springSecurity源码分析——DelegatingFilterProxy类的作用

最新推荐文章于 2023-12-18 17:30:35 发布
转载 最新推荐文章于 2023-12-18 17:30:35 发布 · 688 阅读 · 0

转自http://www.cnblogs.com/hzhuxin/archive/2011/12/19/2293730.html


使用过springSecurity的朋友都知道,首先需要在web.xml进行以下配置,

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
 </filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>

 </filter-mapping>

从这个配置中,可能会给我们造成一个错觉,以为DelegatingFilterProxy类就是springSecurity的入口,但其实这个类位于spring-web-3.0.5.RELEASE.jar这个jar下面,说明这个类本身是和springSecurity无关。DelegatingFilterProxy类继承于抽象类GenericFilterBean,间接地implement 了javax.servlet.Filter接口,Servlet容器在启动时,首先会调用Filter的init方法,GenericFilterBean的作用主要是可以把Filter的初始化参数自动地set到继承于GenericFilterBean类的Filter中去。在其init方法的如下代码就是做了这个事:

?
1
2
3
4
5
6
PropertyValues pvs = new FilterConfigPropertyValues(filterConfig, this .requiredProperties);
BeanWrapper bw = PropertyAccessorFactory.forBeanPropertyAccess( this );
ResourceLoader resourceLoader = new ServletContextResourceLoader(filterConfig.getServletContext());
bw.registerCustomEditor(Resource. class , new ResourceEditor(resourceLoader));
initBeanWrapper(bw);
bw.setPropertyValues(pvs, true );

 另外在init方法中调用了initFilterBean()方法,该方法是GenericFilterBean类是特地留给子类扩展用的,

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
protected void initFilterBean() throws ServletException {
         // If no target bean name specified, use filter name.
         if ( this .targetBeanName == null ) {
             this .targetBeanName = getFilterName();
         }
 
         // Fetch Spring root application context and initialize the delegate early,
         // if possible. If the root application context will be started after this
         // filter proxy, we'll have to resort to lazy initialization.
         synchronized ( this .delegateMonitor) {
             WebApplicationContext wac = findWebApplicationContext();
             if (wac != null ) {
                 this .delegate = initDelegate(wac);
             }
         }
     }

 可以看出上述代码首先看Filter是否提供了targetBeanName初始化参数,如果没有提供则直接使用filter的name做为beanName,产生了beanName后,由于我们在web.xml的filter的name是springSecurityFilterChain,从spring的IOC容器中取出bean的代码是initDelegate方法,下面是该方法代码:

?
1
2
3
4
5
6
7
protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
         Filter delegate = wac.getBean(getTargetBeanName(), Filter. class );
         if (isTargetFilterLifecycle()) {
             delegate.init(getFilterConfig());
         }
         return delegate;
}

 通过跟踪代码,发现取出的bean是org.springframework.security.FilterChainProxy,该类也是继承于GenericFilterBean,取出bean后,判断targetFilterLifecycle属性是false还是true,决定是否调用该类的init方法。这个FilterChainProxy bean实例最终被保存在DelegatingFilterProxy类的delegate属性里,

下面看一下DelegatingFilterProxy类的doFilter方法

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
             throws ServletException, IOException {
 
         // Lazily initialize the delegate if necessary.
         Filter delegateToUse = null ;
         synchronized ( this .delegateMonitor) {
             if ( this .delegate == null ) {
                 WebApplicationContext wac = findWebApplicationContext();
                 if (wac == null ) {
                     throw new IllegalStateException( "No WebApplicationContext found: no ContextLoaderListener registered?" );
                 }
                 this .delegate = initDelegate(wac);
             }
             delegateToUse = this .delegate;
         }
 
         // Let the delegate perform the actual doFilter operation.
         invokeDelegate(delegateToUse, request, response, filterChain);
     }

 真正要关注invokeDelegate(delegateToUse, request, response, filterChain);这句代码,在下面可以看出DelegatingFilterProxy类实际是用其delegate属性即org.springframework.security.FilterChainProxy实例的doFilter方法来响应请求。

?
1
2
3
4
5
6
protected void invokeDelegate(
             Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
             throws ServletException, IOException {
 
         delegate.doFilter(request, response, filterChain);
     }

 

以上就是DelegatingFilterProxy类的一些内部运行机制,其实主要作用就是一个代理模式的应用,可以把servlet 容器中的filter同spring容器中的bean关联起来。


Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置实现的。
Spring Security 6.x 系列(7)—— SecurityBuilder 继承链源码分析
gmHappy
11-30 1万+
`WebSecurity`、`HttpSecurity`、`AuthenticationManagerBuilder` 都是框架中的构建者,把他们放到一起看看他们的共同特点: 可以看出他们都有这样一条相同的继承链: ```bash |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder
Spring Security详解二:工作原理
骑个小蜗牛的博客
04-29 1885
初始化 初始化是在项目启动的阶段完成的。 1. 初始配置 <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping>
Spring Security源码解析(六)
qq_40577332的博客
06-04 4062
如何自定义过滤器
Spring Security 核心过滤器链分析
weixin_33725515的博客
12-27 960
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器链中,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤链的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,会在运行...
Shiro源码学习(一)Filter的创建
finalcola的博客
03-29 643
一、从web.xml到Spring容器我们在使用spring配置shiro时,有两处需要配置Filter相关的地方: &lt;!-- Shiro配置 --&gt; &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt; &lt;filter-class&gt;org.sprin...
Spring Security源码分析
05-07
### Spring Security 源码详细解析 #### 一、Spring Security 的核心架构 Spring Security 是一个强大的安全框架,其设计目标是提供全面的安全解决方案。它的主要功能包括身份验证(Authentication)、授权...
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8382
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
《Spring实战》-第九章:Spring Web应用安全(Spring Security)
Laiguanfu的博客
03-25 425
慢慢来比较快,虚心学技术 安全性是绝大多数应用系统中的一个重要切面( aspect ),之所以说是切面,是因为安全性是超越应用程序功能的一个关注点。应用系统的绝大部分内容都不应该参与到与自己相关的安全性处理中。尽管我们可以直接在应用程序中编写安全性功能相关的代码(这种情况并不少见),但更好的方式还是将安全性相关的关注点与应用程序本身的关注点进行分离 一、什么是Spring Security...
Spring web过滤器-委派过滤器代理(DelegatingFilterProxy/FilterChainProxy)——Spring Security3源码分析
liangxw1的专栏
04-08 4404
http://blog.chinaunix.net/uid-7374279-id-4246259.html http://blog.csdn.net/geloin/article/details/7441937 一下整理于上面文章, Spring security应用时会用到的一个重要组件: org.springframework.web.filter中有一个特殊的
Spring:代理Filter:DelegatingFilterProxy原理和作用
热门推荐
琦彦
07-08 2万+
DelegatingFilterProxy就是一个对于servlet filter的代理,用这个的好处主要是通过Spring容器来管理servlet filter的生命周期, 还有就是如果filter中需要一些Spring容器的实例,可以通过spring直接注入, 另外读取一些配置文件这些便利的操作都可以通过Spring来配置实现。 Spring web在设计的时候考虑到某些功能的实...
privatenetworks-jvm-1.3.17.jar
10-20
privatenetworks-jvm-1.3.17.jar
aem-dictionary-translator.core-1.1.0-sources.jar
10-20
aem-dictionary-translator.core-1.1.0-sources.jar
medialive-jvm-1.4.81-sources.jar
10-20
medialive-jvm-1.4.81-sources.jar
基于事件触发机制的孤岛微电网二次电压与频率协同控制仿真模型(Simulink仿真实现)
最新发布
10-20
内容概要:本文介绍了一个基于事件触发机制的孤岛微电网二次电压与频率协同控制仿真模型,该模型通过Simulink实现,旨在提升微电网在孤岛运行模式下的电压和频率稳定性。通过引入事件触发机制,有效降低了控制器的通信负担和计算开销,同时保证了控制性能。模基于事件触发机制的孤岛微电网二次电压与频率协同控制仿真模型(Simulink仿真实现)型涵盖了微电网中分布式电源的动态特性、控制策略的设计与实现,并通过仿真验证了所提方法在抑制电压偏差、频率波动及提升系统响应速度方面的有效性。此外,文档还列举了大量相关的电力系统、优化算法、信号处理、机器学习等领域仿真资源,展示了其在科研与工程应用中的广泛技术支持。; 适合人群:从事电力系统、微电网控制、自动化及相关领域的科研人员、研究生以及具备一定MATLAB/Simulink基础的工程技术人员。; 使用场景及目标:①研究孤岛微电网中电压与频率的协同控制策略;②优化微电网控制系统中的通信效率与实时性;③开展基于事件触发机制的控制算法仿真与验证;④结合其他智能算法(如优化算法、机器学习)进行微电网高级控制策略开发。; 阅读建议:建议读者结合文中提供的仿真模型与相关资源链接,动手实践Simulink建模过程,重点关注事件触发条件的设计与控制效果的对比分析,同时可拓展学习文档中提及的优化算法与智能控制方法,以提升综合科研能力。
SpringSecurity源码解析:DelegatingFilterProxy的关键与早期初始化
在深入理解Spring Security源码的过程中,一项关键配置问题是关于`DelegatingFilterProxy`在web.xml文件中的`<filter>`元素中的`filter-name`属性设置。该问题的核心在于,尽管`DelegatingFilterProxy`本身不是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值