WebSecurityConfigurer与ResourceServerConfigurer

原創 lsk984411392 2020-06-22 03:47

WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter

WebSecurityConfigurer是springsecurity框架配置的类
ResourceServerConfigurerAdapter是oauth2框架配置的类

1、springsecurity的配置

Java在正常servelet处理http的请求可能会经过很多的filter,大体例子像下面这个:
在这里插入图片描述
而spring security又是怎么处理的呢,详见下图:
在这里插入图片描述
从图中可以看出spring security自己有一个叫FilterChainProxy代理类,该类也实现了servlet接口。FilterChainProxy内部有一个List filterChains,而SecurityFilterChain是一个接口也是一个chain,每个chain里有若干个filter.既然有多个filter chain,那么来了一个http请求,这个请求(通过该请求的url来判断)应该由哪个或者哪些filter chain来进行处理呢?
在spring security里一个请只会被一个filter chain进行处理,也就是spring security通过遍历filterChains这个集合时,只要找到能处理该请求的filter chain就不再进行其他的filter chain匹配。
如下图:
在这里插入图片描述
比如来了一个请求,url是:/foo/**,那么他会被会第一个filter chain处理,后面的两个filter chain会被忽略掉。`

当我们在spring boot引入了spring-security的相关包时,security默认会为我们创建一个默认WebSecurityConfigurerAdapter,他拦截所有的http请求(/**),且这个Order的值是:@Order(100) ,order值越小过滤链越在前。Security默认还会为我们创建一些filter:

2、ResourceServerConfigurer的配置

WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter同时在的话且都配置了处理url为:/api/**,默认是后者会生效。
因为默认的WebSecurityConfigurerAdapter里的@Order值是100(我们可以在该类上可以明确看到@Order(100)),而我们在ResourceServerConfigurerAdapter上添加了@EnableResourceServer注解,这个玩意儿是干什么用的呢?他其中之一就是定义了@Order值为3(该注解里引用了ResourceServerConfiguration,这个类里面定义了Order值).在spring 的体系里Order值越小优先级越高,所以ResourceServerConfigurerAdapter优先级比另外一个更高,他会优先处理,而WebSecurityConfigurerAdapter会失效。

3、之间的关系

他们所属的功能模块不同,前者spring security的,后者是spring security oauth2里的。他们都是Adapter,他们都会产生一个filter Chain,他们两者可以相互配合来对不同的Url进行权限控制。

但是,我们经常在写代码的时候经常会出现这种情况,当我们在做oauth2的时候,当把两个类同时放在项目的时候,都声明了对http url的不同处理,但是就是ResourceServerConfigurerAdapter会把的http配置信息完全被覆盖掉,最后形成了,所有的请求只会在ResourceServerConfigurerAdapter的fitler chain中处理,导致用户不知道这两者到底是怎么回事。

这其实是因为对spring security的配置不熟悉导致的,也就是antMatcher()和authorizeRequests().antMatchers()。

4、例子

只会拦截匹配到/user/**的请求,其他请求会被其他拦截器拦截
在这里插入图片描述
拦截所有请求,/api/*需要有权限,其他地址都放行
在这里插入图片描述
上面这个例子,本意是想/api/ 端点须要被认证且要有USER权限;/user/**的端点须要被认证,

但是最终的结果是WebSecurityConfigurerAdapter相关的配置信息没生效。
因为ResourceServerConfigurer的优先级高,请求被它的过滤链所拦截
导致/user/**的接口会被放行

但是如果这么配置:
在这里插入图片描述
/api/**会被ResourceServerConfigurer拦截
/user/**会被WebSecurityConfigurer拦截
这样才是对的

5、antMatcher与authorizeRequests

antMatcher()是HttpSecurity的一个方法,他只告诉了Spring我只配置了一个我这个Adapter能处理哪个的url,它与authorizeRequests()没有任何关系。
然后使用authorizeRequests().antMatchers()是告诉你在antMatchers()中指定的一个或多个路径,比如执行permitAll()或hasRole()。他们在第一个http.antMatcher()匹配时就会生效。
所以,WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter同时使用,其实和spring security的多个HttpSecurity配置是一样的,原理也差不多是一样的。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

springsecurity 集成 oauth2

什麼是oAuth2 簡單來說,就是讓一個系統可以直接訪問另一個系統,通過授權碼。 與單點登錄的區別 什麼是單點登錄: 用戶成功登錄A系統,需要訪問B系統時,可以不用輸入用戶名密碼進行認證就可以直接訪問B系統的資源。 什麼是oaut

爱游戏爱动漫的肥宅 2020-07-03 05:34:24

OAuth2.0第三方授权

第一章.OAuth2.0 介紹 OAuth認證   OAuth認證是爲了做到第三方應用在未獲取到用戶敏感信息(如:賬號密碼、用戶PIN等)的情況下,能讓用戶授權予他來訪問開放平臺(主要訪問平臺中的資源服務器Resource Server)

tomatoFIREegg 2020-07-06 12:03:51

什么时候需要用到 @EnableWebSecurity 注解?

