SpringSecurity - 启动流程分析(三)

最新推荐文章于 2022-12-26 14:59:27 发布
最新推荐文章于 2022-12-26 14:59:27 发布
阅读量383 收藏 2
点赞数
分类专栏: # SpringSecurity 学习 文章标签: java spring boot spring SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaohao0206/article/details/126126318
版权


活动地址:CSDN21天学习挑战赛

承上启下

SpringSecurity - 启动流程分析(二) 这篇文章中,我们分析了 HttpSecurity 是如何转换为 List<Filter>,并最终放入 DefaultSecurityFilterChain 的。

// HttpSecurity 的 build() 方法
@Override
protected DefaultSecurityFilterChain performBuild() {
	filters.sort(comparator);
	return new DefaultSecurityFilterChain(requestMatcher, filters);
}

WebSecuritybuild() 方法在之后的逻辑中把 DefaultSecurityFilterChain 添加到了 List<SecurityFilterChain> 中,然后把 List<SecurityFilterChain> 作为参数 new 了一个 FilterChainProxy 类作为方法返回对象

for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
	// 这里的 securityFilterChainBuilder 就是 HttpSecurity,build() 方法返回了 DefaultSecurityFilterChain
	securityFilterChains.add(securityFilterChainBuilder.build());
}
FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
...
Filter result = filterChainProxy;
...
return result;

也就是说 SpringSecurity - 启动流程分析(一) 中的核心配置类 WebSecurityConfiguration 中的核心流程: springSecurityFilterChain() 方法返回的是一个 FilterChainProxy(又回到最初的起点)。

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
	boolean hasConfigurers = webSecurityConfigurers != null
			&& !webSecurityConfigurers.isEmpty();
	if (!hasConfigurers) {
		WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
				.postProcess(new WebSecurityConfigurerAdapter() {
				});
		webSecurity.apply(adapter);
	}
	return webSecurity.build();
}

到此为止,我们知道了:

  • @EnableWebSecurity 注解为 IoC 容器 中添加了 WebSecurityConfiguration 配置类
  • WebSecurityConfiguration 配置类为容器中添加了 springSecurityFilterChain Bean
  • springSecurityFilterChain Bean 是一个类型为 FilterFilterChainProxy
  • FilterChainProxy 中包含了 DefaultSecurityFilterChain 过滤器链
  • DefaultSecurityFilterChain 过滤器链中是由 HttpSecurity 转化而来的 Filters

SpringBoot - 配置 Filter 的几种方式 文章中我们知道,在容器中添加一个 Filter 类型的 Bean,就会拦截所有请求,但是从上面代码中我们看到返回的是一个 FilterChainProxy

从源码中可以看到,继承了 GenericFilterBean,关于 GenericFilterBean 可以查看 SpringMVC - 对于如何配置 Filter 的深度剖析 这篇文章

public class FilterChainProxy extends GenericFilterBean {
    private static final Log logger = LogFactory.getLog(FilterChainProxy.class);
    private static final String FILTER_APPLIED = FilterChainProxy.class.getName().concat(".APPLIED");
    // 这里就是传进来的 DefaultSecurityFilterChain,当然还包含了其他的 SecurityFilterChain
    private List<SecurityFilterChain> filterChains;
    ...
	
    public FilterChainProxy(List<SecurityFilterChain> filterChains) {
        this.filterChainValidator = new FilterChainProxy.NullFilterChainValidator();
        this.firewall = new StrictHttpFirewall();
        // 过滤器链,可以打印一下看看里面都有啥
        this.filterChains = filterChains;
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
        if (clearContext) {
            try {
                request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                this.doFilterInternal(request, response, chain);
            } finally {
                SecurityContextHolder.clearContext();
                request.removeAttribute(FILTER_APPLIED);
            }
        } else {
            this.doFilterInternal(request, response, chain);
        }

    }

    private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FirewalledRequest fwRequest = this.firewall.getFirewalledRequest((HttpServletRequest)request);
        HttpServletResponse fwResponse = this.firewall.getFirewalledResponse((HttpServletResponse)response);
        List<Filter> filters = this.getFilters((HttpServletRequest)fwRequest);
        if (filters != null && filters.size() != 0) {
        	// 虚拟过滤器链
            FilterChainProxy.VirtualFilterChain vfc = new FilterChainProxy.VirtualFilterChain(fwRequest, chain, filters);
            vfc.doFilter(fwRequest, fwResponse);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(fwRequest) + (filters == null ? " has no matching filters" : " has an empty filter list"));
            }

            fwRequest.reset();
            chain.doFilter(fwRequest, fwResponse);
        }
    }

