当前位置: 首页 > news >正文

做网站能收回吗今天新闻

news 2025/7/22 17:43:21
做网站能收回吗,今天新闻,深圳最近流感多吗,wordpress 中文表单theme: smartblue highlight: a11y-dark 一、前言及准备 1.1 SpringSecurity过滤器链简单介绍 在Spring Security中,过滤器链(Filter Chain)是由多个过滤器(Filter)组成的,这些过滤器按照一定的顺序对进…

theme: smartblue
highlight: a11y-dark

一、前言及准备

1.1 SpringSecurity过滤器链简单介绍

在Spring Security中,过滤器链(Filter Chain)是由多个过滤器(Filter)组成的,这些过滤器按照一定的顺序对进入应用的请求进行处理。每个过滤器可以执行不同的安全操作,如身份验证、授权、安全上下文的建立等。

过滤器是一种典型的AOP思想,我们将通过源码分析这些过滤器如何被加载以及组成过滤器链。

1.2 SpringSecurity配置类

该类主要对SpringSecurity进行一系列配置,后续过滤器链的初始化和加载也是基于这个配置类。当前配置类仅供参考。注意里面两个很重要的方法 #configure(WebSecurity web)以及#configure(WebSecurity web),他们对过滤器链的初始化很重要。

@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter {// 自定义登录成功或失败处理器,退出登录处理器@Autowiredprivate MyAuthenticationService myAuthenticationService;// 自定义验证码过滤器@Autowiredprivate ValidateCodeFilter validateCodeFilter;// 自定义权限不足处理@Autowiredprivate MyAccessDeniedHandler myAccessDeniedHandler;// 权限相关Service@Autowiredprivate PermissionService permissionService;@Overridepublic void configure(WebSecurity web) throws Exception {//解决静态资源被拦截的问题web.ignoring().antMatchers("/css/**", "/images/**", "/js/**", "/code/**");}/*** http请求方法** @param http* @throws Exception*/@Overrideprotected void configure(HttpSecurity http) throws Exception {// 加入用户名密码验证过滤器的前面http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class);// 查询数据库所有权限列表List<Permission> list = permissionService.list();for (Permission permission : list) {// 添加请求权限http.authorizeRequests().antMatchers(permission.getPermissionUrl()).hasAuthority(permission.getPermissionTag());}// 设置权限不足的信息http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);http.formLogin()// 开启表单认证.loginPage("/toLoginPage")// 自定义登录页面.loginProcessingUrl("/login")//表单提交的路径.usernameParameter("username").passwordParameter("password")//自定义input的name值.successForwardUrl("/")//登录成功之后跳转的路径.successHandler(myAuthenticationService).failureHandler(myAuthenticationService)//登录成功或者失败的处理.and().logout().logoutUrl("/logout").logoutSuccessHandler(myAuthenticationService).and().rememberMe()//开启记住我功能.tokenValiditySeconds(1209600)//token失效时间 默认是2周.rememberMeParameter("remember-me")//自定义表单input值.tokenRepository(getPersistentTokenRepository()).and().authorizeRequests().antMatchers("/toLoginPage").permitAll()//放行登录页面.anyRequest().authenticated();//关闭csrf防护http.csrf().disable();//加载同源域名下iframe页面http.headers().frameOptions().sameOrigin();// 开启跨域支持http.cors().configurationSource(corsConfigurationSource());}}

1.3 过滤器链加载方法入口

Spring boot启动中会加载spring.factories文件, 在文件中有对应针对Spring Security的过滤器链
的配置信息,所以spring.factories来找过滤器链加载方法入口

image.png

所以我们的过滤器链加载方法入口位于org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration#springSecurityFilterChain()

二、 源码导读

SpringSecurity的过滤器链创建本质就是读取SecurityConfig配置类,并且通过核心配置方法:#configure(WebSecurity web)以及#configure(WebSecurity web)生成一个个配置对象,最终每个配置对象会转换成一个过滤器对象,这些过滤器对象组成过滤器链。

前面已经提到了,配置类中的 #configure(WebSecurity web)以及#configure(WebSecurity web)非常重要。他们将分别加载到一个HttpSecurity对象和一个名为ignoredRequests的ArrayList之中,
并且过滤器链也是由这两部分转换后组成

