分析spring security框架的filter的名字为什么必须是springSecurityFilterChain

最新推荐文章于 2024-06-07 10:03:45 发布
最新推荐文章于 2024-06-07 10:03:45 发布
阅读量592 收藏 3
点赞数 4
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Trialknight/article/details/102750531
版权

  在很多spring security框架学习资料里面,我们都会看到一句话那就是在web.xml中配置加载spring security框架的时候,所配置的Filter名字必须是springSecurityFilterChain,如果我们的名字没有使用固定的springSecurityFilterChain,比如名字改成springSecurityFilterChain1,如图:

这个时候加载过程中就会报错

从报错信息中我们可以得知,如果我们使用的名称是springSecurityFilterChain,那么我们就应该去加载一个id为springSecurityFilterChain的bean。但是,查看我们的spring-security.xml的配置文件,你根本找不到这个id为springSecurityFilterChain的bean,甚至连bean标签都找不到,如下便是spring-security.xml的内容

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                  http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <security:http>

        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
        <!-- 开启表单登录: 会自动生成一个登录页面 -->
        <security:form-login />
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>

                <security:user name="admin" password="admin" authorities="ROLE_ADMIN"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

在查找了很多资料和分析了spring security框架源码之后,终于找到了这个隐藏着的id为springSecurityFilterChain的bean是如何被加载的

首先,我们看到spring-security.xml中有这样一个标签 <security:http>,然后我们从配置文件上可以看出,这里的security实际上是一个url的别名,这个url就是配置文件开头部分写着的xmlns:security="http://www.springframework.org/schema/security,也就是说<security:http>等价于<http://www.springframework.org/schema/security:http>

然后我们可以在spring security的org.springframework.security.config包下面找到一个名为spring.handlers的文件

点开这个文件,我们可以看到如下内容

由此可以得知,http://www.springframework.org/schema/security这个url实际上是指向了org.springframework.security.config包下的SecurityNameSpaceHandler类,接下来我们找到这个类,可以在这个类中找到如下这段代码

private void loadParsers() {
    this.parsers.put("ldap-authentication-provider", new LdapProviderBeanDefinitionParser());
    this.parsers.put("ldap-server", new LdapServerBeanDefinitionParser());
    this.parsers.put("ldap-user-service", new LdapUserServiceBeanDefinitionParser());
    this.parsers.put("user-service", new UserServiceBeanDefinitionParser());
    this.parsers.put("jdbc-user-service", new JdbcUserServiceBeanDefinitionParser());
    this.parsers.put("authentication-provider", new AuthenticationProviderBeanDefinitionParser());
    this.parsers.put("global-method-security", new GlobalMethodSecurityBeanDefinitionParser());
    this.parsers.put("authentication-manager", new AuthenticationManagerBeanDefinitionParser());
    this.parsers.put("method-security-metadata-source", new MethodSecurityMetadataSourceBeanDefinitionParser());
    if (ClassUtils.isPresent("org.springframework.security.web.FilterChainProxy", this.getClass().getClassLoader())) {
        this.parsers.put("debug", new DebugBeanDefinitionParser());
        this.parsers.put("http", new HttpSecurityBeanDefinitionParser());
        this.parsers.put("http-firewall", new HttpFirewallBeanDefinitionParser());
        this.parsers.put("filter-security-metadata-source", new FilterInvocationSecurityMetadataSourceParser());
        this.parsers.put("filter-chain", new FilterChainBeanDefinitionParser());
        this.filterChainMapBDD = new FilterChainMapBeanDefinitionDecorator();
    }

    if (ClassUtils.isPresent("org.springframework.messaging.Message", this.getClass().getClassLoader())) {
        this.parsers.put("websocket-message-broker", new WebSocketMessageBrokerSecurityBeanDefinitionParser());
    }

}

其中this.parsers.put("http", new HttpSecurityBeanDefinitionParser());这句代码就是解决我们问题的关键,从这句代码可以得知,在是用属性为http的标签的时候,实际上是去创建了一个HttpSecurityBeanDefinitionParser类的对象,接下来我们找到这个类,可以在这个类中看到段静态代码,内容如下:

static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {
    if (!pc.getRegistry().containsBeanDefinition("org.springframework.security.filterChainProxy")) {
        BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);
        listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());
        pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, "org.springframework.security.filterChains"));
        BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);
        fcpBldr.getRawBeanDefinition().setSource(source);
        fcpBldr.addConstructorArgReference("org.springframework.security.filterChains");
        fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class));
        BeanDefinition fcpBean = fcpBldr.getBeanDefinition();
        pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, "org.springframework.security.filterChainProxy"));
        pc.getRegistry().registerAlias("org.springframework.security.filterChainProxy", "springSecurityFilterChain");
    }
}

可见,在创建HttpSecurityBeanDefinitionParser类的对象的时候,就已经注册了一个名为springSecurityFilterChain的bean了

 

