一、一句话概括框架原理
整个框架的核心就是构建一个名字为
springSecurityFilterChain的过滤器Bean,它的类型是FilterChainProxy。
二、何处开始读源码?
思考
我们知道,程序入口类会自动扫描当前包及其子包下所有的Bean,并进行实例化,那么
在引入一个新的框架,框架中一些定义好的Bean如何注入我们的Spring容器中呢?,这些包并不能被入口类扫描中。
其实无非就是通过
@Import引入相关的类。一般在使用Spring Security框架时,我们会自定义一个配置类,配置类加上@EnableWebSecurity注解,重新启动程序,一个使用了安全框架的项目就起来了,在无任何自定义配置情况下Spring Security默认配置了一个登录过滤器链。
加个
@EnableWebSecurity注解就可以,怎么做到的?
瞅瞅
- 点击自定义配置类上添加的
@EnableWebSecurity
@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value = { java.lang.annotation.ElementType.TYPE })
@Documented
@Import({ WebSecurityConfiguration.class,
SpringWebMvcImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
/**
* Controls debugging support for Spring Security. Default is false.
* @return if true, enables debug support with Spring Security
*/
boolean debug() default false;
}
-
重点关注
@Import导入的类WebSecurityConfiguration,会发现类中定义了很多Bean
-
其中就有我们的核心过滤器
springSecurityFilterChain
@Configuration
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
...
/**
* Creates the Spring Security Filter Chain
* @return
* @throws Exception
*/
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
boolean hasConfigurers = webSecurityConfigurers != null
&& !webSecurityConfigurers.isEmpty();
if (!hasConfigurers) {
WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
.postProcess(new WebSecurityConfigurerAdapter() {
});
webSecurity.apply(adapter);
}
return webSecurity.build();
}
...
}
找到创建核心过滤器的地方,是不是迫不及待想开始读了?咱们先不急,先来了解整个框架的接口设计,以及各个类的职能。
三、框架接口设计
整个框架主要由
建造者和配置器构成,在服务启动时就是通过配置器对建造者进行配置,配置完成再由建造者创建出核心过滤器。
建造者
-
UML图(方法、属性等自行打开Idea查看,全部打开太占位置没法截图就截了简单的类关系)
涉及到创建
springSecurityFilterChain的建造者是HttpSecurity和WebSecurity,接下来文章介绍,AuthenticationManagerBuilder先放放,后面讲解如何认证授权时详细介绍。
配置器
-
UML类图
一般我们会使用底层的两个配置器
WebSecurityConfigurerAdapter和AbstractHttpConfigurer,后续文章详细介绍。
四、总结
WebSecurity和HttpSecurity都是建造者WebSecurity的构建目标是FilterChainProxy对象,即核心过滤器springSecurityFilterChainHttpSecurity的构建目标只是FilterChainProxy对象中一组SecurityFilterChain的一个配置器是通过HttpSecurity配置进建造者中用于构建SecurityFilterChain
五、系列文章
Spring Security 系列
- 《手把手教你如何使用Spring Security(上):登录授权》
- 《手把手教你如何使用Spring Security(中):接口认证》
- 《手把手教你如何使用Spring Security(下):访问控制》
- 《Spring Security源码(一):整体框架设计》
- 《Spring Security源码(二):建造者详解》
- 《Spring Security源码(三):HttpSecurity详解》
- 《Spring Security源码(四):配置器详解》
- 《Spring Security源码(五):FilterChainProxy是如何创建的?》
- 《Spring Security源码(六):FilterChainProxy是如何运行的?》
- 《Spring Security源码(七):设计模式在框架中的应用》
- 《Spring Security源码(八):登录认证源码流程》
- 《Spring Security源码(九):过滤器链上的过滤器是如何排序的?》
- 《Spring Security源码(十):权限访问控制是如何做到的?》
