【Spring Security OAuth2】- Security控制授权- Spring Security源码解析

已于 2024-11-24 09:09:33 修改
阅读量1.2k 收藏 11
点赞数 32
CC 4.0 BY-SA版权
分类专栏: Spring Security OAuth2专题 文章标签: spring OAuth2 spring security
于 2024-10-11 08:11:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/142843151

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实! 

Spring Security源码解析

202306181908214761.png

spring security的基本原理之前讲解过了。这章主要看后面两个:

  • FilterSecurityInterceptor

    决定该用户是否有权限访问指定的资源

  • ExceptionTranslationFilter

    异常处理,如果不能访问,则处理FilterSecurityInterceptor中抛出的异常

AnonymousAuthenticationFilter

AnonymousAuthenticationFilter : 匿名过滤器,位置固定,前面所有的都走完之后,会经过该过滤器

该过滤器之前自己也是备受折磨,特别是在调试oath2的时候,在没有正确开始basic登录的时候,
就一直在抱怨,为什么会走这个呢?

看看最主要的源码:

    public AnonymousAuthenticationFilter(String key) {
      // 固定了用户信息和角色
      this(key, "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
    }
    
    public AnonymousAuthenticationFilter(String key, Object principal,
        List<GrantedAuthority> authorities) {
      Assert.hasLength(key, "key cannot be null or empty");
      Assert.notNull(principal, "Anonymous authentication principal must be set");
      Assert.notNull(authorities, "Anonymous authorities must be set");
      this.key = key;
      this.principal = principal;  // 用户信息不是一个对象,是一个字符串
      this.authorities = authorities;
    }
    
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    
      // 如果之前没有身份认证
      // 则创建一个 AnonymousAuthenticationToken
      // 也就是说到达 FilterSecurityInterceptor 中的时候一定有一个身份信息
      if (SecurityContextHolder.getContext().getAuthentication() == null) {
        SecurityContextHolder.getContext().setAuthentication(
            createAuthentication((HttpServletRequest) req));
    
        if (logger.isDebugEnabled()) {
          logger.debug("Populated SecurityContextHolder with anonymous token: '"
              + SecurityContextHolder.getContext().getAuthentication() + "'");
        }
      }
      else {
        if (logger.isDebugEnabled()) {
          logger.debug("SecurityContextHolder not populated with anonymous token, as it already contained: '"
              + SecurityContextHolder.getContext().getAuthentication() + "'");
        }
      }
    
      chain.doFilter(req, res);
    }
    
    protected Authentication createAuthentication(HttpServletRequest request) {
      AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key,
          principal, authorities);
      auth.setDetails(authenticationDetailsSource.buildDetails(request));
    
      return auth;
    }

FilterSecurityInterceptor

看源码技巧:找准一个关键入口,然后分析调用关系和类图

  • FilterSecurityInterceptor

  • AccessDecisionManager 管理什么呢?AccessDecisionVoter :投票者

    就是用来一系列的判定,是否可以进行访问什么的

    • AffirmativeBased 只要有一票否决则不能访问 (默认使用)

