_微风轻起
_微风轻起

SpringSecurity原理分析

距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。

​ 这一篇我们主要梳理下SpringSecurity的原理,SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。

一、SpringSecurity的基本原理

1、基本流程

SpringSecurity的基本原理就是应用了Tomcat容器的Filter,其的实现原理也就是类似于Tomcat本身的ApplicationFilterChain,也就是Filter执行链。

public final class ApplicationFilterChain implements FilterChain {
    		........
    private ApplicationFilterConfig[] filters = new ApplicationFilterConfig[0];
	...........
    public ApplicationFilterChain() {
    }

    public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
       		..........
        } else {
            this.internalDoFilter(request, response);
        }

    }

    private void internalDoFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
        if (this.pos < this.n) {
            ApplicationFilterConfig filterConfig = this.filters[this.pos++];

            try {
                Filter filter = filterConfig.getFilter();
               		.........
                } else {
                    filter.doFilter(request, response, this);
                }
				.........
        } else {
            try {
               		.........
                } else {
                    this.servlet.service(request, response);
                }
            } ........

            }
        }
    }

ApplicationFilterChain本身就是先执行所有的filters,执行完成后,其就会执行当前请求的Servlet,对于SpringMVC来说,就是DispatchSevelt

SpringSecurity原理分析_第1张图片

​ 这里也就是说,先执行Tomcat自身已有的Filter,然后再交给SpringSecurity定义的FilterChainProxy,然后其再去执行SpringSecurity用于认证、授权管理的各种Filter。这个就是SpringSecurity的核心原理。

2、默认注入的Filter列表

​ 我们看下默认引入spring-boot-starter-security后其会默认加入的Filter

SpringSecurity原理分析_第2张图片

3、FilterChainProxy

public class FilterChainProxy extends GenericFilterBean {
		..........
   private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
         throws IOException, ServletException {
     	......
      List<Filter> filters = getFilters(firewallRequest);
     		........
      VirtualFilterChain virtualFilterChain = new VirtualFilterChain(firewallRequest, chain, filters);
      virtualFilterChain.doFilter(firewallRequest, firewallResponse);
   }
	........

   private static final class VirtualFilterChain implements FilterChain {
      private final FilterChain originalChain;

      private final List<Filter> additionalFilters;
		..........
      @Override
      public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
         if (this.currentPosition == this.size) {
            if (logger.isDebugEnabled()) {
               logger.debug(LogMessage.of(() -> "Secured " + requestLine(this.firewalledRequest)));
            }
            // Deactivate path stripping as we exit the security filter chain
            this.firewalledRequest.reset();
            this.originalChain.doFilter(request, response);
            return;
         }
         this.currentPosition++;
         Filter nextFilter = this.additionalFilters.get(this.currentPosition - 1);
         if (logger.isTraceEnabled()) {
            logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(),
                  this.currentPosition, this.size));
         }
         nextFilter.doFilter(request, response, this);
      }

   }

二、SpringSecurity对FilterChain的组装初始化

​ 其的组装是借助于两个类来添加关于认证、授权相关的信息,由这些信息来添加FilterChain中需要的Filter,这两个类就是WebSecurityHttpSecurity

1、WebSecurity、HttpSecurity

​ 这两个类都是继承的AbstractConfiguredSecurityBuilder,以及实现SecurityBuilder接口(用于构建对象)。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6vdAJhTC-1638686018791)(F:\MarkDown-File\知识点资料\Untitled.assets\image-20211204221618377.png)]

public final class WebSecurity extends AbstractConfiguredSecurityBuilder<Filter, WebSecurity>
      implements SecurityBuilder<Filter>, ApplicationContextAware {

public final class HttpSecurity extends AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity>
      implements SecurityBuilder<DefaultSecurityFilterChain>, HttpSecurityBuilder<HttpSecurity> {

public interface SecurityBuilder<O> {

   O build() throws Exception;

}

2、AbstractConfiguredSecurityBuilder

public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>>
      extends AbstractSecurityBuilder<O> {

   private final Log logger = LogFactory.getLog(getClass());

   private final LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, List<SecurityConfigurer<O, B>>> configurers = new LinkedHashMap<>();

   private final List<SecurityConfigurer<O, B>> configurersAddedInInitializing = new ArrayList<>();

   private final Map<Class<?>, Object> sharedObjects = new HashMap<>();

​ 这个基类主要有两个成员变量需要关注,也就是configurers,与sharedObjectsconfigurers(SecurityConfigurer)这个主要是添加的各种配置信息。然后sharedObjects中是添加一些共享的类对象,然后需要就能取出来。例如:

private Map<Class<?>, Object> createSharedObjects() {
   Map<Class<?>, Object> sharedObjects = new HashMap<>();
   sharedObjects.putAll(this.localConfigureAuthenticationBldr.getSharedObjects());
   sharedObjects.put(UserDetailsService.class, userDetailsService());
   sharedObjects.put(ApplicationContext.class, this.context);
   sharedObjects.put(ContentNegotiationStrategy.class, this.contentNegotiationStrategy);
   sharedObjects.put(AuthenticationTrustResolver.class, this.trustResolver);
   return sharedObjects;
}

​ 而对于SecurityConfigurer的添加主要是使用apply()方法:

public <C extends SecurityConfigurer<O, B>> C apply(C configurer) throws Exception {
   add(configurer);
   return configurer;
}

3、SecurityConfigurer

public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> {

   void init(B builder) throws Exception;

   void configure(B builder) throws Exception;

}

​ 其主要是两个方法,一个就是先init产生化,另一个就是configure,也就是通过configure方法来设置SecurityBuilder中的内容。

下面我们来看下WebSecurity的构建,以及通过其来产生FilterChainProxy

@Autowired(required = false)
public void setFilterChainProxySecurityConfigurer(ObjectPostProcessor<Object> objectPostProcessor,
      @Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers)
      throws Exception {
   this.webSecurity = objectPostProcessor.postProcess(new WebSecurity(objectPostProcessor));
   if (this.debugEnabled != null) {
      this.webSecurity.debug(this.debugEnabled);
   }
  	..........
   for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
      this.webSecurity.apply(webSecurityConfigurer);
   }
   this.webSecurityConfigurers = webSecurityConfigurers;
}

​ 这里我们看到入参有webSecurityConfigurers(List,而我们当前有添加一个WebSecurityConfigurerAdapter, 其是继承与WebSecurityConfigurerAdapter,可以看到其是属于SecurityConfigurer,我们能通过其来进行对应的属性拓展

​ 然后就是通过this.webSecurity.apply(webSecurityConfigurer)来添加到configurers

4、构建Filter(FilterChainProxy)

@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {

   private WebSecurity webSecurity;
		.....
    private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;

	private List<SecurityFilterChain> securityFilterChains = Collections.emptyList();
   @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
   public Filter springSecurityFilterChain() throws Exception {
      	........
      return this.webSecurity.build();
   }

@Override
public final O build() throws Exception {
   if (this.building.compareAndSet(false, true)) {
      this.object = doBuild();
      return this.object;
   }
   throw new AlreadyBuiltException("This object has already been built");
}


public abstract class AbstractConfiguredSecurityBuilder>
      extends AbstractSecurityBuilder {
		...........
   @Override
   protected final O doBuild() throws Exception {
      synchronized (this.configurers) {
         this.buildState = BuildState.INITIALIZING;
         beforeInit();
         init();
         this.buildState = BuildState.CONFIGURING;
         beforeConfigure();
         configure();
         this.buildState = BuildState.BUILDING;
         O result = performBuild();
         this.buildState = BuildState.BUILT;
         return result;
      }
   }

​ 这里的init(),就是遍历configurers进行初始化:

private void init() throws Exception {
   Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
   for (SecurityConfigurer<O, B> configurer : configurers) {
      configurer.init((B) this);
   }
   for (SecurityConfigurer<O, B> configurer : this.configurersAddedInInitializing) {
      configurer.init((B) this);
   }
}

再通过configure()遍历执行configurersconfigurer方法:

private void configure() throws Exception {
   Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
   for (SecurityConfigurer<O, B> configurer : configurers) {
      configurer.configure((B) this);
   }
}

例如我们当前添加了自定义的SecurityConfiguration

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S5cLdHCB-1638686018792)(F:\MarkDown-File\知识点资料\Untitled.assets\image-20211204230515150.png)]

​ 这里还有beforeConfigure()方法,例如HttpSecurity对其的实现:

@Override
protected void beforeConfigure() throws Exception {
   setSharedObject(AuthenticationManager.class, getAuthenticationRegistry().build());
}

​ 添加认证管理器。对于SecurityConfigurer的实现类来说,其主要是设置填充各种类对象例如我们当前填充了``UserDetailsService,以及属于SpringSecurityFilter`。