TrialKnight
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查源码解决为何springSecurity注册filter时名称固定为springSecurityFilterChain问题
qq_41732653的博客
11-28 186
首先我们在web.xml中配置了springSecurityFilterChain这个过滤器,该过滤器指向的类为:org.springframework.web.filter.DelegatingFilterProxy,所以我们就从这个类入手分析。 查看该类中的doFilter源码,如下图: 发现实际执行操作的是一个叫做delegate的过滤器,所以我们有必要了解一下这个委派过滤器。于是我们从查询initFilterBean方法入手,查看该过滤器到底是如何创建的。我们发现他根据targetBeanName
Spring Security】- 为什么过滤器名称必须springSecurityFilterChain
Arielle-L
08-02 409
<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecuri
SpringSecurity入门(一)
最新发布
qq_27352081的博客
06-07 938
SpringSecurity入门
SpringSecurity报错Error creating bean with name ‘org.springframework.security.filterChains‘....
BUG粉碎机
02-18 1万+
SpringSecurity错误
SpringSecurity爆出Error creating bean with name ‘org.springframework.security.filterChains‘
weixin_43720062的博客
11-30 1603
SpringSecurity访问爆出 org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘org.springframework.security.filterChains’: Cannot resolve reference to bean ‘org.springframework.security.web.DefaultSecurityFilterChain#2’ while se
Error creating bean with name ‘org.springframework.security.filterChains‘
qq_46129756的博客
12-31 2346
Spring没有把SpringSecurityfilterChains注入到IOC容器中 但是我只使用了xml的方式注入了SpringSecurityfilterChain,并没有又用xml的方式又用注解的方式。 随后我把信息在往上翻了一下,日志提到我自己配置的登录页的路径掉了/ 加上/后 成功运行 ...
详解spring security filter的工作原理
08-25
Spring Security Filter 的工作原理详解 Spring Security 是一个广泛使用的 Java 认证和授权框架,它提供了一个灵活的安全机制来保护基于 Java 的 Web 应用程序。在 Spring Security 中,Filter 是一个非常重要的...
maven spring security框架搭建
06-02
根据提供的文件信息,我们可以深入探讨如何使用Maven和Spring Security框架来构建一个安全的应用程序。以下将详细解析各个部分,并介绍这些配置是如何协同工作来确保应用程序的安全性的。 ### Maven依赖 在项目中...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,FilterChainProxy 是一个核心组件,负责代理众多的 Spring Security FilterFilterChainProxy 在 WebSecurityConfiguration 中以 springSecurityFilterChain 的名称注册为 Spring Bean。...
01-SpringSecurity-Demo.zip
09-18
SpringSecurityJava开发中一个强大的安全框架,用于处理应用程序的安全性。它提供了全面的身份验证、授权和访问控制功能,能够帮助开发者构建安全的Web应用程序。本压缩包"01-SpringSecurity-Demo.zip"包含了...
spring security环境搭建
08-29
Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。今天,我们将详细介绍如何搭建 Spring Security 环境,包括 Maven 依赖项的设置、web.xml 配置、applicationContext-security...
Spring Security 多过滤链的使用
huan的学习记录
07-14 890
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
Spring Security详解】第一章 | 概述
不堪提
09-26 3377
理解Spring Security,让我们从入门、到理解、最终吊打面试官!
Spring Security过滤链FilterChain
Jianyang_usst的博客
11-17 9196
Spring Security过滤链FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤链机制! 1.Filters概述 图1 过滤链 当客户端发送一个请求到应用时,容器会创建一个过滤链FilterChain,该过滤链包含了Filt
springboot项目中运行spring security 报 Error creating bean with name 'springSecurityFilterChain'。。。。错误
热门推荐
qq_37736010的博客
03-16 3万+
springboot版本:1.5.9 spring security版本:1.5.9 问题描述: 启动springboot项目,直接编译报错,内容: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'springSecurityFilterChain' define...
SpringSecurity框架原理浅谈之 SpringSecurityFilterChain
黄先生的博客
02-10 342
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。
springSecurityFilterChain加载问题
jiegegeaa1的博客
09-25 3333
九月 25, 2018 4:35:04 下午 org.apache.catalina.core.StandardContext listenerStart 严重: Exception sending context initialized event to listener instance of class org.springframework.web.context.ContextLoad...
新版 Spring Security 配置的变化
在计算机领域混战了5年的java开发工程师,正在向全栈奋斗的路上。目前在学习和分享:Java,springboot,spring,vue,系统开发,服务器运维(可做毕业设计)等相关知识。
04-10 5121
现在过滤器链的配置,我们通过提供一个 SecurityFilterChain Bean 来配置过滤器链,SecurityFilterChain 是一个接口,这个接口只有一个实现类 DefaultSecurityFilterChain,构建 DefaultSecurityFilterChain 的第一个参数是拦截规则,也就是哪些路径需要拦截,第二个参数则是过滤器链,这里我给了一个空集合,也就是我们的 Spring Security 会拦截下所有的请求,然后在一个空集合中走一圈就结束了,相当于不拦截任何请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值