      在未登录的时候用的是只要有一个拒绝则不能访问,在登录后,只要有一个允许则放行。。有点懵逼

      </
最低0.47元/天 解锁文章
博客
Spring基础(1):两个概念
11-06 536
上帝说,要有光。于是特斯拉搞出了交流电。Java说,万物皆对象。但是Spring另外搞了BeanDefinition...什么BeanDefinition呢?其实它是bean定义的一个顶级接口:正如BeanDefinition接口的注释所言:一个BeanDefinition是用来描述一个bean实例的哎呀卧槽,啥玩意啊。描述一个bean实例?我咋想起了Class类呢。其实,两者并没有矛盾。
博客
(一)Spring源码解析:容器的基本实现
11-06 412
是整个bean加载的核心部分,是Spring注册及加载bean的默认实现。集成自DefaultListableBeanFactory,不同的地方是在XmlBeanFactory中使用了自定义的XML读取器,实现了个性化的BeanDefinitionReader读取。
博客
再见,curder!
06-17 280
大家好,我是不耍嘴皮子,只讲java底层源码课的码炫课堂创始人码哥,全网唯一讲解及手写各大框架及中间件源码的极客,上班之余做源码课只是我的爱好,拯救水深火热中的curder屌丝们才是我的使命!众所周知,2022年毕业生已达1076万人,不管你是应届的或者非应届,此时此刻这就是与你竞争的庞大人群,请问你的优势在哪里?北大博士去当城管,清大硕士去三,四线城市街道办,人都已经被逼到这个份儿上了。。。有人说你又在贩卖焦虑了,其实我本无意贩卖焦虑,但是焦虑又是客观存在的,难到我不贩卖焦虑你就不焦虑了吗?在这个人均焦虑
博客
说volatile和MESI协议没有关系的水货们请闭嘴吧
03-19 2606
一直很想说这个问题,垃圾培训机构已经把韭菜们带偏了,网上千篇一律的说volatile和MESI协议没有关系,那究竟有没有关系呢??坐好认真听!1、缓存一致性问题  由于存储设备与处理器的运算速度差距很大,计算机系统在内存与处理器之间增加了一层高速缓存,将运算需要的数据复制到缓存中,让运算能快速进行。          有了高速缓存的存在以后,每个CPU的处理过程是, 先将计算需要用到的数据缓存在CPU高速缓存中,在CPU 进行计算时,直接从高速缓存中读取数据并且在计算完成 之后写入到缓存
博客
3位1体学习法(smart哥)
07-10 7135
3位1体学习法(码农最正确的学习姿势)文章目录3位1体学习法(码农最正确的学习姿势)前言讲师介绍何为3位1体打法?1、第1位2、第2位3、第3位结语前言3位1体这个概念来源于刘慈欣的科幻小说《三体》,smart哥本人非常喜欢这部小说,感叹作者作为一个技术狂,他这种技术狂特有的冷酷具有非凡的吸引力,更关键的是他天马行空的想象。基于这个概念smart哥独创了3位1体的码农学习法,该学习法是码农在浩瀚的技术海洋中的指南针,面对浩瀚的技术和自己有限的职业生涯,那么码农如何自处?35岁后被淘汰还是继续保持优良
博客
springboot-2.3.x最新版源码阅读环境搭建-基于gradle构建(全网首发)
07-09 1万+
springboot-2.3.x最新版源码阅读环境搭建-基于gradle构建(全网首发)文章目录springboot-2.3.x最新版源码阅读环境搭建-基于gradle构建(全网首发)一、前言二、环境准备三、下载源码四、开始构建五、源码测试六、问题及解决方案结语码炫课堂技术交流q群:963060292一、前言跟很多小伙伴聊天,发现一个严重的问题,很多小伙伴横向发展的貌似很不错,很多技术都能说出一二,但是如果在某个技术上深挖一下就不行了,问啥啥不会。就拿springboot来说,很多同学止步于spri
博客
spring5.3.x源码阅读环境搭建
07-08 1万+
spring5.3.x源码阅读环境搭建-gradle构建编译文章目录spring5.3.x源码阅读环境搭建-gradle构建编译一、依赖工具二、下载源码三、开始构建四、编译源码五、源码测试六、问题及解决方案附:spring源代码各个模块作用结语码炫课堂技术交流q群:963060292Spring系列生态十分丰富,涉及到各个方面。但是作为Spring生态的核心基础Spring,是最重要的环节,需要理解Spring的设计原理,就需要深度研读Spring源码。本文着重阐述当前最新版spring5.3.x的