5、HttpSecurity构建

​ 对于HttpSecurity的构建,其是在WebSecurity下构建的:

public abstract class WebSecurityConfigurerAdapter implements WebSecurityConfigurer<WebSecurity> {
		...........
   @Override
   public void init(WebSecurity web) throws Exception {
      HttpSecurity http = getHttp();
      web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
         FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);
         web.securityInterceptor(securityInterceptor);
      });
   }

​ 我们看到其是在前面doBuild()遍历调用init调用的。创建后,通过web.addSecurityFilterChainBuilder(http)添加到WebSecurity中。而定义对于HttpSecurity,其主要会通过SecurityConfigurer来添加各种Filter

public final class HttpSecurity extends AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity>
      implements SecurityBuilder<DefaultSecurityFilterChain>, HttpSecurityBuilder<HttpSecurity> {

   private final RequestMatcherConfigurer requestMatcherConfigurer;

   private List<OrderedFilter> filters = new ArrayList<>();

   private RequestMatcher requestMatcher = AnyRequestMatcher.INSTANCE;

   private FilterOrderRegistration filterOrders = new FilterOrderRegistration();

protected final HttpSecurity getHttp() throws Exception {
   if (this.http != null) {
      return this.http;
   }
	........
   AuthenticationManager authenticationManager = authenticationManager();
   this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
   Map<Class<?>, Object> sharedObjects = createSharedObjects();
   this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
   if (!this.disableDefaults) {
      applyDefaultConfiguration(this.http);
      ClassLoader classLoader = this.context.getClassLoader();
      List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader
            .loadFactories(AbstractHttpConfigurer.class, classLoader);
      for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
         this.http.apply(configurer);
      }
   }
   configure(this.http);
   return this.http;
}

​ 这里主要有三部:

1)、创建AuthenticationManager

AuthenticationManager authenticationManager = authenticationManager();

2)、再构建HttpSecurity

this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);

3)、填充HttpSecurity的配置内容。

this.http.apply(configurer);

​ 我们下面再具体梳理这个过程。

6、AuthenticationManager

1)、AuthenticationManager认证管理器

protected AuthenticationManager authenticationManager() throws Exception {
   if (!this.authenticationManagerInitialized) {
      configure(this.localConfigureAuthenticationBldr);
     	........
      else {
         this.authenticationManager = this.localConfigureAuthenticationBldr.build();
      }
      this.authenticationManagerInitialized = true;
   }
   return this.authenticationManager;
}

​ 其首先会调用configure(AuthenticationManagerBuilder)

2)、AuthenticationManagerBuilder设置授权管理器的内容

public class AuthenticationManagerBuilder
      extends AbstractConfiguredSecurityBuilder<AuthenticationManager, AuthenticationManagerBuilder>
      implements ProviderManagerBuilder<AuthenticationManagerBuilder> {

   private final Log logger = LogFactory.getLog(getClass());

   private AuthenticationManager parentAuthenticationManager;

   private List<AuthenticationProvider> authenticationProviders = new ArrayList<>();

   private UserDetailsService defaultUserDetailsService;

   private Boolean eraseCredentials;

   private AuthenticationEventPublisher eventPublisher;
    
    public InMemoryUserDetailsManagerConfigurer<AuthenticationManagerBuilder> inMemoryAuthentication()
			throws Exception {
		return apply(new InMemoryUserDetailsManagerConfigurer<>());
	}
    .........
    public <T extends UserDetailsService> DaoAuthenticationConfigurer<AuthenticationManagerBuilder, T> userDetailsService(
			T userDetailsService) throws Exception {
		this.defaultUserDetailsService = userDetailsService;
		return apply(new DaoAuthenticationConfigurer<>(userDetailsService));
	}
    .........
    @Override
	public AuthenticationManagerBuilder authenticationProvider(AuthenticationProvider authenticationProvider) {
		this.authenticationProviders.add(authenticationProvider);
		return this;
	}
    .......
    private <C extends UserDetailsAwareConfigurer<AuthenticationManagerBuilder, ? extends UserDetailsService>> C apply(
			C configurer) throws Exception {
		this.defaultUserDetailsService = configurer.getUserDetailsService();
		return super.apply(configurer);
	}

​ 这里你可以添加自己的AuthenticationProviderUserDetailsService,或使用自带的内存UserDetailsServiceinMemoryAuthentication(),其是通过SecurityConfigurer来添加HttpSecurity的属性。

例如我们当前的WebSecurityConfigurerAdapter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-91ipl8lM-1638686018793)(F:\MarkDown-File\知识点资料\Untitled.assets\image-20211204224354651.png)]

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

​ 其就设置UserDetailsService为我们自定义的。然后这里通过configure(AuthenticationManagerBuilder)拓展好AuthenticationManagerBuilder的一些属性后,下面就能通过来创建了。

3)、构建AuthenticationManager

localConfigureAuthenticationBldr.build()

这个build()同样是父类AbstractSecurityBuilder的方法:

@Override
protected final O doBuild() throws Exception {
   synchronized (this.configurers) {
      this.buildState = BuildState.INITIALIZING;
      beforeInit();
      init();
      this.buildState = BuildState.CONFIGURING;
      beforeConfigure();
      configure();
      this.buildState = BuildState.BUILDING;
      O result = performBuild();
      this.buildState = BuildState.BUILT;
      return result;
   }
}

​ 其也是这一串逻辑:

​ 这个也主要是SecurityConfigurer的方法调用,然后其的performBuild()方法

public class AuthenticationManagerBuilder
		extends AbstractConfiguredSecurityBuilder
		implements ProviderManagerBuilder {
		..........
    @Override
    protected ProviderManager performBuild() throws Exception {
       if (!isConfigured()) {
          this.logger.debug("No authenticationProviders and no parentAuthenticationManager defined. Returning null.");
          return null;
       }
       ProviderManager providerManager = new ProviderManager(this.authenticationProviders,
             this.parentAuthenticationManager);
       if (this.eraseCredentials != null) {
          providerManager.setEraseCredentialsAfterAuthentication(this.eraseCredentials);
       }
       if (this.eventPublisher != null) {
          providerManager.setAuthenticationEventPublisher(this.eventPublisher);
       }
       providerManager = postProcess(providerManager);
       return providerManager;
    }

​ 这里就讲其的authenticationProviders设置到ProviderManager, 也就是ProviderManager认证管理器,通过其的AuthenticationProvider也就是认证提供者来处理认证内容:

4)、ProviderManager认证处理管理器

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
   private AuthenticationEventPublisher eventPublisher = new NullEventPublisher();
   private List<AuthenticationProvider> providers = Collections.emptyList();
	.......
   private AuthenticationManager parent;
	..........
   public ProviderManager(List<AuthenticationProvider> providers, AuthenticationManager parent) {
      Assert.notNull(providers, "providers list cannot be null");
      this.providers = providers;
      this.parent = parent;
      checkState();
   }
	........
   @Override
   public Authentication authenticate(Authentication authentication) throws AuthenticationException {
      Class<? extends Authentication> toTest = authentication.getClass();
      AuthenticationException lastException = null;
      AuthenticationException parentException = null;
      Authentication result = null;
      Authentication parentResult = null;
      int currentPosition = 0;
      int size = this.providers.size();
      for (AuthenticationProvider provider : getProviders()) {
         if (!provider.supports(toTest)) {
            continue;
         }
        	.........
         try {
            result = provider.authenticate(authentication);
            if (result != null) {
               copyDetails(authentication, result);
               break;
            }
         }
         	........
      }
      if (result == null && this.parent != null) {
         // Allow the parent to try.
         try {
            parentResult = this.parent.authenticate(authentication);
            result = parentResult;
         }
        	........
         return result;
      }
			.........
      throw lastException;
   }

​ 我们看到这里是通过AuthenticationProvider来处理产生Authentication,也就是认证信息。

​ 而对于这里的AuthenticationProvider,一般是怎样添加的呢?对于AuthenticationManagerBuilder,当我们设置UserDetailsService的时候,其就会添加DaoAuthenticationConfigurer

public <T extends UserDetailsService> DaoAuthenticationConfigurer<AuthenticationManagerBuilder, T> userDetailsService(
      T userDetailsService) throws Exception {
   this.defaultUserDetailsService = userDetailsService;
   return apply(new DaoAuthenticationConfigurer<>(userDetailsService));
}

SpringSecurity原理分析_第3张图片

public abstract class AbstractDaoAuthenticationConfigurer<B extends ProviderManagerBuilder<B>, C extends AbstractDaoAuthenticationConfigurer<B, C, U>, U extends UserDetailsService>
      extends UserDetailsAwareConfigurer<B, U> {

   private DaoAuthenticationProvider provider = new DaoAuthenticationProvider();


