Spring Security Web : Web安全过滤器链代理对象 FilterChainProxy

最新推荐文章于 2024-04-04 12:27:02 发布
最新推荐文章于 2024-04-04 12:27:02 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: Spring Security 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy_zhang2007/article/details/90349988
版权

FilterChainProxySpring Security Web添加到Servlet容器用于安全控制的一个Filter。从Servlet容器的角度来看,Spring Security Web所提供的安全逻辑就是一个Filter,实现类为FilterChainProxy。实际上FilterChainProxy是一个代理对象,FilterChainProxy内部组合了多个SecurityFilterChain,每个SecurityFilterChain组合了一组Filter,这组Filter虽然也实现了Servlet Filter接口,但它们对于整个Servlet容器来讲是不可见的。对于Servlet容器来讲,Spring Secrutiy Web添加进来的用于安全的过滤器就是FilterChainProxy这一个过滤器,真正对请求的安全处理逻辑,最终由匹配该请求的某个SecurityFilterChain中的多个Filter来完成。

Spring Security Web框架中,FilterChainProxyWeb安全构建器WebSecurity构建而来。而该构建动作在应用启动过程中Web安全配置阶段执行,具体可以参考Web安全配置类WebSecurityConfiguration。而WebSecurityConfiguration则又由注解@EnableWebSecurity引起。这个触发关系,可以这么理解 :

@EnableWebSecurity => WebSecurityConfiguration => WebSecurity 构建 => FilterChainProxy

缺省情况下FilterChainProxy安全过滤器的名字总是springSecurityFilterChain

源代码

源代码版本 : Spring Security Web 5.1.4.RELEASE

package org.springframework.security.web;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.StrictHttpFirewall;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.security.web.util.UrlUtils;
import org.springframework.web.filter.DelegatingFilterProxy;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;

public class FilterChainProxy extends GenericFilterBean {
	// ~ Static fields/initializers
	// ======================================================

	private static final Log logger = LogFactory.getLog(FilterChainProxy.class);

	// ~ Instance fields
	// ======================================================

	private final static String FILTER_APPLIED = FilterChainProxy.class.getName().concat(
			".APPLIED");

	private List<SecurityFilterChain> filterChains;

	private FilterChainValidator filterChainValidator = new NullFilterChainValidator();

	private HttpFirewall firewall = new StrictHttpFirewall();

	// ~ Methods
	// =====================================================

	public FilterChainProxy() {
	}

    // 构造函数 :基于一组过滤器链 SecurityFilterChain 构造一个 FilterChainProxy 对象
	public FilterChainProxy(SecurityFilterChain chain) {
		this(Arrays.asList(chain));
	}

    // 构造函数 :基于一组过滤器链 SecurityFilterChain 构造一个 FilterChainProxy 对象
	public FilterChainProxy(List<SecurityFilterChain> filterChains) {
		this.filterChains = filterChains;
	}

	//  InitializingBean 接口定义的当前 bean 的初始化方法
	//  使用 filterChainValidator 验证当前对象
	@Override
	public void afterPropertiesSet() {
		filterChainValidator.validate(this);
	}

    // Filter  接口定义的过滤器主方法 :
    // 如果针对该请求尚未应用该过滤器则应用该过滤器
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
			// 当前过滤器尚未应用
			// 对一个用户请求,会进入该分支
			try {
				// 标记对该请求该过滤器已经应用
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                // 应用该过滤器到请求
				doFilterInternal(request, response, chain);
			}
			finally {
				// 当前请求已经被处理完,现在清除安全上下文
				SecurityContextHolder.clearContext();
                // 请求当前请求中设置的已经被当前过滤器处理过的标志
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
			// 2019-05-19 : 此分支存在的目的尚未明确 
			doFilterInternal(request, response, chain);
		}
	}

    // 应用当前过滤器到请求的具体逻辑实现
	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		// 当前过滤器其实一个组合了多个过滤器链 SecurityFilterChain 的代理对象,
		//  现在找到匹配当前请求的那个 SecurityFilterChain 中的所有安全过滤器
		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			// 如果针对当前请求没有匹配的安全过滤器,则继续执行过滤器链  chain
			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		// 如果针对当前请求有相应的安全过滤器,则将这些安全过滤器组成一个 VirtualFilterChain,
		// 虚拟过滤器链,将各个安全过滤器应用到该 请求上,这些安全过滤器应用完之后,在继续
		// 应用 chain 上的其他过滤器到该请求
		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

