Spring Security系列-Spring Security生命周期之出征

最新推荐文章于 2023-10-07 22:31:43 发布
最新推荐文章于 2023-10-07 22:31:43 发布
阅读量310 收藏 1
点赞数
分类专栏: Spring Security java 文章标签: Spring Security java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/camel84/article/details/105259080
版权

前言

本往篇是三部曲的最后一篇,本次我们来谈谈Spring Security是怎么对request请求进行拦截处理的。

入口

当客户端发送http request请求时,就会进入之前通过SpringSecurity创建的FilterChainProxy的doFilter方法,再进入doFilterInternal方法。

public class FilterChainProxy extends GenericFilterBean {
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
			try {
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
				doFilterInternal(request, response, chain);
			}
			finally {
				SecurityContextHolder.clearContext();
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
			doFilterInternal(request, response, chain);
		}
	}
	
	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}
}

接着,进入VirtualFilterChain类的doFilter方法

private static class VirtualFilterChain implements FilterChain {
	@Override
	publicvoid doFilter(ServletRequest request, ServletResponse response)
			throws IOException, ServletException {
		if (currentPosition == size) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
						+ " reached end of additional filter chain; proceeding with original chain");
			}

			// Deactivate path stripping as we exit the security filter chain
			this.firewalledRequest.reset();

			originalChain.doFilter(request, response);
		}
		else {
			currentPosition++;

			Filter nextFilter = additionalFilters.get(currentPosition - 1);

			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
						+ " at position " + currentPosition + " of " + size
						+ " in additional filter chain; firing Filter: '"
						+ nextFilter.getClass().getSimpleName() + "'");
			}

			nextFilter.doFilter(request, response, this);
		}
	}
}

上面的additionalFilters就是我们上一讲所讲到的,生成的12个filters。上面的nextFilter就是在循环这12个filters,并在每一次循环中调用它们的doFilter方法。

GenericFilterBean

GenericFilterBean类是继承javax.servlet.Filter接口的。也就会在Tomcat接收到HttpRequest请求时,就调用Filter接口的doFilter方法。

public interface Filter {

    public default void init(FilterConfig filterConfig) throws ServletException {}

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException;

    public default void destroy() {}
}

自定义Filter

有兴趣的读者可以试一下下面的代码,当tomcat收到httpRequest的时候,就会触发doFilter方法。

@Component
public class MyFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("Do Filter");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