   AbstractDaoAuthenticationConfigurer(U userDetailsService) {
      this.userDetailsService = userDetailsService;
      this.provider.setUserDetailsService(userDetailsService);
      if (userDetailsService instanceof UserDetailsPasswordService) {
         this.provider.setUserDetailsPasswordService((UserDetailsPasswordService) userDetailsService);
      }
   }
		.........
   @Override
   public void configure(B builder) throws Exception {
      this.provider = postProcess(this.provider);
      builder.authenticationProvider(this.provider);
   }

​ 其就会产生一个DaoAuthenticationProvider,同时在configure(B builder)方法的时候,就会将DaoAuthenticationProvider设置到ProviderManagerBuilder中。

SpringSecurity原理分析_第4张图片

public abstract class AbstractUserDetailsAuthenticationProvider
      implements AuthenticationProvider, InitializingBean, MessageSourceAware {

   protected final Log logger = LogFactory.getLog(getClass());

   protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();

   private UserCache userCache = new NullUserCache();

   private boolean forcePrincipalAsString = false;

   protected boolean hideUserNotFoundExceptions = true;

   private UserDetailsChecker preAuthenticationChecks = new DefaultPreAuthenticationChecks();

   private UserDetailsChecker postAuthenticationChecks = new DefaultPostAuthenticationChecks();

   private GrantedAuthoritiesMapper authoritiesMapper = new NullAuthoritiesMapper();

   protected abstract void additionalAuthenticationChecks(UserDetails userDetails,
         UsernamePasswordAuthenticationToken authentication) throws AuthenticationException;

   @Override
   public final void afterPropertiesSet() throws Exception {
      Assert.notNull(this.userCache, "A user cache must be set");
      Assert.notNull(this.messages, "A message source must be set");
      doAfterPropertiesSet();
   }

   @Override
   public Authentication authenticate(Authentication authentication) throws AuthenticationException {
      Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
            () -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
                  "Only UsernamePasswordAuthenticationToken is supported"));
      String username = determineUsername(authentication);
      boolean cacheWasUsed = true;
      UserDetails user = this.userCache.getUserFromCache(username);
      if (user == null) {
         cacheWasUsed = false;
         try {
            user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
         }
         catch (UsernameNotFoundException ex) {
          	.........
            throw new BadCredentialsException(this.messages
                  .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
         }
      }
      try {
         this.preAuthenticationChecks.check(user);
         additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
      }
      catch (AuthenticationException ex) {
         if (!cacheWasUsed) {
            throw ex;
         }
         user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
         this.preAuthenticationChecks.check(user);
         additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
      }
			.........
      return createSuccessAuthentication(principalToReturn, authentication, user);
   }
    ..........
   protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
	..........
   private PasswordEncoder passwordEncoder;

   private volatile String userNotFoundEncodedPassword;

   private UserDetailsService userDetailsService;
	.........

   @Override
   protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
         throws AuthenticationException {
      prepareTimingAttackProtection();
      try {
         UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
         if (loadedUser == null) {
            throw new InternalAuthenticationServiceException(
                  "UserDetailsService returned null, which is an interface contract violation");
         }
         return loadedUser;
      }
      catch (UsernameNotFoundException ex) {
         mitigateAgainstTimingAttack(authentication);
         throw ex;
      }
      catch (InternalAuthenticationServiceException ex) {
         throw ex;
      }
      catch (Exception ex) {
         throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
      }
   }

​ 这里首先是通过retrieveUser方法使用UserDetailsService来查询到对应的用户,如果查询不到就抛出UsernameNotFoundException,如果能查询到,就再来解析认证判断,例如用户是否被锁定,密码是否匹配等,如果失败,就抛出AuthenticationException认证失败。

this.preAuthenticationChecks.check(user);
additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);

@Override
public void check(UserDetails user) {
   if (!user.isAccountNonLocked()) {
      throw new LockedException(
            this.messages.getMessage("AccountStatusUserDetailsChecker.locked", "User account is locked"));
   }
   if (!user.isEnabled()) {
      throw new DisabledException(
            this.messages.getMessage("AccountStatusUserDetailsChecker.disabled", "User is disabled"));
   }
   if (!user.isAccountNonExpired()) {
      throw new AccountExpiredException(
            this.messages.getMessage("AccountStatusUserDetailsChecker.expired", "User account has expired"));
   }
   if (!user.isCredentialsNonExpired()) {
      throw new CredentialsExpiredException(this.messages
            .getMessage("AccountStatusUserDetailsChecker.credentialsExpired", "User credentials have expired"));
   }
}

​ 而对于AuthenticationException,也就是认证失败,我们看到这个异常是在接口控制的,所以一定要处理。

public interface AuthenticationProvider {

   Authentication authenticate(Authentication authentication) throws AuthenticationException;

​ 拿我们常见的UsernamePasswordAuthenticationFilter,也就是账密登录的Filter

SpringSecurity原理分析_第5张图片

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {
    	.............
	private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
          throws IOException, ServletException {
       if (!requiresAuthentication(request, response)) {
          chain.doFilter(request, response);
          return;
       }
       try {
          Authentication authenticationResult = attemptAuthentication(request, response);
          if (authenticationResult == null) {
             // return immediately as subclass has indicated that it hasn't completed
             return;
          }
          this.sessionStrategy.onAuthentication(authenticationResult, request, response);
          // Authentication success
          if (this.continueChainBeforeSuccessfulAuthentication) {
             chain.doFilter(request, response);
          }
          successfulAuthentication(request, response, chain, authenticationResult);
       }
       catch (InternalAuthenticationServiceException failed) {
          this.logger.error("An internal error occurred while trying to authenticate the user.", failed);
          unsuccessfulAuthentication(request, response, failed);
       }
       catch (AuthenticationException ex) {
          // Authentication failed
          unsuccessfulAuthentication(request, response, ex);
       }
    }

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
		........
   @Override
   public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
         throws AuthenticationException {
      	.........
      UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
      // Allow subclasses to set the "details" property
      setDetails(request, authRequest);
      return this.getAuthenticationManager().authenticate(authRequest);
   }

其认证失败后就会通过AuthenticationException异常,来调用unsuccessfulAuthentication处理认证失败的情况。

SpringSecurity原理分析_第6张图片

SpringSecurity原理分析_第7张图片

​ 其就是通过failureHandler来跳到/login?error页面

SpringSecurity原理分析_第8张图片

然后对于UsernamePasswordAuthenticationFilter来说,其后面就是DefaultLoginPageGeneratingFilter

在这里插入图片描述

其通过url,就会构建登录页面,然后直接就return了,就不会通过chain.doFilter(request, response)到下面的其他Filter以及Servlet了。

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
      throws IOException, ServletException {
   boolean loginError = isErrorPage(request);
   boolean logoutSuccess = isLogoutSuccess(request);
   if (isLoginUrlRequest(request) || loginError || logoutSuccess) {
      String loginPageHtml = generateLoginPageHtml(request, loginError, logoutSuccess);
      response.setContentType("text/html;charset=UTF-8");
      response.setContentLength(loginPageHtml.getBytes(StandardCharsets.UTF_8).length);
      response.getWriter().write(loginPageHtml);
      return;
   }
   chain.doFilter(request, response);
}

5)、对于认证的流程

SpringSecurity原理分析_第9张图片

7、applyDefaultConfiguration(this.http)默认设置

​ 我们接走上面的创建HttpSecurity的步骤,来看下HttpSecurity中的Filter是怎样添加的:

protected final HttpSecurity getHttp() throws Exception {
   if (this.http != null) {
      return this.http;
   }
   AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();
   this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
   AuthenticationManager authenticationManager = authenticationManager();
   this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
   Map<Class<?>, Object> sharedObjects = createSharedObjects();
   this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
   if (!this.disableDefaults) {
      applyDefaultConfiguration(this.http);
      ClassLoader classLoader = this.context.getClassLoader();
      List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader
            .loadFactories(AbstractHttpConfigurer.class, classLoader);
      for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
         this.http.apply(configurer);
      }
   }
   configure(this.http);
   return this.http;
}

​ 其首先会通过applyDefaultConfiguration(this.http)方法添加一些默认的Filter

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {
   http.csrf();
   http.addFilter(new WebAsyncManagerIntegrationFilter());
   http.exceptionHandling();
   http.headers();
   http.sessionManagement();
   http.securityContext();
   http.requestCache();
   http.anonymous();
   http.servletApi();
   http.apply(new DefaultLoginPageConfigurer<>());
   http.logout();
}

​ 这里的例如http.csrf()http.headers()这些方法,其内部一般是这种方式,也就是需要什么就对应的调用方法例如http.anonymous(),其就会添加SecurityConfigurer,再等待configure()方法的调用,来注入对应SecurityConfigurer.configure的内容

public AnonymousConfigurer<HttpSecurity> anonymous() throws Exception {
   return getOrApply(new AnonymousConfigurer<>());
}

