中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Spring Security中WebSecurity和HttpSecurity的關系是什么

發布時間:2021-09-22 10:54:20 來源:億速云 閱讀:256 作者:小新 欄目:web開發

這篇文章給大家分享的是有關Spring Security中WebSecurity和HttpSecurity的關系是什么的內容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。

前幾天有粉絲私信我:WebSecurity和HttpSecurity啥關系?當時給我問住了,我大概只知道它們之間的關系類似TypeScript和JavaScript的關系,但是具體的細節確實不太清楚。因此就在周末簡單研究了一下。

HttpSecurity的本質

前幾天在Spring Security 5.4的新玩法中介紹了一種新的配置HttpSecurity的方式:

@Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception {     return http             .antMatcher("/**")             .authorizeRequests(authorize -> authorize                     .anyRequest().authenticated()             )             .build(); }

其實就能夠知道HttpSecurity是用來構建包含了一系列過濾器鏈的過濾器SecurityFilterChain,平常我們的配置就是圍繞構建SecurityFilterChain進行。還得拿出這張老圖:

Spring Security中WebSecurity和HttpSecurity的關系是什么

安全過濾鏈

從上面這個圖中可以看出構建好的還要交給FilterChainProxy來代理,是不是有點多此一舉?

WebSecurity的本質

在有些情況下這種確實多此一舉, 不過更多時候我們可能需要配置多個SecurityFilterChain來實現對多種訪問控制策略。

Spring Security中WebSecurity和HttpSecurity的關系是什么

多個SecurityFilterChain

為了精細化的管理多個SecurityFilterChain的生命周期,搞一個統一管理這些SecurityFilterChain的代理就十分必要了,這就是WebSecurity的意義。下面是WebSecurity的build方法的底層邏輯:

@Override protected Filter performBuild() throws Exception {    Assert.state(!this.securityFilterChainBuilders.isEmpty(),          () -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "                + "Typically this is done by exposing a SecurityFilterChain bean "                + "or by adding a @Configuration that extends WebSecurityConfigurerAdapter. "                + "More advanced users can invoke " + WebSecurity.class.getSimpleName()                + ".addSecurityFilterChainBuilder directly");     // 被忽略請求的個數 和 httpscurity的個數 構成了過濾器鏈集合的大小    int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();    List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);     // 初始化過濾器鏈集合中的 忽略請求過濾器鏈         for (RequestMatcher ignoredRequest : this.ignoredRequests) {       securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));    }     // 初始化過濾器鏈集合中的 httpsecurity定義的過濾器鏈    for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {       securityFilterChains.add(securityFilterChainBuilder.build());    }    FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);    if (this.httpFirewall != null) {        // 請求防火墻       filterChainProxy.setFirewall(this.httpFirewall);    }    if (this.requestRejectedHandler != null) {        // 請求拒絕處理器       filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);    }    filterChainProxy.afterPropertiesSet();     Filter result = filterChainProxy;    if (this.debugEnabled) {       this.logger.warn("\n\n" + "********************************************************************\n"             + "**********        Security debugging is enabled.       *************\n"             + "**********    This may include sensitive information.  *************\n"             + "**********      Do not use in a production system!     *************\n"             + "********************************************************************\n\n");       result = new DebugFilter(filterChainProxy);    }    this.postBuildAction.run();    return result; }

從上面中的源碼可以看出,WebSecurity用來構建一個名為springSecurityFilterChain的Spring  BeanFilterChainProxy  。它的作用是來定義那些請求忽略安全控制,那些請求必須安全控制,在合適的時候清除SecurityContext以避免內存泄漏,同時也可以用來定義請求防火墻和請求拒絕處理器,另外我們開啟Spring  Seuciry Debug模式也是這里配置的。

同時還有一個作用可能是其它文章沒有提及的,FilterChainProxy是Spring Security對Spring  framework應用的唯一出口,然后通過它與一個Servlet在Spring的橋接代理DelegatingFilterProxy結合構成Spring對Servlet體系的唯一出口。這樣就將Spring  Security、Spring framework、Servlet API三者隔離了起來。

感謝各位的閱讀!關于“Spring Security中WebSecurity和HttpSecurity的關系是什么”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

寻乌县| 和政县| 齐齐哈尔市| 祁门县| 磴口县| 玛曲县| 翼城县| 建阳市| 新绛县| 平昌县| 定西市| 镇安县| 垫江县| 定结县| 股票| 宿州市| 台山市| 玉山县| 霍山县| 凤庆县| 滨州市| 古浪县| 突泉县| 右玉县| 冕宁县| 武汉市| 宣城市| 凤阳县| 赤城县| 泰宁县| 兴山县| 三亚市| 凌云县| 浪卡子县| 富宁县| 红原县| 临汾市| 犍为县| 金乡县| 长阳| 兴安县|