前言
本文是对 Spring Security Core 4.0.4 Release 进行源码分析的系列文章之一;
本博文是有关 Spring Security 的配置相关的内容的阶段性总结;
本文为作者的原创作品,转载需注明出处;
总结
概念设计
笔者将千言万语汇集成了上面这张图;从左至右,
DelegatingFilterProxy (FilterChainProxy)
DelegatingFilterProxy 是六大 Web Servlet Filters 之一;它的目的就是将不同的访问请求转发到对应的 SecurityFilterChain 上;比如,将 /web/** 请求转发到 SecurityFilterChain A 上,将 /foo/** 转发到 SecurityFilterChain B 上;SecurityFilterChain
从上述的概念图中可以清晰的看到,它主要是由两部分构成;Filters
Spring Security 的安全链正是由这样的一个个的 Filters 所构成的;比如笔者前文所介绍到的 CsrfFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter 等等;不过要注意 Filters 的几个特点,
① 这些 Filters 都是某个 SecurityFilterChain 的私有对象;
② 这些 Filters 都共享 Shared Objects 中所缓存的对象实例;
Shared Objects
顾名思义,被共享的对象,只是要注意的是,这些对象的作用范围都只针对某一个 SecurityFilterChain;其核心目就是将这些共享对象让 SecurityFilterChain 中的多个 Filters 对象所调用;典型的对象有 AuthenticationManagerBuilder、AuthenticationManager 等;
实现逻辑
各个实体之间的关联关系分析
上述的类图总结了 Spring Security 整体的核心实现逻辑;如图,分为三块,
WebSecurity
WebSecurity 的核心目的是依赖于用户自定义配置的 WebSecurityConfigurer 生成一个全局唯一的 SecurityChainProxy 对象;WebSecurity 与 SecurityChainProxy 是一对一的关系;HttpSecurity
HttpSecurity 的核心目的是依赖于用户自定义配置的 AbstractHttpConfigurer 而生成不同的 Filters,最终由这些 Filters 构成 SecurityFilterChain 对象并返回;也就是说,一个 HttpSecurity 将会生成一个 SecurityFilterChain 对象并返回;HttpSecurity 与 SecurityFilterChain 是一对一的关系;AuthenticationManagerBuilder
顾名思义,AuthenticationManagerBuilder 就是用来生成 AuthenticationManager 的,不过这里的逻辑并没有图示中的那么简单,在 Spring Security 源码分析九:Java config - AuthenticationManagerBuilder 一文中,笔者专门系统的分析了 AuthenticationManagerBuilder 生成 AuthenticationManager 的流程,它是通过一个“全局的 AuthenticationManagerBuilder”和一个“局部的 AuthenticationManagerBuilder”来生成 AuthenticationManager 的,“全局的 AuthenticationManagerBuilder”将会负责生成一个“全局的 AuthenticationManager”,“局部的 AuthenticationManagerBuilder”将会生成一个 HttpSecurity 私有的“局部的 AuthenticationManager”;“全局的 AuthenticationManagerManager”是作为 parent auth manager 赋值给所有的“局部的 AuthenticationManagerBuilder”,当“局部的 AuthenticationManager”验证失败以后,将会使用“全局的 AuthenticationManagerManager”来进行验证;
交互关系
同样,笔者将千言万语汇聚成了下面这样的一张图,这张图包含了配置和构建的两部分逻辑;
配置和加载的逻辑
先将焦点汇聚在左上角,WebConfiguration 通过 @EnableWebSecurity 注解加载用户的配置类 WebSecurityConfig 和 RestSecurityConfig,同时初始化 WebSecurity 单实例对象;此部分逻辑参考 Spring Security 源码分析九:Java config - WebSecurity & @EnableWebSecurity构建逻辑
将焦点放置到右侧和右下侧,从步骤 ❸ 开始,通过调用 WebSecurity.build() 方法启动 WebSecurity 的构建流程;WebSecurity init process
该 init process 的过程中,会初始化 HttpSecurity 并加载用户通过 WebSecurityConfig 和 RestSecurityConfig 自定义的有关 HttpSecurity 的配置,同时会初始化 Local Authentication Manager Builder;
WebSecurity configure process
提供了扩展 WebSecurity 对象的入口;一般而言,无需进行扩展;
WebSecurity perform build process
此步骤的最终目的是创建出 FilterChianProxy 对象,不过要能创建出 FilterChianProxy 的前提是执行 HttpSecurity 创建出对应的 SecurityFilterChain;所以,此步骤中的逻辑是最复杂的,对应执行流程第 ❺ 步;首先遍历 HttpSecurity 对象,然后依次对其执行构建动作,构建过程中,分别执行 hConfigurers 的 init、configure 和 perform build 流程,这里尤其重要的是 configure 的流程,一方面将构建安全链的 Filter 对象(见步骤 ❼ ),另外一方法,在执行 pre configure 的时候(见步骤 ❻ ),将会创建出 Authentication Manager;最后,由 HttpSecurity 的 perform build 流程返回 SecurityFilterChain 对象,并最终由 WebSecurity 的 perform build 流程生成 SecurityChainProxy 对象并返回;
写在最后
WebConfiguration 起到的作用就是初始化 WebSecurity 以及相关对象,并串联 WebSecurity 与用户的自定义配置类 WebSecurityConfigurer;然后,通过 WebSecurity 的构建流程生成最为重要的 FilterChainProxy 对象,在构建的过程中,又通过执行 HttpSecurity 和 AuthenticationManagerBuilder 的构建流程分别生成对应的 SecurityFilterChain 和 AuthenticationManager 对象;而这里所构造出来的相关对象实例之间的对应关系为 FilterChainProxy 与 SecurityFilterChain 是一对多的关系,而 SecurityFilterChain 与 AuthenticationManager 是一对一的关系,且都是聚合关系;