博客
CLion调试redis6源码(全网首发)
06-30 1万+
CLion调试redis6源码(全网首发)文章目录CLion调试redis6源码(全网首发)背景一、安装配置cygwin二、安装clion三、clion中导入redis源码四、修改CMakeLists.txt文件五、编译&调试redis6源码六、注意点背景clion使用cmake来管理编译redis源码,而redis源码本身使用原生的make,因此直接将redis源码导入clion无法直接运行,需要配置cmake。写c程序大体步骤为:1).用编辑器编写源代码,如.c文件。2).用编译器编
博客
【面试题】研究过tomcat的NioEndpoint源码吗?请阐述下Reactor多线程模型在tomcat中的实现。
06-07 6474
tomcat的底层网络NIO通信基于主从Reactor多线程模型。它有三大线程组分别用于处理不同的逻辑:Acceptor线程:等待和接收客户端连接。在接收到连接后,创建SocketChannel并将其注册到poller线程。poller线程:将SocketChannel放到selector上注册读事件,轮询selector,获取就绪的SelectionKey,并将就绪的SelectionKey(或SocketChannel)委托给工作线程。工作线程:执行真正的业务逻辑。备注:Accep...
博客
tomcat堆栈中10大常见线程详解
06-06 1万+
Tomcat作为一个服务器来讲,必然运行着很多的线程,而每一个线程究竟是干什么的,这个需要非常的清楚,无论是打印断点,还是通过jstack进行线程栈分析,这都是必须要掌握的技能。 本文带你基于Tomcat7,8,9的版本,识别Tomcat堆栈中的线程。1、main线程main线程是tomcat的主要线程,其主要作用是通过启动包来对容器进行点火:main线程一路启动了Catalina,StandardServer[8005],StandardService[Catalina],Standar.
博客
老大说了,再用lombok就给我收拾东西走人!
06-06 843
我承认,Lombok是一个很不错的Java库,它可以让你在少写代码的同时耍耍酷,简单的几个注解,就可以干掉一大片模板代码。但是,所有的源代码很多时候是用来阅读的,只有很少的时间是用来执行的(你可以细品这句话)。一年以前,我和大多数人都认为Lombok的出现会让Java的编码体验会更好,并极力的在我的团队中推荐使用Lombok。一年以后,我开始对此产生顾虑,尤其是在我准备为开源的博客系统Una-Boot升级Java版本时,我才意识到Lombok自己掉入了一个戏法陷阱。在我进一步分析其源代码并理解相关注解的
博客
阿里《Java开发手册》中的 1 个bug!
06-06 662
本来打算写一篇《阿里巴巴为什么不允许日志输出时,使用字符串拼接?》的文章,主要是想从性能方面来说此问题,可在文章写到一半进行性能测试时,却发现了一个异常问题,实际测试的结果和手册上描述的结果是截然相反的!天撸了,怎么会发生这种事情?此时我的内心是拒绝的,因为文章已经写了一半了啊,这让我瞬间陷入了尴尬的境地。阿里巴巴的《Java开发手册》泰山版(最新版)是这样描述的,它在第二章第三小节的第 4 条规范中指出:【强制】在日志输出时,字符串变量之间的拼接使用占位符的方式。说明:因为 String
博客
【悟思维】项目架构决定性能?优秀的架构胜过一万次的调优
06-05 1030
这个问题很容易理解,一个单节点(一台应用服务器+一台数据库服务器)的系统架构,任凭你使出浑身解数来调优也不可能让系统达到百万级并发,别说百万级了,上万并发都不可能。不说其他的,在一个性能相对不错的物理机上,mysql最多也就能承载3500-4500的QPS,你说你能调优调到上万并发??在目前来看如果不借助于其他组件或者其他技术手段是不太可能的。首先大家要明白一个最底层的逻辑,所有的性能问题归根结底绝大多数都是要解决IO的读写性能问题。我们在线程模型上面孜孜不倦的追求,从BIO到NIO,再到react
博客
【学心法】如何从源码角度体会作者的设计思想?
06-05 1668