    ...

    private static class VirtualFilterChain implements FilterChain {
    	// Servlet 容器中的原始过滤器链
        private final FilterChain originalChain;
        // SpringSecurity 的过滤器链
        private final List<Filter> additionalFilters;
        private final FirewalledRequest firewalledRequest;
        private final int size;
        private int currentPosition;

        private VirtualFilterChain(FirewalledRequest firewalledRequest, FilterChain chain, List<Filter> additionalFilters) {
            this.currentPosition = 0;
            this.originalChain = chain;
            this.additionalFilters = additionalFilters;
            this.size = additionalFilters.size();
            this.firewalledRequest = firewalledRequest;
        }

        public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
        	// SpringSecurity 中的 Filter 执行完之后,接着执行 Servlet 容器中的 Filter
            if (this.currentPosition == this.size) {
                if (FilterChainProxy.logger.isDebugEnabled()) {
                    FilterChainProxy.logger.debug(UrlUtils.buildRequestUrl(this.firewalledRequest) + " reached end of additional filter chain; proceeding with original chain");
                }

                this.firewalledRequest.reset();
                this.originalChain.doFilter(request, response);
            } else {
            	// 执行 SpringSecurity 中的 Filter,知道执行完为止
                ++this.currentPosition;
                Filter nextFilter = (Filter)this.additionalFilters.get(this.currentPosition - 1);
                if (FilterChainProxy.logger.isDebugEnabled()) {
                    FilterChainProxy.logger.debug(UrlUtils.buildRequestUrl(this.firewalledRequest) + " at position " + this.currentPosition + " of " + this.size + " in additional filter chain; firing Filter: '" + nextFilter.getClass().getSimpleName() + "'");
                }

                nextFilter.doFilter(request, response, this);
            }

        }
    }
}

项目启动时 Debug 看一下 FilterChainProxy 中的 filterChains 会被初始化为什么:

在这里插入图片描述

当有请求进来时,Debug 看一下 VirtualFilterChain 构造完成后包含的参数:

在这里插入图片描述

可以看到,正如上面所分析的,additionalFilters 中是 SpringSecurity 中的 Filters,而 originalChainServlet 容器中的过滤器链,也就是 ApplicationFilterChain