SpringSecurity原理分析_第10张图片

1)、AnonymousConfigurer

​ 例如当前的AnonymousConfigurer

public final class AnonymousConfigurer<H extends HttpSecurityBuilder<H>>
      extends AbstractHttpConfigurer<AnonymousConfigurer<H>, H> {
		........
   private AuthenticationProvider authenticationProvider;

   private AnonymousAuthenticationFilter authenticationFilter;

   private Object principal = "anonymousUser";

   private List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS");
   	.............
   @Override
   public void init(H http) {
      if (this.authenticationProvider == null) {
         this.authenticationProvider = new AnonymousAuthenticationProvider(getKey());
      }
      if (this.authenticationFilter == null) {
         this.authenticationFilter = new AnonymousAuthenticationFilter(getKey(), this.principal, this.authorities);
      }
      this.authenticationProvider = postProcess(this.authenticationProvider);
      http.authenticationProvider(this.authenticationProvider);
   }

​ 其init方法就会创建一个AnonymousAuthenticationFilter匿名Filter,以及一个AnonymousAuthenticationProvider,匿名认证提供者。然后在configure方法就会将authenticationFilter添加到HttpSecurity中:

@Override
public void configure(H http) {
   this.authenticationFilter.afterPropertiesSet();
   http.addFilter(this.authenticationFilter);
}

2)、LogoutConfigurer

​ 然后对于applyDefaultConfigurationhttp.logout(),其添加的就是LogoutConfigurer

public LogoutConfigurer<HttpSecurity> logout() throws Exception {
   return getOrApply(new LogoutConfigurer<>());
}

这个就构建添加了LogoutFilter

@Override
public void configure(H http) throws Exception {
   LogoutFilter logoutFilter = createLogoutFilter(http);
   http.addFilter(logoutFilter);
}

当然我们也可以自动拓展来设置我们自己的信息:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

SpringSecurity原理分析_第11张图片

3)、FilterSecurityInterceptor

​ 当然我们上面是认证相关的内容,但还有授权信息,例如我们自己的拓展授权信息:

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin();
//                .loginPage("/index") // 配置哪个 url 为登录页面
//                .loginProcessingUrl("/login") // 设置哪个是登录的 url。
//                .successForwardUrl("/success") // 登录成功之后跳转到哪个 url
//                .failureForwardUrl("/fail");// 登录失败之后跳转到哪个 url
        http.authorizeRequests()
                .antMatchers("/ui/**","/index") //表示配置请求路径
                .permitAll() // 指定 URL 无需保护。
                .anyRequest() // 其他请求
                .authenticated(); //需要认证
// 关闭 csrf
        http.csrf().disable();
    }

例如http.authorizeRequests(),这个是授权具体的哪个请求资源,其添加的就是ExpressionUrlAuthorizationConfigurer,也就是表达式授权配置:

public ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry authorizeRequests()
      throws Exception {
   ApplicationContext context = getContext();
   return getOrApply(new ExpressionUrlAuthorizationConfigurer<>(context)).getRegistry();
}

SpringSecurity原理分析_第12张图片

public abstract class AbstractInterceptUrlConfigurer<C extends AbstractInterceptUrlConfigurer<C, H>, H extends HttpSecurityBuilder<H>>
      extends AbstractHttpConfigurer<C, H> {
    .........
   @Override
   public void configure(H http) throws Exception {
      FilterInvocationSecurityMetadataSource metadataSource = createMetadataSource(http);
      if (metadataSource == null) {
         return;
      }
      FilterSecurityInterceptor securityInterceptor = createFilterSecurityInterceptor(http, metadataSource,
            http.getSharedObject(AuthenticationManager.class));
      if (this.filterSecurityInterceptorOncePerRequest != null) {
         securityInterceptor.setObserveOncePerRequest(this.filterSecurityInterceptorOncePerRequest);
      }
      securityInterceptor = postProcess(securityInterceptor);
      http.addFilter(securityInterceptor);
      http.setSharedObject(FilterSecurityInterceptor.class, securityInterceptor);
   }

其就是通过这些信息来构建FilterSecurityInterceptor

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
		......
   @Override
   public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
         throws IOException, ServletException {
      invoke(new FilterInvocation(request, response, chain));
   }
    
    public void invoke(FilterInvocation filterInvocation) throws IOException, ServletException {
			..........
		InterceptorStatusToken token = super.beforeInvocation(filterInvocation);
		try {
			filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());
		}
		finally {
			super.finallyInvocation(token);
		}
		super.afterInvocation(token, null);
	}

FilterSecurityInterceptor其是放在整条Filter链的最后一个:

​ 其的处理主要是beforeInvocation(filterInvocation)方法:

protected InterceptorStatusToken beforeInvocation(Object object) {
 	...........
   Authentication authenticated = authenticateIfRequired();
   if (this.logger.isTraceEnabled()) {
      this.logger.trace(LogMessage.format("Authorizing %s with attributes %s", object, attributes));
   }
   // Attempt authorization
   attemptAuthorization(object, attributes, authenticated);
	..........
   return new InterceptorStatusToken(SecurityContextHolder.getContext(), false, attributes, object);

}

​ 通过authenticateIfRequired来解析认证,如果有需要的话

private Authentication authenticateIfRequired() {
   Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
   if (authentication.isAuthenticated() && !this.alwaysReauthenticate) {
      if (this.logger.isTraceEnabled()) {
         this.logger.trace(LogMessage.format("Did not re-authenticate %s before authorizing", authentication));
      }
      return authentication;
   }
   authentication = this.authenticationManager.authenticate(authentication);
	........
   SecurityContextHolder.getContext().setAuthentication(authentication);
   return authentication;
}

​ 可以看到其本身其也是调用的认证管理器:this.authenticationManager.authenticate(authentication)

认证成功后就是授权attemptAuthorization(object, attributes, authenticated),这个就是你自己配置的一些规则:

private void attemptAuthorization(Object object, Collection<ConfigAttribute> attributes,
      Authentication authenticated) {
   try {
      this.accessDecisionManager.decide(authenticated, object, attributes);
   }
   catch (AccessDeniedException ex) {
      if (this.logger.isTraceEnabled()) {
         this.logger.trace(LogMessage.format("Failed to authorize %s with attributes %s using %s", object,
               attributes, this.accessDecisionManager));
      }
      else if (this.logger.isDebugEnabled()) {
         this.logger.debug(LogMessage.format("Failed to authorize %s with attributes %s", object, attributes));
      }
      publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, ex));
      throw ex;
   }
}

​ 其实通过访问决策管理器处理this.accessDecisionManager.decide(authenticated, object, attributes),如果没有权限,就抛出AccessDeniedException。与这个FilterSecurityInterceptor相关的就是其前面的ExceptionTranslationFilter这个Filter是放在FilterSecurityInterceptor前面的,其是通过默认的applyDefaultConfiguration(HttpSecurity http) 添加的http.exceptionHandling()

4)、ExceptionTranslationFilter

public ExceptionHandlingConfigurer<HttpSecurity> exceptionHandling() throws Exception {
   return getOrApply(new ExceptionHandlingConfigurer<>());
}

public void configure(H http) {
   AuthenticationEntryPoint entryPoint = getAuthenticationEntryPoint(http);
   ExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(entryPoint,
         getRequestCache(http));
   AccessDeniedHandler deniedHandler = getAccessDeniedHandler(http);
   exceptionTranslationFilter.setAccessDeniedHandler(deniedHandler);
   exceptionTranslationFilter = postProcess(exceptionTranslationFilter);
   http.addFilter(exceptionTranslationFilter);
}

​ 它的处理主要是两个,一个是处理AuthenticationException认证失败,另一个是AccessDeniedException访问授权失败

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
      throws IOException, ServletException {
   try {
      chain.doFilter(request, response);
   }
   catch (IOException ex) {
      throw ex;
   }
   catch (Exception ex) {
    	......
      handleSpringSecurityException(request, response, chain, securityException);
   }
}

private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain, RuntimeException exception) throws IOException, ServletException {
   if (exception instanceof AuthenticationException) {
      handleAuthenticationException(request, response, chain, (AuthenticationException) exception);
   }
   else if (exception instanceof AccessDeniedException) {
      handleAccessDeniedException(request, response, chain, (AccessDeniedException) exception);
   }
}

​ 通过这两个来处理response返回内容,如果是认证失败

private void handleAuthenticationException(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain, AuthenticationException exception) throws ServletException, IOException {
   sendStartAuthentication(request, response, chain, exception);
}

protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
      AuthenticationException reason) throws ServletException, IOException {
   SecurityContextHolder.getContext().setAuthentication(null);
   this.requestCache.saveRequest(request, response);
   this.authenticationEntryPoint.commence(request, response, reason);
}

​ 通过authenticationEntryPoint来处理,我们以其实现Http403ForbiddenEntryPoint为例:

public class Http403ForbiddenEntryPoint implements AuthenticationEntryPoint {
   @Override
   public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException arg2)
         throws IOException {
      logger.debug("Pre-authenticated entry point called. Rejecting access");
      response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
   }