有小夥伴在學習 Spring Security 的遇到一個問題: 箭頭所指的位置報紅,也就是 Spring 容器中沒有找到一個類型爲 HttpSecurity 的 Bean。 小夥伴說如果他在配置類上加 @EnableWebSecurit

原創 2024-06-05 13:11:40

Spring Security 注册过滤器注意事项

前兩天和小夥伴聊了 Spring Security+JWT 實現無狀態登錄,然後有小夥伴反饋了一個問題,感覺這是一個我們平時寫代碼容易忽略的問題,寫一篇文章和小夥伴們聊一聊。 一 問題復原 先來說問題吧,在 Spring Security+

原創 2024-06-04 03:48:39

JWT 签名用对称加密还是非对称加密?

一 概念梳理 對稱加密和非對稱加密是兩種基本的加密方法,它們在現代密碼學中扮演着核心角色,用於保護數據的安全和隱私。 1.1 對稱加密(Symmetric Encryption) 對稱加密是指加密和解密使用同一個密鑰的過程。這意味着發送方和

原創 2024-06-03 13:17:51

Spring 中如何控制 Bean 的加载顺序?

如果你脫口而出說添加 @Order 註解或者是實現 Ordered 接口,那麼恭喜,你掉坑了。 一 @Order 註解和 Ordered 接口 在 Spring 框架中,@Order 是一個非常實用的元註解,它位於 spring-core

原創 2024-06-03 01:17:22

HttpSecurity 是如何组装过滤器链的

有小夥伴們問到這個問題*簡單寫篇文章和大夥聊一下。 一 SecurityFilterChain 首先大夥都知道Spring Security 裏邊的一堆功能都是通過 Filter 來實現的無論是認證、RememberMe Login、會話管

原創 2024-05-31 13:28:38

最新版Spring Security 中的路径匹配方案!

@[toc] Spring Security 是一個功能強大且可高度定製的安全框架,它提供了一套完整的解決方案,用於保護基於 Spring 的應用程序。在 Spring Security 中,路徑匹配是權限控制的核心部分,它決定了哪些請求可

原創 2024-04-22 12:14:28

【Spring Security技术栈开发企业级认证与授权】-----------使用Spring Security控制授权

前言 本篇博客主要分享: springSecurity源碼分析,權限表達式,基於數據庫Rbac權限控制 一、SpringSecurity控制授權 1.SpringSecurity授權的定義 不同系統權限不同: 2.Sp

总是幸福的老豌豆 2020-07-07 13:46:19

SpringBoot 2.X 异步处理@Async 拿不到 SpringSecurity 认证信息问题 解决方案

問題描述 main方法開啓異步處理 service使用異步註解 springSecurity 獲取認證信息返回null 問題原因 SpringSecurity 是線程綁定的  異步處理是重新new一個線程進行業務處理 所以說 新線

Lion Li 2020-07-04 22:52:57

Spring Security 分布式认证

目錄標題相關介紹公共模塊認證模塊資源模塊 相關介紹 1)JWT JWT:全稱 JSON Web Token,是一個分佈式身份校驗方案,可生產 token,也可解析 token JWT生成的 token 由三部分組成: 頭部:主要

爱游戏爱动漫的肥宅 2020-07-03 05:34:24

品优购项目笔记(十二):用户中心之cas单点登录

品優購項目筆記(十二)用戶中心實現短信驗證碼註冊功能單點登錄介紹不使用框架實現流程cas框架cas運行流程單點登錄流程註銷cas服務器連接mysql進行認證cas服務器登陸頁面改造登陸頁面錯誤信息cas和springsecurit

隔叶听风 2020-07-01 19:50:02

Spring Security OAuth2简介

最近學習了一些Spring Security OAuth2授權認證的實現過程。打算寫一篇博客記錄一下,畢竟自己將要參加工作了,這些技術也是需要學習的內容。 目錄 1.OAuth2是什麼? 2.OAuth2中存在的概念描述 (1)交互模型

SmilngCobra 2020-06-28 22:16:54

springboot引入第三方过滤器

@Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Bean public FilterRegistrationBean timeF

李白的诗 2020-06-27 23:31:48

SpringBoot集成Security、Oauth2、JWT,实现授权(代码完整可用附数据库文件和测试文件)

目錄結構: pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmln

小石潭记丶 2020-07-06 15:17:48