詳解HttpSecurity是如何組裝過濾器鏈的
一 SecurityFilterChain
首先大伙都知道,Spring Security 里邊的一堆功能都是通過 Filter 來實現(xiàn)的,無論是認(rèn)證、RememberMe Login、會話管理、CSRF 處理等等,各種功能都是通過 Filter 來實現(xiàn)的。
所以,我們配置 Spring Security,說白了其實就是配置這些 Filter。
以前舊版繼承自 WebSecurityConfigurerAdapter 類,然后重寫 configure 方法,利用 HttpSecurity 去配置過濾器鏈,這種寫法其實不太好理解,特別對于新手來說,可能半天整不明白到底配置了啥。
現(xiàn)在新版寫法我覺得更加合理,因為直接就是讓開發(fā)者自己去配置過濾器鏈,類似下面這樣:
@Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { return http.build(); }
這樣開發(fā)者更容易理解,自己是在配置配置 SecurityFilter 過濾器鏈,因為就是要配置這樣一個 Bean。
SecurityFilterChain 是一個接口,這個接口只有一個實現(xiàn)類 DefaultSecurityFilterChain。
DefaultSecurityFilterChain 中有一個 requestMatcher,通過 requestMatcher 可以識別出來哪些請求需要攔截,攔截下來之后,經(jīng)由該類的另外一個屬性 filters 進(jìn)行處理,這個 filters 中保存了我們配置的所有 Filter。
public final class DefaultSecurityFilterChain implements SecurityFilterChain { private final RequestMatcher requestMatcher; private final List<Filter> filters; }
因此,在配置 SecurityFilterChain 這個 Bean 的時候,我們甚至可以按照如下方式來寫:
@Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { return new DefaultSecurityFilterChain(new AntPathRequestMatcher("/**")); }
這個配置就表示攔截所有請求,但是攔截下來之后,這些請求所經(jīng)過的過濾器為空,即攔截所有請求但是不做任何處理。
我們也可以為 DefaultSecurityFilterChain 對象去配置過濾器鏈,大家看到,它的構(gòu)造器可以傳入 Filter:
但是,Spring Security 過濾器數(shù)量有 30+,我們平日開發(fā)使用的也在 15 個左右,這樣一個一個去配置太麻煩了,每個過濾器并非 new 出來就能用了,還要配置各種屬性,所以我們一般不會自己一個一個去配置這些過濾器。
二 SecurityConfigurer
為了簡化 Spring Security 中各個組件的配置,官方推出了 SecurityConfigurer,SecurityConfigurer 在 Spring Security 中扮演著非常重要的角色,其主要作用可以歸納為以下幾點:
- 配置過濾器:在 Spring Security 中,過濾器鏈中的每一個過濾器都是通過 xxxConfigurer 來進(jìn)行配置的,而這些 xxxConfigurer 實際上都是 SecurityConfigurer 的實現(xiàn)。這意味著 SecurityConfigurer 負(fù)責(zé)配置和管理安全過濾器鏈中的各個組件。
- 初始化和配置安全構(gòu)建器:SecurityConfigurer 接口中定義了兩個主要方法:init 和 configure。init 方法用于初始化安全構(gòu)建器(SecurityBuilder),而 configure 方法則用于配置這個構(gòu)建器。這兩個方法共同確保了安全組件的正確設(shè)置和初始化。
- 提供擴(kuò)展點:SecurityConfigurer 的三個主要實現(xiàn)類(SecurityConfigurerAdapter、GlobalAuthenticationConfigurerAdapter、WebSecurityConfigurer)為開發(fā)者提供了擴(kuò)展 Spring Security 功能的點。特別是,大部分的 xxxConfigurer 都是 SecurityConfigurerAdapter 的子類,這使得開發(fā)者能夠輕松地定制和擴(kuò)展安全配置。
- 構(gòu)建安全上下文:通過配置和組合不同的 SecurityConfigurer 實現(xiàn),可以構(gòu)建一個完整的安全上下文,包括身份驗證、授權(quán)、加密等各個方面,從而確保應(yīng)用程序的安全性。
換句話說,Spring Security 中的各種 Filter,其實都有各自對應(yīng)的 xxxConfigurer,通過這些 xxxConfigurer 完成了對 Filter 的配置。
舉幾個簡答的例子,如:
- CorsConfigurer 負(fù)責(zé)配置 CorsFilter
- RememberMeConfigurer 負(fù)責(zé)配置 RememberMeAuthenticationFilter