}
int SC_FORBIDDEN = 403;

​ 其就是对response输出403,访问拒绝。

如果是授权失败,其有两种如果当前Authentication是匿名认证,就调用sendStartAuthentication,也就是与前面的handleAuthenticationException一样:

private void handleAccessDeniedException(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain, AccessDeniedException exception) throws ServletException, IOException {
   Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
   boolean isAnonymous = this.authenticationTrustResolver.isAnonymous(authentication);
   if (isAnonymous || this.authenticationTrustResolver.isRememberMe(authentication)) {
      sendStartAuthentication(request, response, chain,
            new InsufficientAuthenticationException(
                  this.messages.getMessage("ExceptionTranslationFilter.insufficientAuthentication",
                        "Full authentication is required to access this resource")));
   }
   else {
      this.accessDeniedHandler.handle(request, response, exception);
   }
}

​ 如果不是匿名,则是通过AccessDeniedHandler访问拒绝处理其来处理,例如AccessDeniedHandlerImpl

@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
      AccessDeniedException accessDeniedException) throws IOException, ServletException {
   if (response.isCommitted()) {
      logger.trace("Did not write to response since already committed");
      return;
   }
   if (this.errorPage == null) {
      logger.debug("Responding with 403 status code");
      response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());
      return;
   }
   // Put exception into request scope (perhaps of use to a view)
   request.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException);
   // Set the 403 status code.
   response.setStatus(HttpStatus.FORBIDDEN.value());
   // forward to error page.
   if (logger.isDebugEnabled()) {
      logger.debug(LogMessage.format("Forwarding to %s with status code 403", this.errorPage));
   }
   request.getRequestDispatcher(this.errorPage).forward(request, response);
}

​ 也就是如果没有设置指定的errorPage,就直接返回textHttpStatus.FORBIDDEN

FORBIDDEN(403, Series.CLIENT_ERROR, "Forbidden"),

​ 如果有页面,就forword到errorPage

8、filter的顺序

​ 同时我们前面只介绍了Filter的添加http.addFilter,当这里还有添加顺序:

@Override
public void configure(H http) {
   this.authenticationFilter.afterPropertiesSet();
   http.addFilter(this.authenticationFilter);
}

@Override
public HttpSecurity addFilter(Filter filter) {
   Integer order = this.filterOrders.getOrder(filter.getClass());
   if (order == null) {
      throw new IllegalArgumentException("The Filter class " + filter.getClass().getName()
            + " does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.");
   }
   this.filters.add(new OrderedFilter(filter, order));
   return this;
}

​ 我们在添加一个Filter的时候,还需要指定整个Filter的位置

public HttpSecurity addFilterAt(Filter filter, Class<? extends Filter> atFilter) {
   return addFilterAtOffsetOf(filter, 0, atFilter);
}

​ 当前Security自带添加是使用addFilter(Filter filter)方法,在添加时实现会在filterOrders获取其的顺序来添加,其的初始化是:

final class FilterOrderRegistration {

   private static final int INITIAL_ORDER = 100;

   private static final int ORDER_STEP = 100;

   private final Map<String, Integer> filterToOrder = new HashMap<>();

   FilterOrderRegistration() {
      Step order = new Step(INITIAL_ORDER, ORDER_STEP);
      put(ChannelProcessingFilter.class, order.next());
      order.next(); // gh-8105
      put(WebAsyncManagerIntegrationFilter.class, order.next());
      put(SecurityContextPersistenceFilter.class, order.next());
      put(HeaderWriterFilter.class, order.next());
      put(CorsFilter.class, order.next());
      put(CsrfFilter.class, order.next());
      put(LogoutFilter.class, order.next());
  		..........
      put(ExceptionTranslationFilter.class, order.next());
      put(FilterSecurityInterceptor.class, order.next());
      put(AuthorizationFilter.class, order.next());
      put(SwitchUserFilter.class, order.next());
   }

​ 这里初始化的时候就已经定义好顺序了

void put(Class<? extends Filter> filter, int position) {
   String className = filter.getName();
   if (this.filterToOrder.containsKey(className)) {
      return;
   }
   this.filterToOrder.put(className, position);
}

三、SpringSecurity对FilterChain的组装构建

1、添加HttpSecurity到WebSecurity

@Override
public void init(WebSecurity web) throws Exception {
   HttpSecurity http = getHttp();
   web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
      FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);
      web.securityInterceptor(securityInterceptor);
   });
}

public WebSecurity addSecurityFilterChainBuilder(
      SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder) {
   this.securityFilterChainBuilders.add(securityFilterChainBuilder);
   return this;
}

HttpSecurity构建好后,就讲其添加到WebSecurity中,继续构建WebSecurity

@Override
protected final O doBuild() throws Exception {
   synchronized (this.configurers) {
      this.buildState = BuildState.INITIALIZING;
      beforeInit();
      init();
      this.buildState = BuildState.CONFIGURING;
      beforeConfigure();
      configure();
      this.buildState = BuildState.BUILDING;
      O result = performBuild();
      this.buildState = BuildState.BUILT;
      return result;
   }
}

2、performBuild完成FilterChainProxy创建

@Override
protected Filter performBuild() throws Exception {
   int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
   List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);
   for (RequestMatcher ignoredRequest : this.ignoredRequests) {
      securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
   }
   for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {
      securityFilterChains.add(securityFilterChainBuilder.build());
   }
   FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
   if (this.httpFirewall != null) {
      filterChainProxy.setFirewall(this.httpFirewall);
   }
   if (this.requestRejectedHandler != null) {
      filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);
   }
   filterChainProxy.afterPropertiesSet();

   Filter result = filterChainProxy;
   this.postBuildAction.run();
   return result;
}

​ 这里的处理我们可以看到FilterChainProxy创建会通过(securityFilterChains),我们前面添加的HttpSecurity

SpringSecurity原理分析_第13张图片

public FilterChainProxy(List<SecurityFilterChain> filterChains) {
   this.filterChains = filterChains;
}

3、FilterChainProxy的拦截逻辑

这个逻辑前面贴过了

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException {
    ........
      doFilterInternal(request, response, chain);
   	......
}

private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException {
 	...........
   List<Filter> filters = getFilters(firewallRequest);
	..........
   VirtualFilterChain virtualFilterChain = new VirtualFilterChain(firewallRequest, chain, filters);
   virtualFilterChain.doFilter(firewallRequest, firewallResponse);
}

private List<Filter> getFilters(HttpServletRequest request) {
   int count = 0;
   for (SecurityFilterChain chain : this.filterChains) {
      if (chain.matches(request)) {
         return chain.getFilters();
      }
   }
   return null;
}

​ 我们当前的是SecurityFilterChain是通过HttpSecurity构建的,通过doBuilder

public final class HttpSecurity extends AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity>
		implements SecurityBuilder<DefaultSecurityFilterChain>, HttpSecurityBuilder<HttpSecurity> {
    	......
    private List<OrderedFilter> filters = new ArrayList<>();
	private RequestMatcher requestMatcher = AnyRequestMatcher.INSTANCE;
    ...........
    @Override
    protected DefaultSecurityFilterChain performBuild() {
       this.filters.sort(OrderComparator.INSTANCE);
       List<Filter> sortedFilters = new ArrayList<>(this.filters.size());
       for (Filter filter : this.filters) {
          sortedFilters.add(((OrderedFilter) filter).filter);
       }
       return new DefaultSecurityFilterChain(this.requestMatcher, sortedFilters);
    }

​ 也就是将HttpSecurity以及其的匹配器RequestMatcher来构建。

public final class AnyRequestMatcher implements RequestMatcher {

   public static final RequestMatcher INSTANCE = new AnyRequestMatcher();

   private AnyRequestMatcher() {
   }

   @Override
   public boolean matches(HttpServletRequest request) {
      return true;
   }

​ 这个匹配器都拦截。

​ 由此就完成了FilterChain的组装。

你可能感兴趣的:(#,Spring系列,Java框架,java,SpringSecurity)

