Spring Security 干货:WebSecurity和HttpSecurity的关系
前几天有粉丝私信我:WebSecurity
和HttpSecurity
啥关系?当时给我问住了,我大概只知道它们之间的关系类似TypeScript
和JavaScript
的关系,但是具体的细节确实不太清楚。因此就在周末简单研究了一下。
HttpSecurity的本质
前几天在Spring Security 5.4的新玩法中介绍了一种新的配置HttpSecurity
的方式:
@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
return http
.antMatcher("/**")
.authorizeRequests(authorize -> authorize
.anyRequest().authenticated()
)
.build();
}
其实就能够知道HttpSecurity
是用来构建包含了一系列过滤器链的过滤器SecurityFilterChain
,平常我们的配置就是围绕构建SecurityFilterChain
进行。还得拿出这张老图:
从上面这个图中可以看出构建好的还要交给FilterChainProxy
来代理,是不是有点多此一举?
WebSecurity的本质
在有些情况下这种确实多此一举, 不过更多时候我们可能需要配置多个SecurityFilterChain
来实现对多种访问控制策略。
为了精细化的管理多个SecurityFilterChain
的生命周期,搞一个统一管理这些SecurityFilterChain
的代理就十分必要了,这就是WebSecurity
的意义。下面是WebSecurity
的build
方法的底层逻辑:
@Override
protected Filter performBuild() throws Exception {
Assert.state(!this.securityFilterChainBuilders.isEmpty(),
() -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "
+ "Typically this is done by exposing a SecurityFilterChain bean "
+ "or by adding a @Configuration that extends WebSecurityConfigurerAdapter. "
+ "More advanced users can invoke " + WebSecurity.class.getSimpleName()
+ ".addSecurityFilterChainBuilder directly");
// 被忽略请求的个数 和 httpscurity的个数 构成了过滤器链集合的大小
int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);
// 初始化过滤器链集合中的 忽略请求过滤器链
for (RequestMatcher ignoredRequest : this.ignoredRequests) {
securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
}
// 初始化过滤器链集合中的 httpsecurity定义的过滤器链
for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {
securityFilterChains.add(securityFilterChainBuilder.build());
}
FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
if (this.httpFirewall != null) {
// 请求防火墙
filterChainProxy.setFirewall(this.httpFirewall);
}
if (this.requestRejectedHandler != null) {
// 请求拒绝处理器
filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);
}
filterChainProxy.afterPropertiesSet();
Filter result = filterChainProxy;
if (this.debugEnabled) {
this.logger.warn("\n\n" + "********************************************************************\n"
+ "********** Security debugging is enabled. *************\n"
+ "********** This may include sensitive information. *************\n"
+ "********** Do not use in a production system! *************\n"
+ "********************************************************************\n\n");
result = new DebugFilter(filterChainProxy);
}
this.postBuildAction.run();
return result;
}
从上面中的源码可以看出,WebSecurity
用来构建一个名为springSecurityFilterChain
的Spring BeanFilterChainProxy
。它的作用是来定义哪些请求忽略安全控制,哪些请求必须安全控制,在合适的时候清除SecurityContext
以避免内存泄漏,同时也可以用来定义请求防火墙和请求拒绝处理器,另外我们开启Spring Seuciry Debug模式也是这里配置的。
同时还有一个作用可能是其它文章没有提及的,FilterChainProxy
是Spring Security对Spring framework应用的唯一出口,然后通过它与一个Servlet在Spring的桥接代理DelegatingFilterProxy
结合构成Spring对Servlet体系的唯一出口。这样就将Spring Security、Spring framework、Servlet API三者隔离了起来。
总结
我们事实上可以认为,WebSecurity
是Spring Security对外的唯一出口,而HttpSecurity
只是内部安全策略的定义方式;WebSecurity
对标FilterChainProxy
,而HttpSecurity
则对标SecurityFilterChain
,另外它们的父类都是AbstractConfiguredSecurityBuilder
。掌握了这些基本上你就能知道它们之间的区别是什么了。
更多关于Spring Security的干货内容,欢迎关注公众号:码农小胖哥!
往期推荐
喜欢的这里报道
↘↘↘