Spring Security 源码分析九:Java config - 阶段性总结

前言

本文是对 Spring Security Core 4.0.4 Release 进行源码分析的系列文章之一;

本博文是有关 Spring Security 的配置相关的内容的阶段性总结;

本文为作者的原创作品,转载需注明出处;

总结

概念设计

Spring Security 架构概念图

笔者将千言万语汇集成了上面这张图;从左至右,

  1. DelegatingFilterProxy (FilterChainProxy)
    DelegatingFilterProxy 是六大 Web Servlet Filters 之一;它的目的就是将不同的访问请求转发到对应的 SecurityFilterChain 上;比如,将 /web/** 请求转发到 SecurityFilterChain A 上,将 /foo/** 转发到 SecurityFilterChain B 上;

  2. SecurityFilterChain
    从上述的概念图中可以清晰的看到,它主要是由两部分构成;

    Filters

    Spring Security 的安全链正是由这样的一个个的 Filters 所构成的;比如笔者前文所介绍到的 CsrfFilterBasicAuthenticationFilterUsernamePasswordAuthenticationFilter 等等;不过要注意 Filters 的几个特点,

    ① 这些 Filters 都是某个 SecurityFilterChain 的私有对象;

    ② 这些 Filters 都共享 Shared Objects 中所缓存的对象实例;

    Shared Objects

    顾名思义,被共享的对象,只是要注意的是,这些对象的作用范围都只针对某一个 SecurityFilterChain;其核心目就是将这些共享对象让 SecurityFilterChain 中的多个 Filters 对象所调用;典型的对象有 AuthenticationManagerBuilderAuthenticationManager 等;

实现逻辑

各个实体之间的关联关系分析

Spring Security 核心类图

上述的类图总结了 Spring Security 整体的核心实现逻辑;如图,分为三块,

  1. WebSecurity
    WebSecurity 的核心目的是依赖于用户自定义配置的 WebSecurityConfigurer 生成一个全局唯一的 SecurityChainProxy 对象;WebSecurity 与 SecurityChainProxy 是一对一的关系;

  2. HttpSecurity
    HttpSecurity 的核心目的是依赖于用户自定义配置的 AbstractHttpConfigurer 而生成不同的 Filters,最终由这些 Filters 构成 SecurityFilterChain 对象并返回;也就是说,一个 HttpSecurity 将会生成一个 SecurityFilterChain 对象并返回;HttpSecurity 与 SecurityFilterChain 是一对一的关系;

  3. AuthenticationManagerBuilder
    顾名思义,AuthenticationManagerBuilder 就是用来生成 AuthenticationManager 的,不过这里的逻辑并没有图示中的那么简单,在 Spring Security 源码分析九:Java config - AuthenticationManagerBuilder 一文中,笔者专门系统的分析了 AuthenticationManagerBuilder 生成 AuthenticationManager 的流程,它是通过一个“全局的 AuthenticationManagerBuilder”和一个“局部的 AuthenticationManagerBuilder”来生成 AuthenticationManager 的,“全局的 AuthenticationManagerBuilder”将会负责生成一个“全局的 AuthenticationManager”,“局部的 AuthenticationManagerBuilder”将会生成一个 HttpSecurity 私有的“局部的 AuthenticationManager”;“全局的 AuthenticationManagerManager”是作为 parent auth manager 赋值给所有的“局部的 AuthenticationManagerBuilder”,当“局部的 AuthenticationManager”验证失败以后,将会使用“全局的 AuthenticationManagerManager”来进行验证;

交互关系

同样,笔者将千言万语汇聚成了下面这样的一张图,这张图包含了配置和构建的两部分逻辑;

  • 配置和加载的逻辑
    先将焦点汇聚在左上角,WebConfiguration 通过 @EnableWebSecurity 注解加载用户的配置类 WebSecurityConfig 和 RestSecurityConfig,同时初始化 WebSecurity 单实例对象;此部分逻辑参考 Spring Security 源码分析九:Java config - WebSecurity & @EnableWebSecurity

  • 构建逻辑
    将焦点放置到右侧和右下侧,从步骤 ❸ 开始,通过调用 WebSecurity.build() 方法启动 WebSecurity 的构建流程;

    WebSecurity init process

    该 init process 的过程中,会初始化 HttpSecurity 并加载用户通过 WebSecurityConfig 和 RestSecurityConfig 自定义的有关 HttpSecurity 的配置,同时会初始化 Local Authentication Manager Builder

    WebSecurity configure process

    提供了扩展 WebSecurity 对象的入口;一般而言,无需进行扩展;

    WebSecurity perform build process

    此步骤的最终目的是创建出 FilterChianProxy 对象,不过要能创建出 FilterChianProxy 的前提是执行 HttpSecurity 创建出对应的 SecurityFilterChain;所以,此步骤中的逻辑是最复杂的,对应执行流程第 ❺ 步;首先遍历 HttpSecurity 对象,然后依次对其执行构建动作,构建过程中,分别执行 hConfigurers 的 init、configure 和 perform build 流程,这里尤其重要的是 configure 的流程,一方面将构建安全链的 Filter 对象(见步骤 ❼ ),另外一方法,在执行 pre configure 的时候(见步骤 ❻ ),将会创建出 Authentication Manager;最后,由 HttpSecurity 的 perform build 流程返回 SecurityFilterChain 对象,并最终由 WebSecurity 的 perform build 流程生成 SecurityChainProxy 对象并返回;

写在最后

WebConfiguration 起到的作用就是初始化 WebSecurity 以及相关对象,并串联 WebSecurity 与用户的自定义配置类 WebSecurityConfigurer;然后,通过 WebSecurity 的构建流程生成最为重要的 FilterChainProxy 对象,在构建的过程中,又通过执行 HttpSecurity 和 AuthenticationManagerBuilder 的构建流程分别生成对应的 SecurityFilterChain 和 AuthenticationManager 对象;而这里所构造出来的相关对象实例之间的对应关系为 FilterChainProxy 与 SecurityFilterChain 是一对多的关系,而 SecurityFilterChain 与 AuthenticationManager 是一对一的关系,且都是聚合关系