安科网

spring security 源码解读 1

rionchen

rionchen

2011-01-25

关注 关注

这一阵子看到了security,很感兴趣。于是研究一下,我在javaeye上查了好多相关的文档,收益匪浅,从入门级的配置问题,到源码级的解读都非常不错,但是还要自己在亲自走一遍流程才踏实。

我看的security 3.0的源码,原因是 security 2.0 的源码没办法通过maven获取到 。

首先 security的控制内容有: url,method,session三种,我项目中用到的只有 url。下面就按url的流程来走。

思路:  使用filter,过滤所有的url 如 /* 这样,并且这个filter应在最前面,道理就不到说了吧。

     1》 security使用的 filter是 org.springframework.web.filter.DelegatingFilterProxy类,在spring-web jar中。

        @Override

protected void initFilterBean() throws ServletException {
		// If no target bean name specified, use filter name.
		if (this.targetBeanName == null) {
			this.targetBeanName = getFilterName();
		}

		// Fetch Spring root application context and initialize the delegate early,
		// if possible. If the root application context will be started after this
		// filter proxy, we'll have to resort to lazy initialization.
		synchronized (this.delegateMonitor) {
			WebApplicationContext wac = findWebApplicationContext();
			if (wac != null) {
				this.delegate = initDelegate(wac);
			}
		}
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		// Lazily initialize the delegate if necessary.
		Filter delegateToUse = null;
		synchronized (this.delegateMonitor) {
			if (this.delegate == null) {
				WebApplicationContext wac = findWebApplicationContext();
				if (wac == null) {
					throw new IllegalStateException("No WebApplicationContext found:
                                                no ContextLoaderListener registered?");
				}
				this.delegate = initDelegate(wac);
                                     // 该方法中的 代码
                                    //   Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);
			}
			delegateToUse = this.delegate;
		}

		// Let the delegate perform the actual doFilter operation.
		invokeDelegate(delegateToUse, request, response, filterChain);
	}

  这里需要注意一点 filter-name 必须为 springSecurityFilterChain,从DelegatingFilterProxy这个名字中可以猜到这只是个代理类(确实如此),当这个类执行时会去取得真正的filter类,这个类在spring容器中默认生成id为 springSecurityFilterChain,在3.0中 该filter 添加了一个 targetName 字段,可以从上面红色代码部分看到它的作用,因此可以通过指定targetName字段,来防止和项目中的其他filter冲突。

   接下来 该真正的 filterChain出场了,这个类是security事务相关的,应该在security包中。

于是 在 spring-security-web jar中发现了这个类:org.springframeword.security.web.FilterChainProxy ,进去看看可以看出这个就是我要找的类。(关于这一点我是从命名上看出来的,bean的id要和类名保持一致)。

 下班了 ,回去再继续添加。

==========================华丽丽的分界线====================================

吃完饭 ,继续。

FilterChainProxy 代码:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

     throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(request, response, chain);

        List<Filter> filters = getFilters(fi.getRequestUrl());

                            // 根据url 得到需要经过的filters

                            // 这里不是很明白,有知道的同学可以留言。

        if (filters == null || filters.size() == 0) { // 如果没有合适的 ,就继续进行filter

            if (logger.isDebugEnabled()) {

                logger.debug(fi.getRequestUrl() +

                        filters == null ? " has no matching filters" : " has an empty filter list");

            }

            chain.doFilter(request, response);

            return;

        }

        //如果有filter 就进行虚拟的filter链。这里并没有跳出容器的 filter链,

        // 当这个虚拟的filter链完成之后,就继续进行 容器的filter

        VirtualFilterChain virtualFilterChain = new VirtualFilterChain(fi, filters);

        virtualFilterChain.doFilter(fi.getRequest(), fi.getResponse());

    }

 接下来就该进行 filterChain了,在security中有好多的filter:

  CHANNEL_FILTER ChannelProcessingFilter 

CONCURRENT_SESSION_FILTER ConcurrentSessionFilter 

SESSION_CONTEXT_INTEGRATION_FILTER HttpSessionContextIntegrationFilter 

LOGOUT_FILTER LogoutFilter 

X509_FILTER X509PreAuthenticatedProcessigFilter 

PRE_AUTH_FILTER Subclass of AstractPreAuthenticatedProcessingFilter 

CAS_PROCESSING_FILTER CasProcessingFilter 

AUTHENTICATION_PROCESSING_FILTER AuthenticationProcessingFilter 

BASIC_PROCESSING_FILTER BasicProcessingFilter 

SERVLET_API_SUPPORT_FILTER classname 

REMEMBER_ME_FILTER RememberMeProcessingFilter 

ANONYMOUS_FILTER AnonymousProcessingFilter 

EXCEPTION_TRANSLATION_FILTER ExceptionTranslationFilter 

NTLM_FILTER NtlmProcessingFilter 

FILTER_SECURITY_INTERCEPTOR FilterSecurityInterceptor 

SWITCH_USER_FILTER SwitchUserProcessingFilter 。

下面我只分析了 AuthenticationProcessingFilter,这是登录认证处理filter

 public UsernamePasswordAuthenticationFilter() {

        super("/j_spring_security_check");// 这就是 登录验证的 url。

    }

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

        if (postOnly && !request.getMethod().equals("POST")) {

            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());

        }  // 只允许以post方法 进行认证,能防止一些简单的破解

        String username = obtainUsername(request);

        String password = obtainPassword(request);

        if (username == null) {

            username = "";

        }

        if (password == null) {

            password = "";

        }

        username = username.trim();

        // 只是将 username和password封装进去

        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

        // Place the last username attempted into HttpSession for views

        HttpSession session = request.getSession(false);

        if (session != null || getAllowSessionCreation()) {

            request.getSession().setAttribute(SPRING_SECURITY_LAST_USERNAME_KEY, TextEscapeUtils.escapeEntities(username));

        }

        // Allow subclasses to set the "details" property

        setDetails(request, authRequest);

        // 取得AuthenticationManager 进行认证

        return this.getAuthenticationManager().authenticate(authRequest);

    }

    从request中取得 username,password,封装进 UsernamePasswordAuthenticationToken 中,

    然后将username中写到 session中,这里对username去掉了首尾的空格

    然后调用 AuthenticationManager的 authenticate方法进行具体的认证操作。

     public Authentication doAuthentication(Authentication authentication) throws AuthenticationException {

        Class<? extends Authentication> toTest = authentication.getClass();

        AuthenticationException lastException = null;

        Authentication result = null;

        for (AuthenticationProvider provider : getProviders()) {

            if (!provider.supports(toTest)) {

                continue;

            }

            logger.debug("Authentication attempt using " + provider.getClass().getName());

            try {

                result = provider.authenticate(authentication);

                if (result != null) {

                    copyDetails(authentication, result);

                    break;

                }

            } catch (AccountStatusException e) {

                // SEC-546: Avoid polling additional providers if auth failure is due to invalid account status

                eventPublisher.publishAuthenticationFailure(e, authentication);

                throw e;

            } catch (AuthenticationException e) {

                lastException = e;

            }

        }

        if (result == null && parent != null) {

            // Allow the parent to try.

            try {

                result = parent.authenticate(authentication);

            } catch (ProviderNotFoundException e) {

                // ignore as we will throw below if no other exception occurred prior to calling parent and the parent

                // may throw ProviderNotFound even though a provider in the child already handled the request

            } catch (AuthenticationException e) {

                lastException = e;

            }

        }

        if (result != null) {

            if (eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {

                // Authentication is complete. Remove credentials and other secret data from authentication

                ((CredentialsContainer)result).eraseCredentials();

            }

            eventPublisher.publishAuthenticationSuccess(result);

            return result;

        }

        // Parent was null, or didn't authenticate (or throw an exception).

        if (lastException == null) {

            lastException = new ProviderNotFoundException(messages.getMessage("ProviderManager.providerNotFound",

                        new Object[] {toTest.getName()}, "No AuthenticationProvider found for {0}"));

        }

        eventPublisher.publishAuthenticationFailure(lastException, authentication);

        throw lastException;

    }

     这里对 用户进行认证,成功就发布成功事件,并返回。 失败就发布失败事件,并返回exception

    这里具体的认证过程还是不大熟悉,等再详细的看明白了 再细说。

     看明白了,authenticationManager可以有多个 provider如 默认的daoAuthenticationProvider 和  JaasAuth ,RememmberMeAuth 等