  • Long类型前后端数据不一致 igotyback 前端
    响应给前端的数据浏览器控制台中response中看到的Long类型的数据是正常的到前端数据不一致前后端数据类型不匹配是一个常见问题,尤其是当后端使用Java的Long类型(64位)与前端JavaScript的Number类型(最大安全整数为2^53-1,即16位)进行数据交互时,很容易出现精度丢失的问题。这是因为JavaScript中的Number类型无法安全地表示超过16位的整数。为了解决这个问
  • LocalDateTime 转 String igotyback java开发语言
    importjava.time.LocalDateTime;importjava.time.format.DateTimeFormatter;publicclassMain{publicstaticvoidmain(String[]args){//获取当前时间LocalDateTimenow=LocalDateTime.now();//定义日期格式化器DateTimeFormatterformat
  • Linux下QT开发的动态库界面弹出操作(SDL2) 13jjyao QT类qt开发语言sdl2linux
    需求:操作系统为linux,开发框架为qt,做成需带界面的qt动态库,调用方为java等非qt程序难点:调用方为java等非qt程序,也就是说调用方肯定不带QApplication::exec(),缺少了这个,QTimer等事件和QT创建的窗口将不能弹出(包括opencv也是不能弹出);这与qt调用本身qt库是有本质的区别的思路:1.调用方缺QApplication::exec(),那么我们在接口
  • DIV+CSS+JavaScript技术制作网页(旅游主题网页设计与制作)云南大理 STU学生网页设计 网页设计期末网页作业html静态网页html5期末大作业网页设计web大作业
    ️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业:【HTML5网页期末作业(1000套)】程序员有趣的告白方式:【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
  • 【华为OD机试真题2023B卷 JAVA&JS】We Are A Team 若博豆 java算法华为javascript
    华为OD2023(B卷)机试题库全覆盖,刷题指南点这里WeAreATeam时间限制:1秒|内存限制:32768K|语言限制:不限题目描述:总共有n个人在机房,每个人有一个标号(1<=标号<=n),他们分成了多个团队,需要你根据收到的m条消息判定指定的两个人是否在一个团队中,具体的:1、消息构成为:abc,整数a、b分别代
  • 关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript 二挡起步 web前端期末大作业javascripthtmlcss旅游风景
    ⛵源码获取文末联系✈Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业,Web大学生网页HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
  • HTML网页设计制作大作业(div+css) 云南我的家乡旅游景点 带文字滚动 二挡起步 web前端期末大作业web设计网页规划与设计htmlcssjavascriptdreamweaver前端
    Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript:做与用户的交互行为文章目录前端学习路线
  • node.js学习 小猿L node.jsnode.js学习vim
    node.js学习实操及笔记温故node.js,node.js学习实操过程及笔记~node.js学习视频node.js官网node.js中文网实操笔记githubcsdn笔记为什么学node.js可以让别人访问我们编写的网页为后续的框架学习打下基础,三大框架vuereactangular离不开node.jsnode.js是什么官网:node.js是一个开源的、跨平台的运行JavaScript的运行
  • Java 重写(Override)与重载(Overload) 叨唧唧的
    Java重写(Override)与重载(Overload)重写(Override)重写是子类对父类的允许访问的方法的实现过程进行重新编写,返回值和形参都不能改变。即外壳不变,核心重写!重写的好处在于子类可以根据需要,定义特定于自己的行为。也就是说子类能够根据需要实现父类的方法。重写方法不能抛出新的检查异常或者比被重写方法申明更加宽泛的异常。例如:父类的一个方法申明了一个检查异常IOExceptio
  • 简单了解 JVM 记得开心一点啊 jvm
    目录♫什么是JVM♫JVM的运行流程♫JVM运行时数据区♪虚拟机栈♪本地方法栈♪堆♪程序计数器♪方法区/元数据区♫类加载的过程♫双亲委派模型♫垃圾回收机制♫什么是JVMJVM是JavaVirtualMachine的简称,意为Java虚拟机。虚拟机是指通过软件模拟的具有完整硬件功能的、运行在一个完全隔离的环境中的完整计算机系统(如:JVM、VMwave、VirtualBox)。JVM和其他两个虚拟机
  • 1分钟解决 -bash: mvn: command not found,在Centos 7中安装Maven Energet!c 开发语言
    1分钟解决-bash:mvn:commandnotfound,在Centos7中安装Maven检查Java环境1下载Maven2解压Maven3配置环境变量4验证安装5常见问题与注意事项6总结检查Java环境Maven依赖Java环境,请确保系统已经安装了Java并配置了环境变量。可以通过以下命令检查:java-version如果未安装,请先安装Java。1下载Maven从官网下载:前往Apach
  • Java企业面试题3 马龙强_ java
    1.break和continue的作用(智*图)break:用于完全退出一个循环(如for,while)或一个switch语句。当在循环体内遇到break语句时,程序会立即跳出当前循环体,继续执行循环之后的代码。continue:用于跳过当前循环体中剩余的部分,并开始下一次循环。如果是在for循环中使用continue,则会直接进行条件判断以决定是否执行下一轮循环。2.if分支语句和switch分
  • JVM、JRE和 JDK:理解Java开发的三大核心组件 Y雨何时停T Javajava
    Java是一门跨平台的编程语言,它的成功离不开背后强大的运行环境与开发工具的支持。在Java的生态中,JVM(Java虚拟机)、JRE(Java运行时环境)和JDK(Java开发工具包)是三个至关重要的核心组件。本文将探讨JVM、JDK和JRE的区别,帮助你更好地理解Java的运行机制。1.JVM:Java虚拟机(JavaVirtualMachine)什么是JVM?JVM,即Java虚拟机,是Ja
  • Java面试题精选:消息队列(二) 芒果不是芒 Java面试题精选javakafka
    一、Kafka的特性1.消息持久化:消息存储在磁盘,所以消息不会丢失2.高吞吐量:可以轻松实现单机百万级别的并发3.扩展性:扩展性强,还是动态扩展4.多客户端支持:支持多种语言(Java、C、C++、GO、)5.KafkaStreams(一个天生的流处理):在双十一或者销售大屏就会用到这种流处理。使用KafkaStreams可以快速的把销售额统计出来6.安全机制:Kafka进行生产或者消费的时候会
  • 白骑士的Java教学基础篇 2.5 控制流语句 白骑士所长 Java教学java开发语言
    欢迎继续学习Java编程的基础篇!在前面的章节中,我们了解了Java的变量、数据类型和运算符。接下来,我们将探讨Java中的控制流语句。控制流语句用于控制程序的执行顺序,使我们能够根据特定条件执行不同的代码块,或重复执行某段代码。这是编写复杂程序的基础。通过学习这一节内容,你将掌握如何使用条件语句和循环语句来编写更加灵活和高效的代码。条件语句条件语句用于根据条件的真假来执行不同的代码块。if语句‘
  • python语法——三目运算符 HappyRocking pythonpython三目运算符
    在java中,有三目运算符,如:intc=(a>b)?a:b表示c取两者中的较大值。但是在python,不能直接这样使用,估计是因为冒号在python有分行的关键作用。那么在python中,如何实现类似功能呢?可以使用ifelse语句,也是一行可以完成,格式为:aifbelsec表示如果b为True,则表达式等于a,否则等于c。如:c=(aif(a>b)elseb)同样是完成了取最大值的功能。
  • ArrayList 源码解析 程序猿进阶 Java基础ArrayListListjava面试性能优化架构设计idea
    ArrayList是Java集合框架中的一个动态数组实现,提供了可变大小的数组功能。它继承自AbstractList并实现了List接口,是顺序容器,即元素存放的数据与放进去的顺序相同,允许放入null元素,底层通过数组实现。除该类未实现同步外,其余跟Vector大致相同。每个ArrayList都有一个容量capacity,表示底层数组的实际大小,容器内存储元素的个数不能多于当前容量。当向容器中添
  • Java爬虫框架(一)--架构设计 狼图腾-狼之传说 java框架java任务html解析器存储电子商务
    一、架构图那里搜网络爬虫框架主要针对电子商务网站进行数据爬取,分析,存储,索引。爬虫:爬虫负责爬取,解析,处理电子商务网站的网页的内容数据库:存储商品信息索引:商品的全文搜索索引Task队列:需要爬取的网页列表Visited表:已经爬取过的网页列表爬虫监控平台:web平台可以启动,停止爬虫,管理爬虫,task队列,visited表。二、爬虫1.流程1)Scheduler启动爬虫器,TaskMast
  • Java:爬虫框架 dingcho Javajava爬虫
    一、ApacheNutch2【参考地址】Nutch是一个开源Java实现的搜索引擎。它提供了我们运行自己的搜索引擎所需的全部工具。包括全文搜索和Web爬虫。Nutch致力于让每个人能很容易,同时花费很少就可以配置世界一流的Web搜索引擎.为了完成这一宏伟的目标,Nutch必须能够做到:每个月取几十亿网页为这些网页维护一个索引对索引文件进行每秒上千次的搜索提供高质量的搜索结果简单来说Nutch支持分
  • python怎么将png转为tif_png转tif weixin_39977276
