Spring Security启动加载流程梳理

最新推荐文章于 2024-05-31 14:55:40 发布
最新推荐文章于 2024-05-31 14:55:40 发布
阅读量3.1k 收藏 5
点赞数 1
分类专栏: Spring Security 文章标签: Spring Security启动加载流程 Spring Security DelegatingFilt springSecurityFilterChain filterChainProxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluuusea/article/details/80009903
版权

注:本文使用的Spring版本:4.0.2.RELEASE ,Spring Security版本:3.2.8.RELEASE

  • web.xml配置
    使用Spring Security需要在web.xml加入一个Filter,如下:
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>
        org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

查看DelegatingFilterProxy源码发现这个类是位于spring-web包下:
这里写图片描述

网上对这个类的描述也比较多,大致如下:

说明这个类本身是和springSecurity无关。DelegatingFilterProxy类继承于抽象类GenericFilterBean,间接地实现了javax.servlet.Filter接口,Servlet容器在启动时,首先会调用Filter的init方法, GenericFilterBean的作用主要是可以把Filter的初始化参数自动地set到继承于GenericFilterBean类的Filter中去。

先来看下这个类的继承关系:
这里写图片描述

继承关系确实是继承了GenericFilterBean并且实现了Filter接口
然后看下它的初始化的方法。既然看到继承了Filter类,那么初始化肯定是从init()方法开始的,我们来找下init(),
这里写图片描述

发现类DelegatingFilterProxy中没有init方法,然后看下其父类GenericFilterBean结构:
这里写图片描述
找到了init()方法,然后来看下方法内容:
这里写图片描述
发现其调用了initFilterBean()方法,刚才在DelegatingFilterProxy类中我们也看到有initFilterBean()方法,来看下DelegatingFilterProxy中的initFilterBean()方法:
这里写图片描述
中间看到有个targetBeanName,我们没有定义,此处使用的是Filter的名字springSecurityFilterChain,后面其调用了initDelegate方法,我们来看下initDelegate方法:
这里写图片描述
initDelegate方法中,我们看到使用getBean获取到了一个Filter,bean的名称使用的是属性targetBeanName此处为springSecurityFilterChain,跟踪代码我们发现此处获取到的Filter为org.springframework.security.filterChainProxy,截图如下:
这里写图片描述
看到这个好多人都会有疑问,明明使用的bean名称是springSecurityFilterChain,为什么获取到filterChainProxy呢,我们接着跟踪源码,此处源码较多使用多个图拼接展示:
这里写图片描述

图中最后SimpleAliasRegistry类的canonicalName方法中通过循环将springSecurityFilterChain转换为filterChainProxy,其中aliasMap的初始化赋值则是在SimpleAliasRegistry类的registerAlias方法:
这里写图片描述

然后在HttpSecurityBeanDefinitionParser类中的registerFilterChainProxyIfNecessary方法中找到了对springSecurityFilterChain的赋值:
这里写图片描述
HttpSecurityBeanDefinitionParser类是spring Security的一种解析器,其主要作用是实例化org.springframework.security.web.FilterChainProxy,此处不多做介绍(看到有篇文章介绍对HttpSecurityBeanDefinitionParser类做了介绍,想了解的可以参考下:HttpSecurityBeanDefinitionParser浅析)。

至此就明白了Spring Security使用springSecurityFilterChain获取到的Filter为org.springframework.security.filterChainProxy的原理。并且Filter的init()方法也在执行完initFilterBean()后结束,至于spring Security中xml配置文件中标签的加载,可以参考下Spring的自定义标签的解析方法,有人做了分析:浅谈Spring的BeanDefinitionParser的触发流程,但是这篇文章没介绍Spring的加载过程,想了解的可以参考这个:Spring启动执行流程梳理

昵称2021
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity动态用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态用户角色权限,并...
SpringSecurity 介绍/基本使用/流程/认证流程/权限访问流程/共享认证信息
萌萌虎的博客
08-17 484
Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security 重要核心功能。用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录用户授权。......
Spring Security安全配置
coolshyman的博客
07-25 1973
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
spring过程
最新发布
m0_47743175的博客
05-31 578
spring过程
「技术原理」Spring Security的核心功能和运行流程的原理分析
weixin_64314555的博客
12-27 711
SpringSecurity的架构总览 Spring Security的简介说明 Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。 概念释义 认证(Authentication):认证就是对试图访问资源的用户进行验证。 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。 授权(Authority):授权就是对资源进行权限设置,只有用户具...
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 2025
Spring Security配置流程剖析
Spring Security 梳理 - DelegatingFilterProxy
weixin_30820077的博客
12-01 245
可能你会觉得奇怪,我们在web应用中使用Spring Security时只在web.xml文件中定义了如下这样一个Filter,为什么你会说是一系列的Filter呢? <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class&gt...
SpringSecurity流程图.vsdx
09-05
SpringSecurity流程SpringSecurity系统启动流程 SpringSecurity调用流程
spring boot启动数据原理分析
08-30
Spring Boot应用中,我们经常需要在项目启动时执行一些初始化任务,比如数据库数据、配置设置或者其他系统准备任务。Spring Boot为此提供了一个简洁的机制,即通过实现`CommandLineRunner`或`Application...
浅析Spring Security登录验证流程
08-25
Spring Security的登录验证流程是一个复杂的过程,涉及到多种登录认证的方式和不同的过滤器链。理解Spring Security的登录验证流程对于开发者来说非常重要,可以帮助我们更好地使用Spring Security框架来实现登录...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
Spring Security启动流程分析
让兔子飞得更高
01-24 665
主要参考博文:Spring Security启动流程梳理 补充博文:DelegatingFilterProxy的作用与用法 &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt; org.springframework...
Spring Security过程
wjc133的专栏
09-23 3190
Spring Security是我一直想要研究的一个开源项目,之前也尝试着用它做个几个小小的demo,但是总觉得不得要领。所以干脆从源码入手,来分析一下它的过程。
SpringSecurity源码解读一(启动过程)
weixin_40333020的博客
03-04 263
1.容器相关类UML图 2.容器启动源码分析 2.1 启动WebSecurityConfigurer配置类 2.2 在WebSecurityConfiguration设置SecurityConfigurer 2.3 Spring Security Configure之后创建SpringSecurityFilterChain过滤器链 2.4 调用抽...
[spring security]除了过滤器顺序,还特别需要注意的providers顺序
quzishen的专栏
09-17 3411
spring security对于用户身份的判断是通过一系列的过滤器来完成的,如果你采用的是自定义过滤器链的方式来实现自己的需求,那么需要特别注意过滤器链的顺序问题。一个较为典型的问题是:为什么我的用户是密码错误,但是却抛出用户不存在的异常呢?(而不是抛出身份检查失败异常)这就是因为配置的org.springframework.security.providers.ProviderManager中的providers顺序不合适导致的了,过滤器的检查,是一个链表的形式,如果当前的过滤器能匹配成功,那么则会停止
springsecurity工作流程
qq_39321234的博客
04-27 1896
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
SpringSecurity认证流程
msq16021的博客
08-03 5706
SpringSecurity认证流程
springsecurity启动流程
06-06
Spring Security启动流程如下: 1. 首先,Spring Security会读取配置文件中的安全配置信息,包括认证方式、授权方式、角色权限等。 2. 接着,Spring Security会根据配置信息创建相应的过滤器链,用于处理请求的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值