     下面说 daoAuthenticationProvider 中可以有  UserDetailsService ,

protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)

            throws AuthenticationException {

        UserDetails loadedUser;

        try {

            loadedUser = this.getUserDetailsService().loadUserByUsername(username);

        }

        catch (DataAccessException repositoryProblem) {

            throw new AuthenticationServiceException(repositoryProblem.getMessage(), repositoryProblem);

        }

        if (loadedUser == null) {

            throw new AuthenticationServiceException(

                    "UserDetailsService returned null, which is an interface contract violation");

        }

        return loadedUser;

    }

又通过 userDetailsService.loadUserByUsername()  ,当不存在时 ,返回null

    来得到 UserDetails 这样就能把 整个认证过程理顺了

   总结一下,  security 的认证过程能理顺了,对其衔接的过渡代码 还有些拿不准,还有 取得filters的 规则还不是很清楚,还要继续看下去。

   已经能理顺了, 在BeanId 类中发现了那些默认的字符串,这样 在spring 解析xml时,遇到 security的标签后,会将这个节点交给 security下的类来执行SecurityNamespaceHandler。

   这样就能保证security初始化的正常。包括生成默认的 FilterChainProxy 和添加一些依赖。生成 AuthenticationManager及其依赖的 ProviderManager 等。

  下次,继续看 url资源控制部分

源码 url

rionchen

rionchen

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Java+Linux,深入内核源码讲解多线程之进程

之前写了两篇文章,都是针对Linux这个系统的,为什么?我为什么这么喜欢写这个系统的知识,可能就是为了今天的内容多线程系列,现在多线程不是一个面试重点 啊,那如果你能深入系统内核回答这个知识点,面试官会怎么想?你会不会占据面试的主动权今天,我就开始一个系

瓜牛呱呱 2020-11-12

java Activiti工作流引擎 websocket即时聊天发图片文字 好友群组 SSM源码

工作流模块----------------------------------------------------------------------------------------------------------

柳木木的IT 2020-11-04

为Linux的cp和mv命令添加进度条

cp和mv可能是大家日常中使用最多的Linux命令之一。但是有一个突出的问题是这两个命令都不会有任何提示信息,这在操作大文件时候只能干等。可能大家对此已经习以为常,但是其实上也有解决解决方法,本文我们就介绍一个Gnu Coreutils的补丁Advanc

yifouhu 2020-11-02

彻底搞懂Node.js中的Require机制

自己手写实现一个 require,面试用也可以。require 函数是如何产生的?为什么在 module 中可以直接使用。Node.js 中 require 会出现循环引用问题吗?require 是同步还是异步的?exports 和 module.expo

lei0 2020-11-02

Vue源码中值得学习的方法

最近在深入研究vue源码,把学习过程中,看到的一些好玩的的函数方法收集起来做分享,希望对大家对深入学习js有所帮助。如果大家都能一眼看懂这些函数,说明技术还是不错的哦。

源码zanqunet 2020-10-28

SpringBoot外化配置源码解析:综合实战演示参数及配置

本章我们讲解了关于 Spring Boot 外化配置的原理及源码分析,本节我们通过一个具体的例子来简单演示在 Spring Boot 中如何使用不同类型的参数及配置。本节实例涉及的部分新知识点我们也会进行简单介绍和拓展。由于 Spring Boot 已经

源码zanqunet 2020-10-26

从Linux源码看Socket(TCP)的Listen及连接队列

从Linux源码看Socket的listen及连接队列前言笔者一直觉得如果能知道从应用到框架再到操作系统的每一处代码,是一件Exciting的事情。今天笔者就来从Linux源码的角度看下Server端的Socket在进行listen的时候到底做了哪些事情,

一叶梧桐 2020-10-14

Redux源码解析系列 (二)-- 牛鼻的createStore

在上一章了解了之后,我们正式进入源码解析~下面我来对其进行解析~前面说 createStore的作用就是:创建一个store来管理app的状态,唯一改变状态的方式就是dispatch一个action,最终返回一个object。reducer:就是通过传入当