- FormLoginConfigurer 負(fù)責(zé)配置 UsernamePasswordAuthenticationFilter
以上是前置知識。
三 SecurityBuilder
SecurityBuilder
是 Spring Security 框架中的一個核心接口,它體現(xiàn)了建造者設(shè)計模式,用于構(gòu)建和配置安全組件。這個接口并不直接與安全功能如認(rèn)證或授權(quán)的具體實現(xiàn)綁定,而是提供了一種靈活的方式來組織和裝配這些功能組件,特別是在構(gòu)建安全上下文和過濾器鏈過程中。
核心特點
- 靈活性與模塊化:通過
SecurityBuilder
,開發(fā)者可以以模塊化的方式添加、移除或替換安全配置中的各個部分,而不需要了解整個安全架構(gòu)的細(xì)節(jié)。這促進(jìn)了代碼的復(fù)用性和可維護(hù)性。 - 層次結(jié)構(gòu):在 Spring Security 中,
SecurityBuilder
及其子類形成了一個層次結(jié)構(gòu),允許配置像嵌套娃娃一樣層層深入,每一個層級都可以貢獻(xiàn)自己的配置邏輯,最終形成一個完整的安全配置。 - 安全上下文構(gòu)建:在認(rèn)證過程中,
SecurityBuilder
用于構(gòu)造SecurityContext
,該上下文中包含了當(dāng)前認(rèn)證主體(通常是用戶)的詳細(xì)信息,以及主體所關(guān)聯(lián)的權(quán)限和角色。 - 過濾器鏈構(gòu)建:在 Web 應(yīng)用中,
SecurityBuilder
還用于構(gòu)建FilterChainProxy
,這是一個關(guān)鍵組件,負(fù)責(zé)組織和執(zhí)行一系列的過濾器,這些過濾器負(fù)責(zé)處理 HTTP 請求的安全性,比如檢查用戶是否已經(jīng)登錄、是否有權(quán)限訪問某個資源等。
簡而言之,在 SecurityBuilder 的子類 AbstractConfiguredSecurityBuilder 中,有一個名為 configurers 的集合,這個集合中保存的就是我們前面所說的各種 xxxConfigure 對象。
AbstractConfiguredSecurityBuilder 收集到所有的 xxxConfigure 之后,將來會調(diào)用每個 xxxConfigure 的 configure 方法完成過濾器的構(gòu)建。
另外很重要的一點,HttpSecurity 也是一個 SecurityBuilder。因此,HttpSecurity 其實就是幫我們收集各種各樣的 xxxConfigure,并存入到 configurers 集合中,以備將來構(gòu)建過濾器使用。
四 HttpSecurity
根據(jù)前面的介紹,我們知道,無論我們怎么配置,最終拿到手的一定是一個 DefaultSecurityFilterChain 對象,因為這是 SecurityFilterChain 的唯一實現(xiàn)類。
所以,HttpSecurity 其實就是在幫我們配置 DefaultSecurityFilterChain,我們看到 HttpSecurity 里邊就有兩個非常關(guān)鍵的屬性:
private List<OrderedFilter> filters = new ArrayList<>(); private RequestMatcher requestMatcher = AnyRequestMatcher.INSTANCE;
這兩個恰恰就是構(gòu)建 DefaultSecurityFilterChain 所需的關(guān)鍵參數(shù)。
事實確實如此,我們看到,在 HttpSecurity#performBuild 方法中,就是利用這兩個參數(shù)構(gòu)建出來了 DefaultSecurityFilterChain:
@Override protected DefaultSecurityFilterChain performBuild() { ExpressionUrlAuthorizationConfigurer<?> expressionConfigurer = getConfigurer( ExpressionUrlAuthorizationConfigurer.class); AuthorizeHttpRequestsConfigurer<?> httpConfigurer = getConfigurer(AuthorizeHttpRequestsConfigurer.class); boolean oneConfigurerPresent = expressionConfigurer == null ^ httpConfigurer == null; this.filters.sort(OrderComparator.INSTANCE); List<Filter> sortedFilters = new ArrayList<>(this.filters.size()); for (Filter filter : this.filters) { sortedFilters.add(((OrderedFilter) filter).filter); } return new DefaultSecurityFilterChain(this.requestMatcher, sortedFilters); }
這里先對 filters 進(jìn)行排序,然后據(jù)此創(chuàng)建出來 DefaultSecurityFilterChain 對象。
那么問題來了,filters 中的過濾器從何而來呢?