在这里插入图片描述

这里的 ApplicationFilterConfig 在之后的 Tomcat 学习 专栏再进行分析,这里主要是理解 SpringSecurity 的过滤逻辑

在这里插入图片描述

云原生.乔豆麻袋.cn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SPRING与设计模式---责任链模式
json20080301的专栏
02-24 7378
SPRING与设计模式---责任链模式 使用场景:当你想让一个以上的对象有机会能够处理某个请求的时候,就使用责任链模式。spring框架中的应用:spring安全框架security使用责任链模式,框架使用者可以动态地添加删除责任(处理request请求)。UML类图:活动图:源码解析:currentPosition表示责任链的要处理请求链条节点的位置,使用additionalFilters来依次...
spring-security-demo
03-25
Spring Security 框架深度解析与实战指南》 在当今的互联网开发中,安全问题始终是不容...在深入研究`spring-security-demo`项目的过程中,希望你能对Spring Security有更全面、深入的理解,并能在实践中得心应手。
spring security (originalChain和additionalFilters)
海贼懒懒
08-01 2057
Spring Security过滤器其实分成2部分:originalChain 和additionalFilters 顺序就是先走我们定义的过滤器(additionalFilters),然后再走内部过滤器(originalChain) 代码实例:我们配置在httpSecurity的都是在additionalFilters里,在WebSecurity里配的在originalChain里...
深入理解 FilterChainProxy【源码篇】
CHENFU_ZKK的博客
12-26 808
深入理解 FilterChainProxy【源码篇】
springcloud下oauth2统一认证原理解析尝试
edrfg1356gfh的博客
12-18 1210
springcloud这样的分布式架构体系下,目前大部分采用的方案都是认证服务器和资源服务器分离的模式以达到统一认证的目的. 首先搭建一个包含注册中心,网关,认证服务器和一个资源服务器,如何搭建不多做赘述了,网上有很多详细的教程.搭建完毕后,从网关访问数据保证搭建的是否正常执行. 这时候我们绕过网关,直接访问对应启动的资源服务节点,发现依然有相关的权限验证.为了验证权限是在资源服务器验证还是认...
盘点 Spring Security框架中的八大经典设计模式
linjingyg的博客
08-09 425
  等等,类似的很多,我就不一一赘述了。   松哥的 Spring Security 还在持续连载中,未来连载完了还会总结出更多的设计模式,这里先列出来八个和小伙伴们分享,如果小伙伴们有自己的见解,也欢迎留言补充。...
SpringBoot_SpringSecurity-源码.rar
10-10
SpringBoot_SpringSecurity-源码.zip 这个压缩包文件主要包含了SpringBoot集成SpringSecurity的源码分析SpringBootJava开发中一个流行的轻量级框架,它简化了配置和应用部署,使得开发者可以快速搭建应用程序。...
spring-framework-5.3.29.tar.gz
08-31
3. 安全增强:Spring Security在5.3.29版本中也有所改进,提供了更多安全相关的API和配置选项,强化了应用程序的安全防护。 4. 集成改进:Spring Framework 5.3.29增强了与其他技术的集成,如WebSocket、Quarkus、...
3.springSecurity源码分析1
08-03
5. 初始化过程:在Web应用程序启动时,SpringSecurity的配置会加载到Spring的ApplicationContext中,`springSecurityFilterChain`这个bean被创建并包含了一系列的Filter实例。当HTTP请求到达时,...
spring-boot-2.0.0.RELEASE.zip
最新发布
04-21
Spring Boot作为Java领域的一款热门框架,因其简洁的配置、快速的启动和一站式的特性,深受开发者喜爱。本文将围绕Spring Boot 2.0.0.RELEASE这一特定版本,深入探讨其主要特性、优势以及在实际开发中的应用。 1. *...
将几个Filter整合成一个Filter
yuwenruli的专栏
09-28 4289
CAS-Client的客户端配置还是多Filter,这个对于接入系统比较繁琐,我试着将这几个Filter合并成一个。   FilterChainProxy :其职责是给web.xml使用,接受其他需要合并的Filter的参数,初始化其他Filter. FilterInvoc
Spring学习总结—— Spring 过滤器
浅笑微凉的博客
04-09 711
SpringMVC过滤器 1、Spring 过滤器实现方法 1、编写实现 实现方式: - 实现Filter接口 - 继承抽象类GenericFilterBean - 继承抽象类OncePerRequestFilter - 该类为GenericFilterBean的直接子类,这一类过滤器包括CharacterEncodingFilter、HiddenHttpMetho...
Spring Security(六)—SpringSecurityFilterChain加载流程深度解析
热门推荐
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤器链,前文《Spring Security(四)–核心过滤器源码分析》 中我们分析SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
spring security 过滤器链嵌入原理
全场梦游c的博客
04-01 752
spring security 是如何将自己的过滤器加到了tomcat的过滤器链中的? 原理也就是这样: 1.当过滤器链执行到DelegatingFilterProxy的doFilter方法时,DelegatingFilterProxy委托给了FilterChainProxy去处理。(这里是用来委托模式) 2.FilterChainProxy将自己的过滤器链拿过来然后执行doFilter方法。 FilterChainProxy的doFilterInternal方法源码: private vo
SpringSpringSecurity的过滤器执行流程
Evan_QB的博客
12-19 3283
at position 1 of 12 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter' at position 2 of 12 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter'
Spring Security的过滤链工作原理
u013828625的博客
05-23 4140
上一篇文章中提到了名为springSecurityFilterChain的bean在Spring容器中的注册过程。它所代表的类即为org.springframework.security.web.FilterChainProxy. 所以所有的url请求实际上都会经过这个过滤器代理。让我们查看一下他的doFilter方法 public void doFilter(ServletReque
深入浅出Spring Security):FilterChainProxy的运行过程
LoveSummer
02-05 1023
上篇回顾 我们已经知道了Spring Security的核心过滤器的创建和原理,本文主要介绍核心过滤器FilterChainProxy是如何在tomcat的ServletContext中生效的。 ServletContext如何拿到FilterChainProxy的过滤器对象 我们都知道,Bean都是存在Spring的Bean工厂里的, 而且在Web项目中Servlet、Filter、Listener都要放入ServletContext中。 看下面这张图,ServletContainerInitial
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 726
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
springsecurity 源码
09-13
通过分析认证流程源码,可以了解到在用户进行身份验证时,Spring Security 是如何进行认证的[2.1]。这可以帮助我们更好地理解 Spring Security 在认证过程中的各个环节。 总结起来,Spring Security 的源码包含了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值