码代码的陈同学 2020-10-14

Spring源码之Bean实例化基本原理

实例化Bean对象,这个时候Bean的对象是非常低级的,基本不能够被我们使用,因为连最基本的属性都没有设置,可以理解为连Autowired注解都是没有解析的;填充属性,当做完这一步,Bean对象基本是完整的了,可以理解为Autowired注解已经解析完毕,

lukezhong 2020-10-14

从Linux源码看Socket(TCP)的Bind

笔者一直觉得如果能知道从应用到框架再到操作系统的每一处代码,是一件Exciting的事情。今天笔者就来从Linux源码的角度看下Server端的Socket在进行bind的时候到底做了哪些事情。众所周知,一个Server端Socket的建立,需要socke

lzzyok 2020-10-10

Vue进阶面试必问,异步更新机制和nextTick原理

vue已是目前国内前端web端三分天下之一,同时也作为本人主要技术栈之一,在日常使用中知其然也好奇着所以然,另外最近的社区涌现了一大票vue源码阅读类的文章,在下借这个机会从大家的文章和讨论中汲取了一些营养,同时对一些阅读源码时的想法进行总结,出产一些文章

anchongnanzi 2020-09-21

通过源码理解Rarp协议(基于linux1.2.13)

本文转载自微信公众号「 编程杂技」,作者theanarkh 。rarp是通过mac地址查询ip的协议,主要用于有mac的主机,但是没有ip的情况。我们先看看rarp协议的协议定义。rarp协议的格式和arp协议是一样的,他们都是通过一种地址查询另外一种地址

clh0 2020-09-18

重新认识Typescript | Vue3源码系列

TypeScript is a typed superset of JavaScript that compiles to plain JavaScript. Any browser. Any host. Any OS. Open source.大致意思

changcongying 2020-09-17

Linux下Python3.6的安装及避坑指南

Python3在安装的过程中可能会用到各种依赖库,所以在正式安装Python3之前,需要将这些依赖库先行安装好。yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlit

星辰大海的路上 2020-09-13

源码分析C++的string的实现

我们平时使用C++开发过程中或多或少都会使用std::string,但您了解string具体是如何实现的吗,这里程序喵给大家从源码角度分析一下。string的常见的实现方式有几种?string类的内部结构是什么样子?string内部使用的内存是如何分配管理

abfdada 2020-08-26

干货ReentrantLock非公平锁源码分析

hello~各位读者好,我是鸭血粉丝。今天,阿粉带着大家来了解一下 ReentrantLock 锁的非公平锁的实现原理。默认是非公平锁。加锁的逻辑就比较复杂了,因为存在线程竞争。首先我们还是来看下 lock() 方法,因为最终是非公平的实现,所以直接看 N

mzy000 2020-08-24

学会反射后,我被录取了!

反射是一个非常重要的知识点,在学习Spring 框架时,Bean的初始化用到了反射,在破坏单例模式时也用到了反射,在获取标注的注解时也会用到反射······。当然了,反射在日常开发中,我们没碰到过多少,至少我没怎么用过。但面试是造火箭现场,可爱的面试官们

shenlanse 2020-08-18

搭建一对一直播平台,选择直播系统源码,这几点不容忽视

想要运营一个一对一直播平台,搭建网站是前提,而选择源码则是一切的基础,他关系到直播平台能否平稳运行。当然,源码的价格也都不便宜,便有很多想要自己开发平台的人,从各种渠道查找免费的直播源码使用,但使用这种源码往往会得不偿失。相比之下,找专业的服务商不仅能够保

zhujiangtaotaise 2020-08-18

关于Redis网络模型的源码详析

源码中包含四种多路复用函数库epoll、select、evport、kqueue。在程序编译时会根据系统自动选择这四种库其中之一。下面以epoll为例,来分析Redis的I/O模块的源码。Redis网络事件处理模块的代码都是围绕epoll那三个系统方法来写

xiemanR 2020-08-17

koa中间件核心(koa-compose)源码解读分析

最近经常使用koa进行服务端开发,迷恋上了koa的洋葱模型,觉得这玩意太好用了。而且koa是以精简为主,没有很多集成东西,所有的东西都需按需加载,这个更是太合我胃口了哈哈哈哈。基于对洋葱模型的热衷,所以对koa的洋葱模型进行一探究竟,不管是koa1还是ko

lert0 2020-08-16
rionchen

rionchen

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号