2.1 SpringSecurity配置信息的加载

由前面的内容我们已经定位到过滤器链加载的方法入口位于:
org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration#springSecurityFilterChain()

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {boolean hasConfigurers = webSecurityConfigurers != null&& !webSecurityConfigurers.isEmpty();if (!hasConfigurers) {WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor.postProcess(new WebSecurityConfigurerAdapter() {});webSecurity.apply(adapter);}// 加载方法return webSecurity.build();
}

我们从该方法的webSecurity.build()按照下图一路点击,最终会进入到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()
方法,该方法是加载配置和过滤器链的主要方法

image.png

org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()如下

@Override
protected final O doBuild() throws Exception {synchronized (configurers) {buildState = BuildState.INITIALIZING;beforeInit();// 【1】.初始化,主要构建HttpSecurity对象以及内部的配置对象init();buildState = BuildState.CONFIGURING;beforeConfigure();// 【2】ignoredRequests集合的构建configure();buildState = BuildState.BUILDING;// 【3】组装过滤器链O result = performBuild();buildState = BuildState.BUILT;return result;}

可以看到,当前的configurers加载的就是我们自定义的配置类

image.png

2.1.1 构建带有配置信息的HttpSecurity对象

我们从上述的doBuild()方法体中点击init()方法进入其内部

org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#init() 

private void init() throws Exception {Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();for (SecurityConfigurer<O, B> configurer : configurers) {// 构建HttpSecurity对象configurer.init((B) this);}for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {configurer.init((B) this);}
}

接着点击构建HttpSecurity的对象的方法configurer.init()方法

org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#init(),发现真正构建HttpSecurity的方法其实是 getHttp()

public void init(final WebSecurity web) throws Exception {// 真正构建HttpSecurity的方法final HttpSecurity http = getHttp();// 将HttpSecurity对象作为SecurityFilterChainBuilder对象返回web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);web.securityInterceptor(securityInterceptor);});
}

点击进入 getHttp()

protected final HttpSecurity getHttp() throws Exception {/**省略其他**/// 【1】.新建一个HttpSecurity对象http = new HttpSecurity(objectPostProcessor, authenticationBuilder,sharedObjects);if (!disableDefaults) {// 【2】.设置HttpSecurity对象中configurers配置对象以及filter过滤器对象http.csrf().and() .addFilter(new WebAsyncManagerIntegrationFilter()) .exceptionHandling().and().headers().and().sessionManagement().and().securityContext().and().requestCache().and().anonymous().and().servletApi().and().apply(new DefaultLoginPageConfigurer<>()).and().logout();/**省略**/}// 【3】.执行SecurityConfig中的configure(HttpSecurity http)方法configure(http);return http;
}

观察上述代码我们发现,首先通过new HttpSecurity()新建了一个HttpSecurity对象,并且在下方设置HttpSecurity对象中configurers属性以及filter属性。

当执行完下面代码时,即【2】处的代码

        http.csrf().and() //【添加CsrfConfigurer】.addFilter(new WebAsyncManagerIntegrationFilter())  // 【添加 WebAsyncManagerIntegrationFilter】.exceptionHandling().and() // 【添加 ExceptionHandlingConfigurer】.headers().and() // 【添加 HeadersConfigurer】.sessionManagement().and()// 【添加SessionManagementConfigurer】.securityContext().and()// 【添加SecurityContextConfigurer】.requestCache().and()// 【添加RequestCacheConfigurer】.anonymous().and()// 【添加AnonymousConfigurer】.servletApi().and()// 【添加ServletApiConfigurer】.apply(new DefaultLoginPageConfigurer<>()).and()//【添加DefaultLoginPageConfigurer】.logout(); // 【添加LogoutConfigure】r

HttpSecurity对象中configurers属性以及filter如下,此时size分别为 101

image.png
image.png

执行了【2】的代码后会执行【3】的代码:
configure(http);
该方法会调用SecurityConfig配置类文件的configure()方法,由于此时传入的HttpSecurity对象,所以调用的
SecurityConfig配置类文件中的configure(HttpSecurity http),代码如下(注意该部分为自定义的配置文件中方法,需要伙伴自己去编写,根据自己需求进行配置。当前仅供参考!):