前面我們提到,HttpSecurity 本質(zhì)上也是一個 SecurityBuilder,我們平時在 HttpSecurity 配置的各種東西,本質(zhì)上其實就是一個 xxxConfigure,這些 xxxConfigure 被 HttpSecurity 收集起來,最后會遍歷收集起來的 xxxConfigure,調(diào)用其 configure 方法,最終獲取過濾器,并將獲取到的過濾器存入到 filters 集合中。
這里松哥以我們最為常見的登錄配置為例來和大家捋一捋這個流程。
新版的登錄配置我們一般按照如下方式來配置:
http.formLogin(f -> f.permitAll());
這個方法如下:
public HttpSecurity formLogin(Customizer<FormLoginConfigurer<HttpSecurity>> formLoginCustomizer) throws Exception { formLoginCustomizer.customize(getOrApply(new FormLoginConfigurer<>())); return HttpSecurity.this; }
從這段源碼可以看到,我們配置里邊寫的 lambda,其實就是在配置 FormLoginConfigurer 對象。
getOrApply 方法主要主要有兩方面的作用:
- 確保這個 Bean 不會重復(fù)配置。
- 如果該 Bean 是第一次配置,那么將該對象添加到 SecurityBuilder 中(其實就是 HttpSecurity 對象自身),這個 SecurityBuilder 里邊保存了所有配置好的 xxxConfigure 對象,將來在過濾器鏈構(gòu)建的時候,會去遍歷這些 xxxConfigure 對象并調(diào)用其 configure 方法,完成過濾器的構(gòu)建。
在 FormLoginConfigurer#init 方法中,完成了和登錄相關(guān)過濾器的配置,如:
- 登錄請求處理過濾器(構(gòu)造方法中完成的)
- 注銷過濾器的配置
- 登錄失敗端點配置
- 登錄頁面的配置
這里涉及到的屬性都會在對應(yīng)的 xxxConfigurer 中完成配置。
當(dāng)過濾器鏈開始構(gòu)建的時候,會調(diào)用到所有 xxxConfigurer 的 configure 方法,在這個方法中,最終完成相關(guān)過濾器的創(chuàng)建,并將之添加到 HttpSecurity 的 filters 屬性這個集合中。
FormLoginConfigurer 的 configure 方法在其父類中,如下:
@Override public void configure(B http) throws Exception { PortMapper portMapper = http.getSharedObject(PortMapper.class); if (portMapper != null) { this.authenticationEntryPoint.setPortMapper(portMapper); } RequestCache requestCache = http.getSharedObject(RequestCache.class); if (requestCache != null) { this.defaultSuccessHandler.setRequestCache(requestCache); } this.authFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class)); this.authFilter.setAuthenticationSuccessHandler(this.successHandler); this.authFilter.setAuthenticationFailureHandler(this.failureHandler); if (this.authenticationDetailsSource != null) { this.authFilter.setAuthenticationDetailsSource(this.authenticationDetailsSource); } SessionAuthenticationStrategy sessionAuthenticationStrategy = http .getSharedObject(SessionAuthenticationStrategy.class); if (sessionAuthenticationStrategy != null) { this.authFilter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy); } RememberMeServices rememberMeServices = http.getSharedObject(RememberMeServices.class); if (rememberMeServices != null) { this.authFilter.setRememberMeServices(rememberMeServices); } SecurityContextConfigurer securityContextConfigurer = http.getConfigurer(SecurityContextConfigurer.class); if (securityContextConfigurer != null && securityContextConfigurer.isRequireExplicitSave()) { SecurityContextRepository securityContextRepository = securityContextConfigurer .getSecurityContextRepository(); this.authFilter.setSecurityContextRepository(securityContextRepository); } this.authFilter.setSecurityContextHolderStrategy(getSecurityContextHolderStrategy()); F filter = postProcess(this.authFilter); http.addFilter(filter); }