总结

SpringSecurity之所以能过滤,主要还是继承了javax.servlet.Filter接口。

马各马它
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Spring Security生命周期简述
justlpf的专栏
05-10 245
自定义WebSecurityConfig->configure(AuthenticationManagerBuilder auth)有兴趣的读者可以试一下下面的代码,当tomcat收到httpRequest的时候,就会触发doFilter方法。@Component@Override@Override@OverrideSpringSecurity之所以能过滤,主要还是继承了javax.servlet.Filter接口。
SpringSecurity SecurityContext 生命周期
qq_51045856的博客
04-26 570
众所周知 SpringSecurity 将用户认证成功后的信息存放在 SecurityContext中,通过SecurityContextHolder.getContext() 可以在任何地方获得SecurityContext从而获得用户信息,SecurityContext 存在一个请求线程中及 ThreadLocal ,当请求结束后线程关闭SecurityContext 随之消失及在下次请求中无法获得上次请求的用户信息。
Spring Security系列-Spring Security生命周期之诞生
马各马它
04-08 891
前言
Spring Security系列-Spring Security生命周期之起源
马各马它
04-02 570
前言 本篇介绍SpringSecurity是加载过程。在引入SpringSecurity的项目中,我们往往会写一个WebSecurityConfig来配置用户认证规则。接下来,笔者会分三篇文章来介绍,这个认证规则是怎么应用到项目中的。 配置 下面是一个简单的WebSecurity配置,重载了三个config方法。分别配置了登录方式、用户来源和过滤特定url。 @Configuration publ...
SpringSecurity安全过滤器工作原理
weixin_44612246的博客
12-17 278
Spring Security主要安全过滤器及其工作原理分析
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
SpringSecurity源码学习一:过滤器执行原理
最新发布
qq_27586963的博客
10-07 901
在 上图中,一个请求进来会进入web容器中,从上到下按顺序执行过滤器。当执行到DelegatingFilterProxy过滤器中,会代理到FilterChainProxy类中。FilterChainProxy 决定应该使用哪个 SecurityFilterChain。只有第一个匹配的 SecurityFilterChain 被调用。
springsecurity源码分析》VirtualFilterChain递归执行拦截器
kaige8312的博客
02-20 876
FilterChainProxy 负责执行各种过滤器,  具体通过doFilterInternal方法: private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { ...
SecurityContext
weixin_51992178的博客
10-28 1516
SecurityContext的生命周期:请求到来时从Session中取出,放入SecurityContextHolder中,请求结束时从SecurityContextHolder取出,并放到Session中,实际上就是依靠Session来存储的,一旦会话过期验证信息也跟着消失。SecurityContextHolder的存储策略默认是`MODE_THREADLOCAL`,它是基于ThreadLocal实现的,`getContext()`方法本质上调用的是对应的存储策略实现的方法。
SpringSecurity拦截器链
qq_29860591的博客
05-08 1412
SpringSecurity拦截器链 Spring版本 <!--Spring Security过滤器链,注意过滤器名称必须叫springSecurityFilterChain--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>or...
spring 生命周期最详解
王者之峰
08-09 6万+
目的 在大三开始学习spring时,老师就说spring bean周期非常重要,当时也有仔细看,但是说实话搞不大懂,后面工作面试也问过,还是有点模糊,就是没有掌握好,进行深入理解,这次“老大”又问到了。不允许再回避了,所以这次坚决搞明白,理解生命周期作用,为啥要这样设计,我们能在生命周期做哪些更高层次的编程。 生命周期流程图 先总体看下spring生命周期流程图,实现(继承)这些接口(...
请求响应通过tomcat以及SpringMVC和SpringSecurity生命周期过程
Maybesss的博客
03-18 379
请求响应通过tomcat以及SpringMVC和SpringSecurity生命周期过程
spring security xml配置官方详解
不甘平庸的人
05-02 9765
6. Security Namespace Configuration 6.1 Introduction 自2.0版本的spring框架以来,命名空间配置已可用。 它允许您使用来自附加XML模式的元素来补充传统的Spring beans应用程序上下文语法。 您可以在Spring参考文档中找到更多信息。 命名空间元素可以简单地用于允许配置单个bean的更简洁的方式,或者更有力地定义更紧密地匹
关于Spring Bean的生命周期
热门推荐
Apeopl的博客
10-08 8万+
一、简介     Spring Bean 的生命周期在整个 Spring 中占有很重要的位置,从BeanFactory或ApplicationContext取得的实例为Singleton,也就是预设为每一个Bean的别名只能维持一个实例,而不是每次都产生一个新的对象使用Singleton模式产生单一实例,在spring中,singleton属性默认是true,只有设定为false,则每次指定别名取...
Spring Security的原理简介
justlpf的专栏
05-19 3464
参考文章:Spring Boot框架整合Spring Security实现安全访问控制 SpringSecurity核心组件 Spring Security做JWT认证和授权--import SpringBoot中使用Shiro和JWT做认证和鉴权--import Spring Security的安全访问控制分为Authentication(认证)和Authorization(授权,...
Spring-Security深度解析:企业级安全控制与应用教程
Spring-Security是一个强大的安全框架,专为基于Spring的企业应用系统提供声明式安全访问控制。它由Spring项目组的AcegiSecurity发展而来,旨在简化并整合J2EE企业应用的安全服务,特别是在采用Spring作为基础架构的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值