	/**
	 * Returns the first filter chain matching the supplied URL.
	 * 返回匹配指定请求的过滤器链中的过滤器,如果没有匹配的过滤器链则返回null
	 * @param request the request to match
	 * @return an ordered array of Filters defining the filter chain
	 */
	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}

	/**
	 * Convenience method, mainly for testing.
	 *
	 * @param url the URL
	 * @return matching filter list
	 */
	public List<Filter> getFilters(String url) {
		return getFilters(firewall.getFirewalledRequest((new FilterInvocation(url, "GET")
				.getRequest())));
	}

	/**
	 * @return the list of SecurityFilterChains which will be matched against and
	 * applied to incoming requests.
	 */
	public List<SecurityFilterChain> getFilterChains() {
		return Collections.unmodifiableList(filterChains);
	}

	/**
	 * Used (internally) to specify a validation strategy for the filters in each
	 * configured chain.
	 *
	 * @param filterChainValidator the validator instance which will be invoked on during
	 * initialization to check the FilterChainProxy instance.
	 */
	public void setFilterChainValidator(FilterChainValidator filterChainValidator) {
		this.filterChainValidator = filterChainValidator;
	}

	/**
	 * Sets the "firewall" implementation which will be used to validate and wrap (or
	 * potentially reject) the incoming requests. The default implementation should be
	 * satisfactory for most requirements.
	 *
	 * @param firewall
	 */
	public void setFirewall(HttpFirewall firewall) {
		this.firewall = firewall;
	}

	@Override
	public String toString() {
		StringBuilder sb = new StringBuilder();
		sb.append("FilterChainProxy[");
		sb.append("Filter Chains: ");
		sb.append(filterChains);
		sb.append("]");

		return sb.toString();
	}

	// ~ Inner Classes 内部类
	// =====================================================

	/**
	 * Internal FilterChain implementation that is used to pass a request through
	 * the additional internal list of filters which match the request.
	 * 一个内部类实现,用于将一组内部管理的过滤器应用到指定请求 firewalledRequest 上,应用完
	 * 这组过滤器之后,继续执行传入的过滤器链 chain
	 */
	private static class VirtualFilterChain implements FilterChain {
		private final FilterChain originalChain;
		private final List<Filter> additionalFilters;
		private final FirewalledRequest firewalledRequest;
		private final int size;
		private int currentPosition = 0;

		private VirtualFilterChain(FirewalledRequest firewalledRequest,
				FilterChain chain, List<Filter> additionalFilters) {
			this.originalChain = chain;
			this.additionalFilters = additionalFilters;
			this.size = additionalFilters.size();
			this.firewalledRequest = firewalledRequest;
		}

		@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
			if (currentPosition == size) {
				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
						+ " reached end of additional filter chain; proceeding with original chain");
				}

				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();

				originalChain.doFilter(request, response);
			}
			else {
				currentPosition++;

				Filter nextFilter = additionalFilters.get(currentPosition - 1);

				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " at position " + currentPosition + " of " + size
							+ " in additional filter chain; firing Filter: '"
							+ nextFilter.getClass().getSimpleName() + "'");
				}

				nextFilter.doFilter(request, response, this);
			}
		}
	}

	public interface FilterChainValidator {
		void validate(FilterChainProxy filterChainProxy);
	}

	private static class NullFilterChainValidator implements FilterChainValidator {
		@Override
		public void validate(FilterChainProxy filterChainProxy) {
		}
	}

}

相关文章

Spring Security Config : WebSecurityConfiguration Web 安全配置
Spring Boot 自动配置 : SecurityAutoConfiguration
Spring Security Web : SecurityFilterChain 安全过滤器概念模型