@Override
protected void configure(HttpSecurity http) throws Exception {// 加入用户名密码验证过滤器的前  【添加ValidateCodeFilter】http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class);// 查询数据库所有权限列表List<Permission> list = permissionService.list();【添加ExpressionUrlAuthorizationConfigurer】for (Permission permission : list) {// 添加请求权限http.authorizeRequests().antMatchers(permission.getPermissionUrl()).hasAuthority(permission.getPermissionTag());}// 设置权限不足的信息 http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);http.formLogin()// 开启表单认证 【添加FormLoginConfigurer】.loginPage("/toLoginPage")// 自定义登录页面.loginProcessingUrl("/login")//表单提交的路径.usernameParameter("username").passwordParameter("password")//自定义input的name值.successForwardUrl("/")//登录成功之后跳转的路径.successHandler(myAuthenticationService).failureHandler(myAuthenticationService)//登录成功或者失败的处理.and().logout().logoutUrl("/logout").logoutSuccessHandler(myAuthenticationService).and().rememberMe()//开启记住我功能 【添加 RememberMeConfigurer】.tokenValiditySeconds(1209600)//token失效时间 默认是2周.rememberMeParameter("remember-me")//自定义表单input值.tokenRepository(getPersistentTokenRepository()).and().authorizeRequests().antMatchers("/toLoginPage").permitAll()//放行登录页面.anyRequest().authenticated();//关闭csrf防护// 【移除CsrfConfigurer】http.csrf().disable();//加载同源域名下iframe页面http.headers().frameOptions().sameOrigin();// 开启跨域支持// 【添加CorsConfigurer】http.cors().configurationSource(corsConfigurationSource());}

执行完该方法后,configurers属性以及filter属性如下,size变为132

image.png
image.png

HttpSecurity对象构建完成!,之后configurers中每个Configurer对象最终都会转换为Filter对象

2.1.2 列表集合 ignoredRequests 的创建

当执行完init()后,HttpSecurity对象构建完成,并且存放在一个叫做securityFilterChainBuilders的集合对象中。

image.png

此时我们回到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild(),在执行init()方法之后会有一个configure()方法,点击进去可以看到:

private void configure() throws Exception {Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();for (SecurityConfigurer<O, B> configurer : configurers) {// 【加载配置类SecurityConfig中的configure(WebSecurity web)方法】configurer.configure((B) this);}
}

注意看

configurer.configure((B) this);

这句代码,此时的this是一个WebSecurity对象
image.png

仔细想想,在配置类文件中,不正是有一个#configure(WebSecurity web)配置方法吗?没错,这句代码正是执行了配置文件中的该方法。

#configure(WebSecurity web)方法体:

image.png

执行完这一行代码之后,ignoredRequests变量已经被赋值,而且变量中的值是和上面配置方法中配置对应的。

image.png

OK,此时SpringSecurity配置信息的加载就已经完成,接下来就是将这些配置信息转换成过滤器并组成过滤器链

2.2 过滤器链的加载

加载完配置文件后,我们的配置信息分别被存放在两部分ignoredRequestssecurityFilterBulders之中,下面再来看看这两部分是如何构建成过滤器链的。

2.2.1 ignoredRequests 转换成过滤器链

image.png
此时我们再次回到此时我们回到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()
找到构造过滤器链的方法performBuild()

org.springframework.security.config.annotation.web.builders.WebSecurity#performBuild() 

@Override
protected Filter performBuild() throws Exception {/**忽略部分代码**/【1】计算过滤器链长度int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);【2】将ignoredRequests集合中的对象转为过滤器加入到过滤器链中for (RequestMatcher ignoredRequest : ignoredRequests) {securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));}【3】将securityFilterChainBuilder转为过滤器加入到过滤器链中for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {securityFilterChains.add(securityFilterChainBuilder.build());}/**忽略部分代码**/}/**忽略部分代码**/return result;
}

【1】处代码计算过滤器链长度chainSize,Debug中计算结果如下

image.png

【2】处代码将ignoredRequests集合中的对象转为过滤器加入到过滤器链securityFilterChains
中,执行结果如下

image.png

ignoredRequests转换成过滤器链完成

【3】处的代码就是 securityFilterBulders的的处理。下面接着讲。

2.2.2 securityFilterBulders 转换成过滤器链

在上面的org.springframework.security.config.annotation.web.builders.WebSecurity#performBuild() 方法中通过观察看到,处理securityFilterBulders代码就一句话

securityFilterChains.add(securityFilterChainBuilder.build());

