SpringSecurity

Spring Security

  Spring Security是spring框架中的安全框架。简单学习一下。做一些记录方便回顾。

DelegatingFilterProxy

  DelegatingFilterProxy作为Servlet的filter实现。在请求到达servlet之前，做过滤处理。   DelegatingFilterProxy这个过滤器，主要职责是将业务处理，交给它的属性,类型为FilterChainProxy的类处理。FilterChainProxy是从我们应用的IOC容器中获取。

FilterChainProxy

  作为过滤器业务逻辑的实现。它的里面有一个属性filterChains，里面是SecurityFilterChain对象的集合。   主要逻辑是根据请求路径匹配到对应的SecurityFilterChain对象，然后调用SecurityFilterChain中的过滤器，完成逻辑处理。

SecurityFilterChain

  过滤逻辑的主要实现。对应不同的请求，有不同的功率器处理。   类里面有个匹配规则，只有符合这个规则的请求才会调用类里面的过滤器处理。

SpringSecurity启动流程

  一般我们都是新增一个配置类。标注注解@Configuration，@EnableWebSecurity。继承类WebSecurityConfigurerAdapter。   @Configuration配置类就不过多记录了。会将@Bean注入到IOC容器。

EnableWebSecurity

  可以看到，这个注解@EnableWebSecurity导入三个类。WebSecurityConfiguration，SpringWebMvcImportSelector，OAuth2ImportSelector。自动注入注解：@EnableGlobalAuthentication。

WebSecurityConfiguration

  WebSecurityConfiguration是一个配置类。主要的就是构建FilterChainProxy类型的类。放入容器中的bean名称为：springSecurityFilterChain

  配置类加载的时候，有个自动注入的配置。将容器中SecurityConfigurer类型的bean注入到当前配置类。我们自定的配置类继承WebSecurityConfigurerAdapter，WebSecurityConfigurerAdapter实现WebSecurityConfigurer，WebSecurityConfigurer接口继承SecurityConfigurer。也就是说，我们自己写的配置类也会被加载进来。   断点我们可以看到，自己的配置类在构建FilterChainProxy类型的过滤器时，被加载了进来。   webSecurity.build() -->doBuild()来完成过滤器类的构建。里面有几个核心方法。init(),configure(),performBuild()。都是调用配置类中的相关方法。入参都为WebSecurity。   以下是适配类WebSecurityConfigurerAdapter中对应init方法的实现。

public void init(final WebSecurity web) throws Exception { // 看这里，看这里。getHttp方法，构建HttpSecurity对象，里面初始化配置了默认的过滤器。将HttpSecurity放入到WebSecurity。 final HttpSecurity http = getHttp(); // 根据httpSecurity构建SecurityFilterChainBuild web.addSecurityFilterChainBuilder(http).postBuildAction(() -> { FilterSecurityInterceptor securityInterceptor = http .getSharedObject(FilterSecurityInterceptor.class); web.securityInterceptor(securityInterceptor); }); } protected final HttpSecurity getHttp() throws Exception { if (http != null) { return http; } AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher(); localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher); AuthenticationManager authenticationManager = authenticationManager(); authenticationBuilder.parentAuthenticationManager(authenticationManager); Map<Class<?>, Object> sharedObjects = createSharedObjects(); http = new HttpSecurity(objectPostProcessor, authenticationBuilder, sharedObjects); if (!disableDefaults) { // @formatter:off http .csrf().and() .addFilter(new WebAsyncManagerIntegrationFilter()) .exceptionHandling().and() .headers().and() .sessionManagement().and() .securityContext().and() .requestCache().and() .anonymous().and() .servletApi().and() .apply(new DefaultLoginPageConfigurer<>()).and() .logout(); // @formatter:on ClassLoader classLoader = this.context.getClassLoader(); List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader); for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) { http.apply(configurer); } } // 我们一般重写这个方法，加载自己自定义的配置过滤。 configure(http); return http; }

  performBuild方法的实现。构建SecurityFilterChain对象，封装为FilterChainProxy类型的过滤器。   ignoredRequests就是我们configure配置的相关规则的过滤。通过webSecurity的ignoring()方法返回IgnoredRequestConfigurer对象，然后调用其方法为WebSecurity的ignoredRequests属性添加RequestMatcher对象。   securtiyFilterChainBuilder也可以自己配置。不配置默认是在init()方法实现的时候，根据HttpSecurity构建。   也就是说如果我有多个类继承WebSecurityConfigurerAdapter，那么构建FilterChainProxy的时候，就会为每一个类生成一个SecurityFilterChain。WebSecurityConfigurerAdapter里面都有默认的实现，你的子类可以重写一些方法重新增加一些配置。