我们在做项目时候一般会遇到下面的问题:问题一是不知道如何去设计,比如刚入职场时,来一个需求需做概要设计,不知如何下手,不得不去看当前系统类似需求是如何设计的,然后仿照去设计。 问题二是设计的时候,考虑问题不周全,相比职场新手,这类人对一个需求依靠自己的经验已经能够拿出一个概要设计,但是设计中经常会遗漏一些异常细节,比如使用多线程有界队列执行任务,遇到机器宕机了,如果队列里面的任务不存盘的话,那么机器下次启动时候这些任务就丢失了。对于这些问题,说到底主要是因为经验不够,而经验主要从项目实践中积累,所以
博客
老大说了,即使你是女程序员,这性能调优你也得拿下!
06-04 382
【悟思维】项目架构决定性能?优秀的架构胜过一万次的调优这个问题很容易理解,一个单节点(一台应用服务器+一台数据库服务器)的系统架构,任凭你使出浑身解数来调优也不可能让系统达到百万级并发,别说百万级了,上万并发都不可能。不说其他的,在一个性能相对不错的物理机上,mysql最多也就能承载3500-4500的QPS,你说你能调优调到上万并发??在目前来看如果不借助于其他组件或者其他技术手段是不太可能的。首先大家要明白一个最底层的逻辑,所有的性能问题归根结底绝大多数都是要解决IO的读写性能问题。我们在线
博客
【练技术】如何通过精研线程模型,cpu调度,内存模型等性能优化核心?
06-04 1131
性能优化无非就是线程,cpu调度,以及内存之间的配合,这三者中任何一个达到极限,都会造成系统整体性能下降,甚至瘫痪。线程必然要由cpu调度才能活动起来,那么线程的活动也必须有自己的地盘,那么这个地盘就是内存区域。线程数越多,需要cpu的调度能力越强,需要的内存也就越大,那么线程不可能无限增大,总有个极限,当到达极限之后,系统性能将呈现抛物线形的状态急转往下。所以我们必须不能让cpu等资源达到这个极限值,一般在85%左右就可以了。intel的工程师曾今说过,我们为什么要让cpu达到100%的性能呢,能
博客
多方面,全访问的剖析Tomcat十大线程和四大通道
06-03 3896
tomcat服务器在JavaEE项目中使用率非常高,所以在生产环境对tomcat的优化也变得非常重要了。本专题课在调优压测时我们选择tomcat9,那我们为什么选择9版本呢?因为9的性能更高,更稳定。在源码研究演示过程中我会选择tomcat7,8,9三套源码进行比较演示性能的差异。一、Tomcat配置优化对于tomcat的优化,主要是从2个方面入手,一是,tomcat自身的配置,另一个是tomcat所运行的jvm虚拟机的调优。1、部署安装tomcat91、下载并安装:https:/.
博客
加密与安全_深入了解哈希算法
03-24 1201
哈希算法(Hash)又称摘要算法(Digest)。哈希算法是一种重要的加密算法,其核心思想是将任意长度的数据映射为固定长度的哈希值,这个哈希值通常用于验证数据的完整性、索引数据和加速数据查找。在Java中,hashCode()方法是一种哈希算法的应用。相同的输入一定会得到相同的输出不同的输入大概率得到不同的输出。在实际编程中,我们经常需要根据对象的哈希值来进行数据存储和查找,比如使用哈希表等数据结构。为了确保正确性,如果一个类覆写了equals()方法,就必须同时覆写hashCode()
博客
加密与安全_探索常用编码算法
03-24 1062
在计算机系统中,加密与安全是至关重要的概念。想象一下,当B想要发送一封邮件给A时,邮件可能在传送过程中遭到黑客的窃听,这就需要防止信息泄露。此外,黑客还可能篡改邮件内容,因此A需要确保她能够辨别出邮件是否被篡改。最后,黑客可能会冒充B发送虚假邮件给A,这需要A有能力辨别真伪。防止窃听防止篡改防止伪造计算机加密技术旨在实现上述目标。现代计算机密码学建立在严格的数学理论基础上,并逐渐发展成为一门科学。对于大多数开发者来说,设计安全的加密算法是一项艰巨的任务,验证加密算法的安全性则更加困难。
博客
PKI - 借助Nginx实现_客户端使用CA根证书签发客户端证书
03-24 614
这个命令生成了一个 2048 位长度的 RSA 私钥,并将其保存到文件中。这个私钥将用于后续创建自签名的根证书。这个命令使用上一步生成的私钥 () 来生成一个自签名的根证书。-x509:生成一个自签名的 X.509 格式证书。-new:创建一个新的证书请求。-nodes:不使用密码加密密钥。:指定之前生成的私钥文件作为证书的密钥。:指定证书的主题信息。在这里,表示证书的通用名称 (Common Name) 为client-ca。-days 5000:指定证书的有效期为 5000 天。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值