我们从securityFilterChainBuilder.build(),按照下面顺序一路点击:

image.png

我们将会定位到
org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#configure()

private void configure() throws Exception {【1】获取配置对象Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();for (SecurityConfigurer<O, B> configurer : configurers) {【2】将配置对象加入到过滤器链configurer.configure((B) this);}
}

在【1】处,我们将得到从securityFilterChainBuilder中得到configurers配置列表

image.png

在【2】处,会循环配置列表对每个配置对象处理并且最终加入到过滤器链中。
比如当前是ExceptionHandlingConfigurer
那么就会执行
org.springframework.security.config.annotation.web.configurers.ExceptionHandlingConfigurer#configure()

@Override
public void configure(H http) {AuthenticationEntryPoint entryPoint = getAuthenticationEntryPoint(http);// 【1】创建 ExceptionTranslationFilterExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(entryPoint, getRequestCache(http));AccessDeniedHandler deniedHandler = getAccessDeniedHandler(http);exceptionTranslationFilter.setAccessDeniedHandler(deniedHandler);exceptionTranslationFilter = postProcess(exceptionTranslationFilter);//【2】 ExceptionTranslationFilter加入到过滤器链http.addFilter(exceptionTranslationFilter);
}

再比如当前是HeaderConfigurer,那么会执行org.springframework.security.config.annotation.web.configurers.HeadersConfigurer#configure()

@Override
public void configure(H http) {【1】创建 HeaderWriterFilterHeaderWriterFilter headersFilter = createHeaderWriterFilter();【2】加入到过滤器链http.addFilter(headersFilter);
}

也就是说,具体是什么类型的Filter,是根据当前Configurer而决定的

当我们执行完所有的configure()方法,再次回到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()

可以看到filter已经被加载出来

image.png

但是,过滤器是有一定顺序的,此时加载出来的过滤器并没有处理顺序。
当方法执行到 performBuild()内部时,会进行排序
org.springframework.security.config.annotation.web.builders.HttpSecurity#performBuild()

@Override
protected DefaultSecurityFilterChain performBuild() {【对过滤器进行排序】filters.sort(comparator);return new DefaultSecurityFilterChain(requestMatcher, filters);
}

排序后的过滤器链:

image.png

到这里,拦截器链加载结束!

http://www.15wanjia.com/news/53317.html

相关文章:

  • 表格网站源码磁力猫引擎
  • 企业融资的三种方式优化师
  • 秦皇岛做网站外包游戏推广员平台
  • 福州网站搭建网络游戏推广员是做什么的
  • 网站开发广告语大全网站推广和宣传的方法
  • 做相亲网站 一年赚千万google安卓版下载
  • wordpress 描述字段保定seo排名外包
  • wordpress msn space班级优化大师怎么下载
  • 做网站42类商标怎么选小类企业网站seo优化
  • 详情页设计风格南宁seo标准
  • cms网站内容管理系统今天全国疫情最新消息
  • 石龙网站开发北京网络营销推广公司
  • 做电路方案设计的网站沈阳seo网站推广
  • 为公司做网站上海seo优化bwyseo
  • 刷单网站开发系统优化软件有哪些
  • 国家骨干院校建设网站定制网站多少钱
  • 中国营销传播网app杭州网站建设方案优化
  • 网站助手 伪静态优化关键词排名优化公司
  • wordpress搜视网苏州关键词优化怎样
  • 龙港哪里有做百度网站的自己的网站
  • wordpress微信红包东莞seo报价
  • 淘宝网站所用编码网站关键词排名如何提升
  • 如何做阿里巴巴网站百度关键词规划师入口
  • 旅行社网站建设设计公司哪家好seo优化效果怎么样
  • 网站建设和编程的区别南宁seo推广
  • 百度做的网站国外可以打开吗销售网站
  • 网站子页怎么做免费优化推广网站的软件
  • 在线搭建网站营销策略国内外文献综述
  • 郑州网站建设有限公司7个经典软文营销案例
  • 上海哪家公司做网站比较好登封网络推广公司