SecurityBuild

  构建器，相关复杂对象的构建。比如：FilterChainProxy类型的过滤器，SecurityFilterChain过滤器。   第一次执行构建FilterChainProxy的时候，调用init()方法，遍历配置类的init方法。我这里项目中配置了授权的配置类：AuthorizationServerConfiguration，资源管理的配置类：ResourceServerConfig，webSecurity的配置类：WebSecurityConfiguration。   1. init()方法获取所有的配置类，就是上面我配置的三个。   2. 跟进第一个授权的配置类，研究它的过程。进入WebSecurtiyConfigurerAdapter的init方法。   3. 接着看getHttp()方法。里面创建了HttpSecurity对象。   4. 我们看httpSecurity的第一个配置。http.csrf()。里面创建了一个CsrfConfigurer对象。getOrAppy方法接着调用apply方法。在apply方法中，调用add方法，将这个配置类传了进来，配置类存入abstractConfiguredSecurityBuilder的内部属性configurers中。   5. 我们把抽象类中的httpSecurity的构建继续走，可以发现，对应的配置都会产生一个配置类，存入到内部属性中。   6. 我们把抽象类中的httpSecurity的构建走完，下方有一个configure方法，入参是创建好的httpSecurity对象。这个是要给抽象方法，有子类实现。我们现在跟进的是AuthorizationServerSecurityConfiguration，进入这个类中的方法。   7. getHttp()方法走完。我们获取到HttpSecurtiy对象(目前我们执行的配置类是授权的配置类)。HttpSecurtiy本身也是实现了SecurityBuild。调用WebSecurity的addSecurityFilterChainBuilder方法，将HttpSecurity对象存在WebSecurity的内部属性securityFilterChainBuilders中。   下面的postBuildAction方法，将FilterSecurityInterceptor添加到WebSecurity的属性filterSecurityInterceptor。   到此，授权配置类的init方法执行完毕。后面的资源配置类，webSecurity配置类可以自行dubug跟进学习。后面的configure方法过程类型，也是循环遍历配置类，调用配置类的configure方法。performBuild()方法见上文。将我们WebSecurity里面存的HttpSecurity取出来，调用HttpSecurity的build方法构建SecurityFilterChain对象(build过程也是一样的生命周期，init，config，performBuild。不同的是里面的配置类不一样，基本上每个配置类都是构建一个过滤器类添加到SecurityFilterChain中)，并将其作为入参保存到FilterChainProxy对象里面。

小结

  总的来说，就是一个继承WebSecurityConfigurerAdapter的类，就会产生一条过滤器链securityFilterChain，这个过滤器链处理或者匹配的请求规则是通过配置httpSecurity进行配置，httpSecurity.requestMatchers()配置哪些请求的url进行过滤。httpSecurity.authorizeRequests()配置对过滤的请求如何进行控制(比如哪些需要授权认证，哪些不需要授权认证)。

http.requestMatchers() .antMatchers("/api/order/**","/api/money/**") .and().authorizeRequests() .antMatchers("/api/money/**").authenticated() .antMatchers("/api/order/test/**").permitAll()

  上面配置的含义是：对/api/order/和/api/money/两个url生效。（即当请求匹配这两个url其中之一时，才会进行安全控制，其他url可直接访问。）当一个请求的url匹配其中之一后，才会进入这个过滤器链。进入过滤器链后，匹配 /api/money的请求全部需要认证后才能访问，而匹配/api/order/test/的请求可以直接访问。   requestMatchers()配置的是哪些url进行安全控制，authorizeRequests()配置的是如何进行控制。   我们的请求进来后，先经过DelegatingFilterProxy–》DelegatingFilterProxy内部调用FilterChainProxy–》FilterChainProxy根据请求路径，匹配对应的SecurityFilterChain–》调用SecurityFilterChain里面的过滤器进行业务处理。