關(guān)鍵在最后這一句 http.addFilter(filter);
,這句代碼將配置好的過濾器放到了 HttpSecurity 的 filters 集合中。
其他的也都類似,例如配置 CorsFilter 的 CorsConfigurer#configure 方法,如下:
@Override public void configure(H http) { ApplicationContext context = http.getSharedObject(ApplicationContext.class); CorsFilter corsFilter = getCorsFilter(context); http.addFilter(corsFilter); }
這些被添加到 HttpSecurity 的 filters 屬性上的 Filter,最終就成為了創(chuàng)建 DefaultSecurityFilterChain 的原材料。
類似的道理,我們也可以分析出 disable 方法的原理,例如我們要關(guān)閉 csrf,一般配置如下:
.csrf(c -> c.disable());
那么很明顯,這段代碼其實就是調(diào)用了 CsrfConfigurer 的 disable 方法:
public B disable() { getBuilder().removeConfigurer(getClass()); return getBuilder(); }
該方法直接從 SecurityBuilder 的 configurers 集合中移除了 CsrfConfigurer,所以導(dǎo)致最終調(diào)用各個 xxxConfigure 的 configure 方法的時候,沒有 CsrfConfigurer#configure 了,就導(dǎo)致 csrf 過濾器沒有配置上,進(jìn)而 CSRF filter 失效。
以上就是詳解HttpSecurity是如何組裝過濾器鏈的的詳細(xì)內(nèi)容,更多關(guān)于HttpSecurity組裝過濾器鏈的資料請關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
El表達(dá)式使用問題javax.el.ELException:Failed to parse the expression
今天小編就為大家分享一篇關(guān)于Jsp El表達(dá)式使用問題javax.el.ELException:Failed to parse the expression的解決方式,小編覺得內(nèi)容挺不錯的,現(xiàn)在分享給大家,具有很好的參考價值,需要的朋友一起跟隨小編來看看吧2018-12-12springboot2.0如何通過fastdfs實現(xiàn)文件分布式上傳
這篇文章主要介紹了springboot2.0如何通過fastdfs實現(xiàn)文件分布式上傳,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下2019-12-12Java基于websocket協(xié)議與netty實時視頻彈幕交互實現(xiàn)
本文主要介紹了Java基于websocket協(xié)議與netty實時視頻彈幕交互實現(xiàn),文中通過示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下2021-09-09springboot(thymeleaf)中th:field和th:value的區(qū)別及說明
這篇文章主要介紹了springboot(thymeleaf)中th:field和th:value的區(qū)別及說明,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2022-10-10Spring Security Oauth2.0 實現(xiàn)短信驗證碼登錄示例
本篇文章主要介紹了Spring Security Oauth2.0 實現(xiàn)短信驗證碼登錄示例,具有一定的參考價值,感興趣的小伙伴們可以參考一下2018-01-01淺談Java中ThreadLocal內(nèi)存泄露的原因及處理方式
內(nèi)存泄漏就是我們申請了內(nèi)存,但是該內(nèi)存一直無法釋放,就會導(dǎo)致內(nèi)存溢出問題,本文詳細(xì)的介紹了ThreadLocal內(nèi)存泄露的原因及處理方式,感興趣的可以了解一下2023-05-05關(guān)于服務(wù)網(wǎng)關(guān)Spring Cloud Zuul(Finchley版本)
這篇文章主要介紹了關(guān)于服務(wù)網(wǎng)關(guān)Spring Cloud Zuul(Finchley版本),具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2022-03-03