安迪源文
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity原理(四)——过滤器
trayvontang的博客
05-07 1144
概述 前面的文章中我们已经基本了解了怎样使用Spring Security的基本的认证(Authentication)和授权(Authority) 但是,我们还不清楚Spring Security到底是怎样执行这些流程。 这篇文章,我们就以SpringBoot为例,来梳理一下Spring Security从启动到执行这些流程的过程。 前置知识 我们知道Spring Security是通过Filter的方式来完成它的核心流程。但是: Spring Security到底拥有哪些Filter? 这些Filter
Spring Security 多过滤的使用
huan的学习记录
07-14 889
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
深入浅出Spring Security(二):FilterChainProxy的创建过程
LoveSummer
02-05 1216
上篇回顾 框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain,类型是FilterChainProxy WebSecurity和HttpSecurity都是建造者 WebSecurity构建目标是FilterChainProxy对象 HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。 @EnableWebSecurity注解,导入了WebSecurityConfiguration类 WebSecur
Spring Security中自定义认证逻辑(防暴力破解)
qq_32238611的博客
06-11 1620
项目开发时,需要对服务接口进行防暴力破解的防护,项目中使用的Spring Security没有对放暴力破解的支持,所以需要自己重写Spring Security中的认证逻辑来实现防暴力破解的能力。本次使用的软件版本如下:Spring Boot 2.6.7 (配套的Spring Security版本是5.6.3)下面是具体的实现案例,先简单梳理下实现方案。基于servlet的应用和基于webflux的应用实现有点不太一样,这边都整理一下,不过差别也不大。新增Spring Security配置类,继承WebSe
5、spring security拦截器之FilterChainProxy
u012153127的博客
06-24 513
FilterChainProxy是一个拦截器代理,它会递归去调用里面的拦截器。 @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { boolean clearContext = request.getAttribute(FILTER_APPLIED) == n
Spring Security介绍(三)过滤器(1)过滤器
w_t_y_y的博客
02-06 569
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
全面解析Spring Security 过滤器的机制和特性
08-18
Spring SecurityFilterChainProxy 可以代理多条过滤器,并根据不同的 URI 匹配策略进行分发。但是,每个请求每次只能被分发到一条过滤器。每条过滤实际上就是一个 SecurityFilterChain。 在 Spring ...
Spring Security中的Servlet过滤器体系代码分析
08-18
Spring Security过滤器体系是基于Servlet Filter构建的,它利用Filter的顺序执行特性来实现其安全策略。这些过滤器包括认证、授权和安全防护等核心功能。例如,`AbstractAuthenticationProcessingFilter` 负责...
spring-security_examples:Spring 安全示例
06-18
关键的过滤器包括 `DelegatingFilterProxy`(指向 Spring SecurityFilterChainProxy)、`SecurityContextPersistenceFilter`(在请求之间保持安全上下文)、`UsernamePasswordAuthenticationFilter`(处理登录...
Spring Security如何在Servlet中执行
08-19
在Servlet环境中,Spring Security通过集成到Servlet的过滤器(Servlet Filter Chain)中来实现在Web应用中的安全控制。以下是关于Spring Security如何在Servlet中执行的详细说明: 1. **Servlet Filter Chain**...
Spring Security验证流程剖析及自定义验证方法
08-27
该框架的核心是通过一系列过滤器Filter)实现对用户请求的拦截和处理,这些过滤器构成了FilterChainProxy,根据不同的URL配置执行不同的安全策略。下面我们将深入探讨Spring Security的验证流程以及如何自定义验证...
SpringBoot学习笔记(十四:Spring Security安全管理 )
最新发布
2401_83330354的博客
04-04 907
@Overridepublic void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {resp.setContentType(“application/json;charset=utf-8”);PrintWriter out = resp.getWriter();out.write(“
Spring Security源码解析(二.创建FilterChainProxy
qq_30905661的博客
08-10 2758
上一章介绍了Spring Security的相关知识点,这章将详细分析源码。 首先需要认识到Spring Security的关键是filter——FilterChainProxy,经过一层层的filter才能最终访问到我们的资源信息。 同时要了解,访问不同的uri,系统会采取对应的filter列表进行过滤,如下图所示。 严谨点说不止是uri,可以自定义匹配头信息啊或者其他的,http请求中...
Spring Security3源码分析-FilterChainProxy初始化
wei_ya_wen的专栏
05-10 1243
很久没有更新博客了,最近对Spring Security做了比较深入的研究。  spring security的教程网上很多:  http://lengyun3566.iteye.com/category/153689  http://wenku.baidu.com/view/b0c0dc0b79563c1ec5da7179.html  以上教程足够应付在实际项目中使用spring s
spring security3教程系列--自定义过滤
shadowsick的专栏
02-08 1万+
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8576449 spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤,看本文章需要读者对spring security3 有一定程度的了解
Spring security深入杂谈
pushme_pli的专栏
05-09 1万+
spring security 是一个用于身份验证和访问控制的成熟框架,主要用于web的url访问,当然她也可以用于更加细粒度的访问控制(方法控制)但前者更具普遍意义,本文论述前者。 一 Quick start,一个简单的例子 step1: 在web.xml中添加spring security代理filterspringSecurityFilterChain
spring security 概述& 配置文件详解
热门推荐
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器web.xml:     springSecurityFilterChain     org.springframework.
Spring Security代理过滤器是通过FilterChain如何工作的
u013828625的博客
05-23 4605
我们在搭建Spring Security框架的第一步配置是在项目的web.xml添加代理过滤器,配置如下 springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 由此我我们可以得出一个结果
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值