Spring Security
Spring Security
Spring Security是spring框架中的安全框架。简单学习一下。做一些记录方便回顾。
DelegatingFilterProxy
DelegatingFilterProxy作为Servlet的filter实现。在请求到达servlet之前,做过滤处理。
DelegatingFilterProxy这个过滤器,主要职责是将业务处理,交给它的属性,类型为FilterChainProxy的类处理。FilterChainProxy是从我们应用的IOC容器中获取。
FilterChainProxy
作为过滤器业务逻辑的实现。它的里面有一个属性filterChains,里面是SecurityFilterChain对象的集合。
主要逻辑是根据请求路径匹配到对应的SecurityFilterChain对象,然后调用SecurityFilterChain中的过滤器,完成逻辑处理。
SecurityFilterChain
过滤逻辑的主要实现。对应不同的请求,有不同的功率器处理。
类里面有个匹配规则,只有符合这个规则的请求才会调用类里面的过滤器处理。
SpringSecurity启动流程
一般我们都是新增一个配置类。标注注解@Configuration,@EnableWebSecurity。继承类WebSecurityConfigurerAdapter。
@Configuration配置类就不过多记录了。会将@Bean注入到IOC容器。
EnableWebSecurity
可以看到,这个注解@EnableWebSecurity导入三个类。WebSecurityConfiguration,SpringWebMvcImportSelector,OAuth2ImportSelector。自动注入注解:@EnableGlobalAuthentication。
WebSecurityConfiguration
WebSecurityConfiguration是一个配置类。主要的就是构建FilterChainProxy类型的类。放入容器中的bean名称为:springSecurityFilterChain
配置类加载的时候,有个自动注入的配置。将容器中SecurityConfigurer类型的bean注入到当前配置类。我们自定的配置类继承WebSecurityConfigurerAdapter,WebSecurityConfigurerAdapter实现WebSecurityConfigurer,WebSecurityConfigurer接口继承SecurityConfigurer。也就是说,我们自己写的配置类也会被加载进来。
断点我们可以看到,自己的配置类在构建FilterChainProxy类型的过滤器时,被加载了进来。
webSecurity.build() -->doBuild()来完成过滤器类的构建。里面有几个核心方法。init(),configure(),performBuild()。都是调用配置类中的相关方法。入参都为WebSecurity。
以下是适配类WebSecurityConfigurerAdapter中对应init方法的实现。
public void init(final WebSecurity web) throws Exception {
// 看这里,看这里。getHttp方法,构建HttpSecurity对象,里面初始化配置了默认的过滤器。将HttpSecurity放入到WebSecurity。
final HttpSecurity http = getHttp();
// 根据httpSecurity构建SecurityFilterChainBuild
web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
FilterSecurityInterceptor securityInterceptor = http
.getSharedObject(FilterSecurityInterceptor.class);
web.securityInterceptor(securityInterceptor);
});
}
protected final HttpSecurity getHttp() throws Exception {
if (http != null) {
return http;
}
AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();
localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
AuthenticationManager authenticationManager = authenticationManager();
authenticationBuilder.parentAuthenticationManager(authenticationManager);
Map<Class<?>, Object> sharedObjects = createSharedObjects();
http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
sharedObjects);
if (!disableDefaults) {
// @formatter:off
http
.csrf().and()
.addFilter(new WebAsyncManagerIntegrationFilter())
.exceptionHandling().and()
.headers().and()
.sessionManagement().and()
.securityContext().and()
.requestCache().and()
.anonymous().and()
.servletApi().and()
.apply(new DefaultLoginPageConfigurer<>()).and()
.logout();
// @formatter:on
ClassLoader classLoader = this.context.getClassLoader();
List<AbstractHttpConfigurer> defaultHttpConfigurers =
SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
http.apply(configurer);
}
}
// 我们一般重写这个方法,加载自己自定义的配置过滤。
configure(http);
return http;
}
performBuild方法的实现。构建SecurityFilterChain对象,封装为FilterChainProxy类型的过滤器。
ignoredRequests就是我们configure配置的相关规则的过滤。通过webSecurity的ignoring()方法返回IgnoredRequestConfigurer对象,然后调用其方法为WebSecurity的ignoredRequests属性添加RequestMatcher对象。
securtiyFilterChainBuilder也可以自己配置。不配置默认是在init()方法实现的时候,根据HttpSecurity构建。
也就是说如果我有多个类继承WebSecurityConfigurerAdapter,那么构建FilterChainProxy的时候,就会为每一个类生成一个SecurityFilterChain。WebSecurityConfigurerAdapter里面都有默认的实现,你的子类可以重写一些方法重新增加一些配置。
SecurityBuild
构建器,相关复杂对象的构建。比如:FilterChainProxy类型的过滤器,SecurityFilterChain过滤器。
第一次执行构建FilterChainProxy的时候,调用init()方法,遍历配置类的init方法。我这里项目中配置了授权的配置类:AuthorizationServerConfiguration,资源管理的配置类:ResourceServerConfig,webSecurity的配置类:WebSecurityConfiguration。
1. init()方法获取所有的配置类,就是上面我配置的三个。
2. 跟进第一个授权的配置类,研究它的过程。进入WebSecurtiyConfigurerAdapter的init方法。
3. 接着看getHttp()方法。里面创建了HttpSecurity对象。
4. 我们看httpSecurity的第一个配置。http.csrf()。里面创建了一个CsrfConfigurer对象。getOrAppy方法接着调用apply方法。在apply方法中,调用add方法,将这个配置类传了进来,配置类存入abstractConfiguredSecurityBuilder的内部属性configurers中。
5. 我们把抽象类中的httpSecurity的构建继续走,可以发现,对应的配置都会产生一个配置类,存入到内部属性中。
6. 我们把抽象类中的httpSecurity的构建走完,下方有一个configure方法,入参是创建好的httpSecurity对象。这个是要给抽象方法,有子类实现。我们现在跟进的是AuthorizationServerSecurityConfiguration,进入这个类中的方法。
7. getHttp()方法走完。我们获取到HttpSecurtiy对象(目前我们执行的配置类是授权的配置类)。HttpSecurtiy本身也是实现了SecurityBuild。调用WebSecurity的addSecurityFilterChainBuilder方法,将HttpSecurity对象存在WebSecurity的内部属性securityFilterChainBuilders中。
下面的postBuildAction方法,将FilterSecurityInterceptor添加到WebSecurity的属性filterSecurityInterceptor。
到此,授权配置类的init方法执行完毕。后面的资源配置类,webSecurity配置类可以自行dubug跟进学习。后面的configure方法过程类型,也是循环遍历配置类,调用配置类的configure方法。performBuild()方法见上文。将我们WebSecurity里面存的HttpSecurity取出来,调用HttpSecurity的build方法构建SecurityFilterChain对象(build过程也是一样的生命周期,init,config,performBuild。不同的是里面的配置类不一样,基本上每个配置类都是构建一个过滤器类添加到SecurityFilterChain中),并将其作为入参保存到FilterChainProxy对象里面。
小结
总的来说,就是一个继承WebSecurityConfigurerAdapter的类,就会产生一条过滤器链securityFilterChain,这个过滤器链处理或者匹配的请求规则是通过配置httpSecurity进行配置,httpSecurity.requestMatchers()配置哪些请求的url进行过滤。httpSecurity.authorizeRequests()配置对过滤的请求如何进行控制(比如哪些需要授权认证,哪些不需要授权认证)。
http.requestMatchers()
.antMatchers("/api/order/**","/api/money/**")
.and().authorizeRequests()
.antMatchers("/api/money/**").authenticated()
.antMatchers("/api/order/test/**").permitAll()
上面配置的含义是:对/api/order/和/api/money/两个url生效。(即当请求匹配这两个url其中之一时,才会进行安全控制,其他url可直接访问。)当一个请求的url匹配其中之一后,才会进入这个过滤器链。进入过滤器链后,匹配 /api/money的请求全部需要认证后才能访问,而匹配/api/order/test/的请求可以直接访问。
requestMatchers()配置的是哪些url进行安全控制,authorizeRequests()配置的是如何进行控制。
我们的请求进来后,先经过DelegatingFilterProxy–》DelegatingFilterProxy内部调用FilterChainProxy–》FilterChainProxy根据请求路径,匹配对应的SecurityFilterChain–》调用SecurityFilterChain里面的过滤器进行业务处理。