SpringSecurity中WebSecurity和HttpSecurity的关系是什么

这篇文章给大家分享的是有关Spring Security中WebSecurity和HttpSecurity的关系是什么的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。

让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:国际域名空间、虚拟主机、营销软件、网站建设、平罗网站维护、网站推广。

前几天有粉丝私信我:WebSecurity和HttpSecurity啥关系?当时给我问住了,我大概只知道它们之间的关系类似TypeScript和JavaScript的关系,但是具体的细节确实不太清楚。因此就在周末简单研究了一下。

HttpSecurity的本质

前几天在Spring Security 5.4的新玩法中介绍了一种新的配置HttpSecurity的方式:

@Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception {     return http             .antMatcher("/**")             .authorizeRequests(authorize -> authorize                     .anyRequest().authenticated()             )             .build(); }

其实就能够知道HttpSecurity是用来构建包含了一系列过滤器链的过滤器SecurityFilterChain,平常我们的配置就是围绕构建SecurityFilterChain进行。还得拿出这张老图:

Spring Security中WebSecurity和HttpSecurity的关系是什么

安全过滤链

从上面这个图中可以看出构建好的还要交给FilterChainProxy来代理,是不是有点多此一举?

WebSecurity的本质

在有些情况下这种确实多此一举, 不过更多时候我们可能需要配置多个SecurityFilterChain来实现对多种访问控制策略。

Spring Security中WebSecurity和HttpSecurity的关系是什么

多个SecurityFilterChain

为了精细化的管理多个SecurityFilterChain的生命周期,搞一个统一管理这些SecurityFilterChain的代理就十分必要了,这就是WebSecurity的意义。下面是WebSecurity的build方法的底层逻辑:

@Override protected Filter performBuild() throws Exception {    Assert.state(!this.securityFilterChainBuilders.isEmpty(),          () -> "At least one SecurityBuilder needs to be specified. "                + "Typically this is done by exposing a SecurityFilterChain bean "                + "or by adding a @Configuration that extends WebSecurityConfigurerAdapter. "                + "More advanced users can invoke " + WebSecurity.class.getSimpleName()                + ".addSecurityFilterChainBuilder directly");     // 被忽略请求的个数 和 httpscurity的个数 构成了过滤器链集合的大小    int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();    List securityFilterChains = new ArrayList<>(chainSize);     // 初始化过滤器链集合中的 忽略请求过滤器链         for (RequestMatcher ignoredRequest : this.ignoredRequests) {       securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));    }     // 初始化过滤器链集合中的 httpsecurity定义的过滤器链    for (SecurityBuilder securityFilterChainBuilder : this.securityFilterChainBuilders) {       securityFilterChains.add(securityFilterChainBuilder.build());    }    FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);    if (this.httpFirewall != null) {        // 请求防火墙       filterChainProxy.setFirewall(this.httpFirewall);    }    if (this.requestRejectedHandler != null) {        // 请求拒绝处理器       filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);    }    filterChainProxy.afterPropertiesSet();     Filter result = filterChainProxy;    if (this.debugEnabled) {       this.logger.warn("\n\n" + "********************************************************************\n"             + "**********        Security debugging is enabled.       *************\n"             + "**********    This may include sensitive information.  *************\n"             + "**********      Do not use in a production system!     *************\n"             + "********************************************************************\n\n");       result = new DebugFilter(filterChainProxy);    }    this.postBuildAction.run();    return result; }

从上面中的源码可以看出,WebSecurity用来构建一个名为springSecurityFilterChain的Spring  BeanFilterChainProxy  。它的作用是来定义那些请求忽略安全控制,那些请求必须安全控制,在合适的时候清除SecurityContext以避免内存泄漏,同时也可以用来定义请求防火墙和请求拒绝处理器,另外我们开启Spring  Seuciry Debug模式也是这里配置的。

同时还有一个作用可能是其它文章没有提及的,FilterChainProxy是Spring Security对Spring  framework应用的唯一出口,然后通过它与一个Servlet在Spring的桥接代理DelegatingFilterProxy结合构成Spring对Servlet体系的唯一出口。这样就将Spring  Security、Spring framework、Servlet API三者隔离了起来。

感谢各位的阅读!关于“Spring Security中WebSecurity和HttpSecurity的关系是什么”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!


文章名称:SpringSecurity中WebSecurity和HttpSecurity的关系是什么
路径分享:http://pwwzsj.com/article/gdhhdi.html