    发国外的文章要求图片是tif,cmyk色彩空间的。大小尺寸还有要求。比如网上大神多,找到了一段代码,感谢!https://www.jianshu.com/p/ec2af4311f56https://github.com/KevinZc007/image2Tifimportjava.awt.image.BufferedImage;importjava.io.File;importjava.io.Fi
  • JavaScript 中,深拷贝(Deep Copy)和浅拷贝(Shallow Copy) 跳房子的前端 前端面试javascript开发语言ecmascript
    在JavaScript中,深拷贝(DeepCopy)和浅拷贝(ShallowCopy)是用于复制对象或数组的两种不同方法。了解它们的区别和应用场景对于避免潜在的bugs和高效地处理数据非常重要。以下是对深拷贝和浅拷贝的详细解释,包括它们的概念、用途、优缺点以及实现方式。1.浅拷贝(ShallowCopy)概念定义:浅拷贝是指创建一个新的对象或数组,其中包含了原对象或数组的基本数据类型的值和对引用数
  • JAVA·一个简单的登录窗口 MortalTom java开发语言学习
    文章目录概要整体架构流程技术名词解释技术细节资源概要JavaSwing是Java基础类库的一部分,主要用于开发图形用户界面(GUI)程序整体架构流程新建项目,导入sql.jar包(链接放在了文末),编译项目并运行技术名词解释一、特点丰富的组件提供了多种可视化组件,如按钮(JButton)、文本框(JTextField)、标签(JLabel)、下拉列表(JComboBox)等,可以满足不同的界面设计
  • WebMagic:强大的Java爬虫框架解析与实战 Aaron_945 Javajava爬虫开发语言
    文章目录引言官网链接WebMagic原理概述基础使用1.添加依赖2.编写PageProcessor高级使用1.自定义Pipeline2.分布式抓取优点结论引言在大数据时代,网络爬虫作为数据收集的重要工具,扮演着不可或缺的角色。Java作为一门广泛使用的编程语言,在爬虫开发领域也有其独特的优势。WebMagic是一个开源的Java爬虫框架,它提供了简单灵活的API,支持多线程、分布式抓取,以及丰富的
  • 博客网站制作教程 2401_85194651 javamaven
    首先就是技术框架:后端:Java+SpringBoot数据库:MySQL前端:Vue.js数据库连接:JPA(JavaPersistenceAPI)1.项目结构blog-app/├──backend/│├──src/main/java/com/example/blogapp/││├──BlogApplication.java││├──config/│││└──DatabaseConfig.java
  • 00. 这里整理了最全的爬虫框架(Java + Python) 有一只柴犬 爬虫系列爬虫javapython
    目录1、前言2、什么是网络爬虫3、常见的爬虫框架3.1、java框架3.1.1、WebMagic3.1.2、Jsoup3.1.3、HttpClient3.1.4、Crawler4j3.1.5、HtmlUnit3.1.6、Selenium3.2、Python框架3.2.1、Scrapy3.2.2、BeautifulSoup+Requests3.2.3、Selenium3.2.4、PyQuery3.2
  • JAVA学习笔记之23种设计模式学习 victorfreedom Java技术设计模式androidjava常用设计模式
    博主最近买了《设计模式》这本书来学习,无奈这本书是以C++语言为基础进行说明,整个学习流程下来效率不是很高,虽然有的设计模式通俗易懂,但感觉还是没有充分的掌握了所有的设计模式。于是博主百度了一番,发现有大神写过了这方面的问题,于是博主迅速拿来学习。一、设计模式的分类总体来说设计模式分为三大类:创建型模式,共五种:工厂方法模式、抽象工厂模式、单例模式、建造者模式、原型模式。结构型模式,共七种:适配器
  • JavaScript `Map` 和 `WeakMap`详细解释 跳房子的前端 JavaScript原生方法javascript前端开发语言
    在JavaScript中,Map和WeakMap都是用于存储键值对的数据结构,但它们有一些关键的不同之处。MapMap是一种可以存储任意类型的键值对的集合。它保持了键值对的插入顺序,并且可以通过键快速查找对应的值。Map提供了一些非常有用的方法和属性来操作这些数据对:set(key,value):将一个键值对添加到Map中。如果键已经存在,则更新其对应的值。get(key):获取指定键的值。如果键
  • 切换淘宝最新npm镜像源是 hai40587 npm前端node.js
    切换淘宝最新npm镜像源是一个相对简单的过程,但首先需要明确当前淘宝npm镜像源的状态和最新的镜像地址。由于网络环境和服务更新,镜像源的具体地址可能会发生变化,因此,我将基于当前可获取的信息,提供一个通用的切换步骤,并附上最新的镜像地址(截至回答时)。一、了解npm镜像源npm(NodePackageManager)是JavaScript的包管理器,用于安装、更新和管理项目依赖。由于npm官方仓库
  • 【Java】已解决:java.util.concurrent.CompletionException 屿小夏 java开发语言
    文章目录一、分析问题背景出现问题的场景代码片段二、可能出错的原因三、错误代码示例四、正确代码示例五、注意事项已解决:java.util.concurrent.CompletionException一、分析问题背景在Java并发编程中,java.util.concurrent.CompletionException是一种常见的运行时异常,通常在使用CompletableFuture进行异步计算时出现
  • 设计模式之建造者模式(通俗易懂--代码辅助理解【Java版】) ok!ko 设计模式设计模式建造者模式java
    文章目录设计模式概述1、建造者模式2、建造者模式使用场景3、优点4、缺点5、主要角色6、代码示例:1)实现要求2)UML图3)实现步骤:1)创建一个表示食物条目和食物包装的接口2)创建实现Packing接口的实体类3)创建实现Item接口的抽象类,该类提供了默认的功能4)创建扩展了Burger和ColdDrink的实体类5)创建一个Meal类,带有上面定义的Item对象6)创建一个MealBuil
  • java解析APK 3213213333332132 javaapklinux解析APK
    解析apk有两种方法 1、结合安卓提供apktool工具,用java执行cmd解析命令获取apk信息 2、利用相关jar包里的集成方法解析apk 这里只给出第二种方法,因为第一种方法在linux服务器下会出现不在控制范围之内的结果。 public class ApkUtil { /** * 日志对象 */ private static Logger
  • nginx自定义ip访问N种方法 ronin47 nginx 禁止ip访问
       因业务需要,禁止一部分内网访问接口, 由于前端架了F5,直接用deny或allow是不行的,这是因为直接获取的前端F5的地址。    所以开始思考有哪些主案可以实现这样的需求,目前可实施的是三种:    一:把ip段放在redis里,写一段lua           二:利用geo传递变量,写一段
  • mysql timestamp类型字段的CURRENT_TIMESTAMP与ON UPDATE CURRENT_TIMESTAMP属性 dcj3sjt126com mysql
    timestamp有两个属性,分别是CURRENT_TIMESTAMP 和ON UPDATE CURRENT_TIMESTAMP两种,使用情况分别如下:   1.   CURRENT_TIMESTAMP    当要向数据库执行insert操作时,如果有个timestamp字段属性设为   CURRENT_TIMESTAMP,则无论这
  • struts2+spring+hibernate分页显示 171815164 Hibernate
    分页显示一直是web开发中一大烦琐的难题,传统的网页设计只在一个JSP或者ASP页面中书写所有关于数据库操作的代码,那样做分页可能简单一点,但当把网站分层开发后,分页就比较困难了,下面是我做Spring+Hibernate+Struts2项目时设计的分页代码,与大家分享交流。   1、DAO层接口的设计,在MemberDao接口中定义了如下两个方法: public in
  • 构建自己的Wrapper应用 g21121 rap
            我们已经了解Wrapper的目录结构,下面可是正式利用Wrapper来包装我们自己的应用,这里假设Wrapper的安装目录为:/usr/local/wrapper。           首先,创建项目应用   &nb
  • [简单]工作记录_多线程相关 53873039oycg 多线程
         最近遇到多线程的问题,原来使用异步请求多个接口(n*3次请求)     方案一 使用多线程一次返回数据,最开始是使用5个线程,一个线程顺序请求3个接口,超时终止返回     缺点       测试发现必须3个接
  • 调试jdk中的源码,查看jdk局部变量 程序员是怎么炼成的 jdk 源码
    转自:http://www.douban.com/note/211369821/    学习jdk源码时使用--   学习java最好的办法就是看jdk源代码,面对浩瀚的jdk(光源码就有40M多,比一个大型网站的源码都多)从何入手呢,要是能单步调试跟进到jdk源码里并且能查看其中的局部变量最好了。 可惜的是sun提供的jdk并不能查看运行中的局部变量
  • Oracle RAC Failover 详解 aijuans oracle
    Oracle RAC 同时具备HA(High Availiablity) 和LB(LoadBalance). 而其高可用性的基础就是Failover(故障转移). 它指集群中任何一个节点的故障都不会影响用户的使用,连接到故障节点的用户会被自动转移到健康节点,从用户感受而言, 是感觉不到这种切换。 Oracle 10g RAC 的Failover 可以分为3种: 1. Client-Si
  • form表单提交数据编码方式及tomcat的接受编码方式 antonyup_2006 JavaScripttomcat浏览器互联网servlet
    原帖地址:http://www.iteye.com/topic/266705 form有2中方法把数据提交给服务器,get和post,分别说下吧。 (一)get提交 1.首先说下客户端(浏览器)的form表单用get方法是如何将数据编码后提交给服务器端的吧。    对于get方法来说,都是把数据串联在请求的url后面作为参数,如:http://localhost:
  • JS初学者必知的基础 百合不是茶 js函数js入门基础
    JavaScript是网页的交互语言,实现网页的各种效果, JavaScript 是世界上最流行的脚本语言。 JavaScript 是属于 web 的语言,它适用于 PC、笔记本电脑、平板电脑和移动电话。 JavaScript 被设计为向 HTML 页面增加交互性。 许多 HTML 开发者都不是程序员,但是 JavaScript 却拥有非常简单的语法。几乎每个人都有能力将小的
  • iBatis的分页分析与详解 bijian1013 javaibatis
            分页是操作数据库型系统常遇到的问题。分页实现方法很多,但效率的差异就很大了。iBatis是通过什么方式来实现这个分页的了。查看它的实现部分,发现返回的PaginatedList实际上是个接口,实现这个接口的是PaginatedDataList类的对象,查看PaginatedDataList类发现,每次翻页的时候最
  • 精通Oracle10编程SQL(15)使用对象类型 bijian1013 oracle数据库plsql
    /* *使用对象类型 */ --建立和使用简单对象类型 --对象类型包括对象类型规范和对象类型体两部分。 --建立和使用不包含任何方法的对象类型 CREATE OR REPLACE TYPE person_typ1 as OBJECT( name varchar2(10),gender varchar2(4),birthdate date ); drop type p
  • 【Linux命令二】文本处理命令awk bit1129 linux命令
    awk是Linux用来进行文本处理的命令,在日常工作中,广泛应用于日志分析。awk是一门解释型编程语言,包含变量,数组,循环控制结构,条件控制结构等。它的语法采用类C语言的语法。   awk命令用来做什么? 1.awk适用于具有一定结构的文本行,对其中的列进行提取信息 2.awk可以把当前正在处理的文本行提交给Linux的其它命令处理,然后把直接结构返回给awk 3.awk实际工
  • JAVA(ssh2框架)+Flex实现权限控制方案分析 白糖_ java
      目前项目使用的是Struts2+Hibernate+Spring的架构模式,目前已经有一套针对SSH2的权限系统,运行良好。但是项目有了新需求:在目前系统的基础上使用Flex逐步取代JSP,在取代JSP过程中可能存在Flex与JSP并存的情况,所以权限系统需要进行修改。 【SSH2权限系统的实现机制】 权限控制分为页面和后台两块:不同类型用户的帐号分配的访问权限是不同的,用户使
  • angular.forEach boyitech AngularJSAngularJS APIangular.forEach
    angular.forEach 描述: 循环对obj对象的每个元素调用iterator, obj对象可以是一个Object或一个Array. Iterator函数调用方法: iterator(value, key, obj), 其中obj是被迭代对象,key是obj的property key或者是数组的index,value就是相应的值啦. (此函数不能够迭代继承的属性.)
  • java-谷歌面试题-给定一个排序数组,如何构造一个二叉排序树 bylijinnan 二叉排序树
    import java.util.LinkedList; public class CreateBSTfromSortedArray { /** * 题目:给定一个排序数组,如何构造一个二叉排序树 * 递归 */ public static void main(String[] args) { int[] data = { 1, 2, 3, 4,
  • action执行2次 Chen.H JavaScriptjspXHTMLcssWebwork
    xwork 写道 <action name="userTypeAction" class="com.ekangcount.website.system.view.action.UserTypeAction"> <result name="ssss" type="dispatcher">
  • [时空与能量]逆转时空需要消耗大量能源 comsci 能源
            无论如何,人类始终都想摆脱时间和空间的限制....但是受到质量与能量关系的限制,我们人类在目前和今后很长一段时间内,都无法获得大量廉价的能源来进行时空跨越.....         在进行时空穿梭的实验中,消耗超大规模的能源是必然
  • oracle的正则表达式(regular expression)详细介绍 daizj oracle正则表达式
        正则表达式是很多编程语言中都有的。可惜oracle8i、oracle9i中一直迟迟不肯加入,好在oracle10g中终于增加了期盼已久的正则表达式功能。你可以在oracle10g中使用正则表达式肆意地匹配你想匹配的任何字符串了。 正则表达式中常用到的元数据(metacharacter)如下: ^ 匹配字符串的开头位置。 $ 匹配支付传的结尾位置。 *
  • 报表工具与报表性能的关系 datamachine 报表工具birt报表性能润乾报表
    在选择报表工具时,性能一直是用户关心的指标,但是,报表工具的性能和整个报表系统的性能有多大关系呢? 要回答这个问题,首先要分析一下报表的处理过程包含哪些环节,哪些环节容易出现性能瓶颈,如何优化这些环节。   一、报表处理的一般过程分析 1、用户选择报表输入参数后,报表引擎会根据报表模板和输入参数来解析报表,并将数据计算和读取请求以SQL的方式发送给数据库。   2、
  • 初一上学期难记忆单词背诵第一课 dcj3sjt126com wordenglish
    what 什么  your 你 name 名字 my 我的 am 是 one 一 two 二 three 三 four 四 five 五 class 班级,课   six 六 seven 七 eight 八 nince 九 ten 十 zero 零 how 怎样 old 老的 eleven 十一 twelve 十二 thirteen
  • 我学过和准备学的各种技术 dcj3sjt126com 技术
    语言VB https://msdn.microsoft.com/zh-cn/library/2x7h1hfk.aspxJava http://docs.oracle.com/javase/8/C# https://msdn.microsoft.com/library/vstudioPHP http://php.net/manual/en/Html 
  • struts2中token防止重复提交表单 蕃薯耀 重复提交表单struts2中token
    struts2中token防止重复提交表单   >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年7月12日 11:52:32 星期日 ht
  • 线性查找二维数组 hao3100590 二维数组
    1.算法描述 有序(行有序,列有序,且每行从左至右递增,列从上至下递增)二维数组查找,要求复杂度O(n)   2.使用到的相关知识: 结构体定义和使用,二维数组传递(http://blog.csdn.net/yzhhmhm/article/details/2045816)   3.使用数组名传递 这个的不便之处很明显,一旦确定就是不能设置列值 //使
  • spring security 3中推荐使用BCrypt算法加密密码 jackyrong Spring Security
    spring security 3中推荐使用BCrypt算法加密密码了,以前使用的是md5, Md5PasswordEncoder 和 ShaPasswordEncoder,现在不推荐了,推荐用bcrpt Bcrpt中的salt可以是随机的,比如: int i = 0; while (i < 10) { String password = "1234
  • 学习编程并不难,做到以下几点即可! lampcy javahtml编程语言
    不论你是想自己设计游戏,还是开发iPhone或安卓手机上的应用,还是仅仅为了娱乐,学习编程语言都是一条必经之路。编程语言种类繁多,用途各 异,然而一旦掌握其中之一,其他的也就迎刃而解。作为初学者,你可能要先从Java或HTML开始学,一旦掌握了一门编程语言,你就发挥无穷的想象,开发 各种神奇的软件啦。 1、确定目标 学习编程语言既充满乐趣,又充满挑战。有些花费多年时间学习一门编程语言的大学生到
  • 架构师之mysql----------------用group+inner join,left join ,right join 查重复数据(替代in) nannan408 right join
    1.前言。   如题。 2.代码 (1)单表查重复数据,根据a分组   SELECT m.a,m.b, INNER JOIN (select a,b,COUNT(*) AS rank FROM test.`A` A GROUP BY a HAVING rank>1 )k ON m.a=k.a (2)多表查询 , 使用改为le
  • jQuery选择器小结 VS 节点查找(附css的一些东西) Everyday都不同 jquerycssname选择器追加元素查找节点
    最近做前端页面,频繁用到一些jQuery的选择器,所以特意来总结一下:   测试页面: <html> <head> <script src="jquery-1.7.2.min.js"></script> <script> /*$(function() { $(documen
  • 关于EXT tntxia ext
      ExtJS是一个很不错的Ajax框架,可以用来开发带有华丽外观的富客户端应用,使得我们的b/s应用更加具有活力及生命力。ExtJS是一个用 javascript编写,与后台技术无关的前端ajax框架。因此,可以把ExtJS用在.Net、Java、Php等各种开发语言开发的应用中。       ExtJs最开始基于YUI技术,由开发人员Jack
  • 一个MIT计算机博士对数学的思考 xjnine Math
     在过去的一年中,我一直在数学的海洋中游荡,research进展不多,对于数学世界的阅历算是有了一些长进。为什么要深入数学的世界?作为计算机的学生,我没有任何企图要成为一个数学家。我学习数学的目的,是要想爬上巨人的肩膀,希望站在更高的高度,能把我自己研究的东西看得更深广一些。说起来,我在刚来这个学校的时候,并没有预料到我将会有一个深入数学的旅程。我的导师最初希望我去做的题目,是对appe
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他