敏感信息(如:賬號密碼、用戶PIN等)的情況下,能讓用戶授權予他來訪問開放平臺(主要訪問平臺中的資源服務器Resource Server)

tomatoFIREegg 2020-07-06 12:03:51

最新版Spring Security 中的路徑匹配方案!

@[toc] Spring Security 是一個功能強大且可高度定製的安全框架,它提供了一套完整的解決方案,用於保護基於 Spring 的應用程序。在 Spring Security 中,路徑匹配是權限控制的核心部分,它決定了哪些請求可

原創 2024-04-22 12:14:28

【Spring Security技術棧開發企業級認證與授權】-----------使用Spring Security控制授權

前言 本篇博客主要分享: springSecurity源碼分析,權限表達式,基於數據庫Rbac權限控制 一、SpringSecurity控制授權 1.SpringSecurity授權的定義 不同系統權限不同: 2.Sp

总是幸福的老豌豆 2020-07-07 13:46:19

SpringBoot 2.X 異步處理@Async 拿不到 SpringSecurity 認證信息問題 解決方案

問題描述 main方法開啓異步處理 service使用異步註解 springSecurity 獲取認證信息返回null 問題原因 SpringSecurity 是線程綁定的  異步處理是重新new一個線程進行業務處理 所以說 新線

Lion Li 2020-07-04 22:52:57

Spring Security 分佈式認證

目錄標題相關介紹公共模塊認證模塊資源模塊 相關介紹 1)JWT JWT:全稱 JSON Web Token,是一個分佈式身份校驗方案,可生產 token,也可解析 token JWT生成的 token 由三部分組成: 頭部:主要

爱游戏爱动漫的肥宅 2020-07-03 05:34:24

品優購項目筆記(十二):用戶中心之cas單點登錄

品優購項目筆記(十二)用戶中心實現短信驗證碼註冊功能單點登錄介紹不使用框架實現流程cas框架cas運行流程單點登錄流程註銷cas服務器連接mysql進行認證cas服務器登陸頁面改造登陸頁面錯誤信息cas和springsecurit

隔叶听风 2020-07-01 19:50:02

Spring Security OAuth2簡介

最近學習了一些Spring Security OAuth2授權認證的實現過程。打算寫一篇博客記錄一下,畢竟自己將要參加工作了,這些技術也是需要學習的內容。 目錄 1.OAuth2是什麼? 2.OAuth2中存在的概念描述 (1)交互模型

SmilngCobra 2020-06-28 22:16:54

springboot引入第三方過濾器

@Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Bean public FilterRegistrationBean timeF

李白的诗 2020-06-27 23:31:48

RESTful API攔截的三種方式

目錄1 過濾器1.1 使用1.2 特點2 攔截器2.1 使用2.2 特點3 切片3.1 使用3.2 特點4 三種方式起作用的順序 1 過濾器 1.1 使用 定義bean @Component public class TimeFi

李白的诗 2020-06-27 23:31:48

Spring Security 簡單認證與授權

Spring Security是一個能夠爲基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC、DI和AOP功能,爲應用

爱游戏爱动漫的肥宅 2020-06-25 05:20:01

SpringBoot集成Security、Oauth2、JWT,實現授權(代碼完整可用附數據庫文件和測試文件)

目錄結構: pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmln

小石潭记丶 2020-07-06 15:17:48

springboot認證方案一

這裏給出集成oauth2後的簡單認證方案架構圖

lipengxs 2020-06-27 03:03:47

spring security OAuth實踐

@[TOC](spring security OAuth實踐(未完待續)) 參考文章 淺析Spring Security的認證過程及相關過濾器 核心filter spring security維護了一個FilterChainP

designer_mtb 2020-06-24 04:11:09