spring security 过滤器链嵌入原理

最新推荐文章于 2022-05-20 17:00:07 发布
最新推荐文章于 2022-05-20 17:00:07 发布
阅读量752 收藏
点赞数 3
分类专栏: 鉴权 文章标签: java 过滤器 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39404258/article/details/115366140
版权

spring security 是如何将自己的过滤器加到了tomcat的过滤器链中的?

原理也就是这样:

1.当过滤器链执行到DelegatingFilterProxy的doFilter方法时,DelegatingFilterProxy委托给了FilterChainProxy去处理。(这里是用来委托模式)

2.FilterChainProxy将自己的过滤器链拿过来然后执行doFilter方法。

FilterChainProxy的doFilterInternal方法源码:

private void doFilterInternal(ServletRequest request, ServletResponse response,
      FilterChain chain) throws IOException, ServletException {

   FirewalledRequest fwRequest = firewall
         .getFirewalledRequest((HttpServletRequest) request);
   HttpServletResponse fwResponse = firewall
         .getFirewalledResponse((HttpServletResponse) response);
    //获取到自己过滤器链
   List<Filter> filters = getFilters(fwRequest);
    //如果没有自己的过滤器链,则回到原来的过滤器链
   if (filters == null || filters.size() == 0) {
      if (logger.isDebugEnabled()) {
         logger.debug(UrlUtils.buildRequestUrl(fwRequest)
               + (filters == null ? " has no matching filters"
                     : " has an empty filter list"));
      }

      fwRequest.reset();

      chain.doFilter(fwRequest, fwResponse);

      return;
   }
    //调用自己的过滤器链
   VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
   vfc.doFilter(fwRequest, fwResponse);
}

接着看一下VirtualFilterChain静态内部类,这里面实现了FilterChain接口。

FilterChain接口用于通知 Web 容器把请求交给 Filter 链中的下一个 Filter 去处理,如果当前调用此方法的 Filter 对象是Filter 链中的最后一个 Filter,那么将把请求交给目标 Servlet 程序去处理。

而该类重写了逻辑,是最后一个Filter后交给原过滤器链

private static class VirtualFilterChain implements FilterChain {
   private final FilterChain originalChain;
   private final List<Filter> additionalFilters;
   private final FirewalledRequest firewalledRequest;
   private final int size;
   private int currentPosition = 0;

   private VirtualFilterChain(FirewalledRequest firewalledRequest,
         FilterChain chain, List<Filter> additionalFilters) {
      this.originalChain = chain;
      this.additionalFilters = additionalFilters;
      this.size = additionalFilters.size();
      this.firewalledRequest = firewalledRequest;
   }

   @Override
   public void doFilter(ServletRequest request, ServletResponse response)
         throws IOException, ServletException {
             //如果没有下一个过滤器,则回到原过滤器链
      if (currentPosition == size) {
         if (logger.isDebugEnabled()) {
            logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
                  + " reached end of additional filter chain; proceeding with original chain");
         }

         // Deactivate path stripping as we exit the security filter chain
         this.firewalledRequest.reset();

         originalChain.doFilter(request, response);
      }
      else {
         currentPosition++;
    	//获取当前过滤器
         Filter nextFilter = additionalFilters.get(currentPosition - 1);

         if (logger.isDebugEnabled()) {
            logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
                  + " at position " + currentPosition + " of " + size
                  + " in additional filter chain; firing Filter: '"
                  + nextFilter.getClass().getSimpleName() + "'");
         }
    	//执行这个过滤器,
     //而每个过滤器内最后都有一个这样的方法chain.doFilter(request,response);  去执行this这个类的doFilter方法,也就是又回来了,进行了循环
         nextFilter.doFilter(request, response, this);
      }
   }
}

总结:其实就是又套了一层,将DelegatingFilterProxy过滤器当成servlet,然后执行了一次FilterChainProxy这个过滤器链。

干了这杯柠檬多
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
浅谈Spring Security LDAP简介
08-26
XML配置文件的内容与Java配置类似,都是为了定义LDAP的搜索基础、过滤器和上下文源等设置。 五、LDAP数据交换格式 LDAP数据可以使用LDAP数据交换格式(LDIF)表示,LDIF是一种文本格式,用于描述LDAP目录中的数据...
SpringSecurity之基本原理
hcyxsh的博客
04-06 232
SpringSecurity之基本原理 1 启动情况 SpringSecurity 本质是一个过滤器链: 从启动是可以获取到过滤器链 org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil ter org.springframework.security.web.context.SecurityContextPersistenceFilter org.springframework.sec
Spring Security的过滤链工作原理
u013828625的博客
05-23 4139
上一篇文章中提到了名为springSecurityFilterChain的bean在Spring容器中的注册过程。它所代表的类即为org.springframework.security.web.FilterChainProxy. 所以所有的url请求实际上都会经过这个过滤器代理。让我们查看一下他的doFilter方法 public void doFilter(ServletReque
SpringSecurity过滤器链加载原理
Leon_Jinhai_Sun的博客
11-16 542
SpringSecurity过滤器链加载原理 通过前面十五个过滤器功能的介绍,对于SpringSecurity简单入门中的疑惑是不是在心中已经有了答案了呀? 但新的问题来了!我们并没有在web.xml中配置这些过滤器啊?它们都是怎么被加载出来的? DelegatingFilterProxy 我们在web.xml中配置了一个名称为springSecurityFilterChain的过滤器DelegatingFilterProxy,接下我直接对 DelegatingFilterProxy源码里重要代码进行
三、Spring Security过滤器
付之一笑的专栏
08-22 3054
一、Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不再赘述了。 Spring Security过滤器的介绍: org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新
Spring Security 中文教程.pdf
12-06
7.2.1. 绕过过滤器链 7.3. 过滤器顺序 7.4. 使用其他过滤器 —— 基于框架 8. 核心安全过滤器 8.1. FilterSecurityInterceptor 8.2. ExceptionTranslationFilter 8.2.1. AuthenticationEntryPoint ...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
7.2.1. 绕过过滤器链 7.3. 过滤器顺序 7.4. 使用其他过滤器 —— 基于框架 8. 核心安全过滤器 8.1. FilterSecurityInterceptor 8.2. ExceptionTranslationFilter 8.2.1. AuthenticationEntryPoint 8.2.2. ...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计毕业设计.zip
最新发布
10-20
- **过滤器链**:Spring Security通过一系列过滤器处理HTTP请求,实现对请求的拦截和安全控制。 - **状态管理**:Spring Security还负责会话管理和CSRF防护,确保应用安全性。 3. **Thymeleaf**: - **模板引擎*...
springsecurity3的进阶实例
06-05
开发者可以通过添加CSRF过滤器和在表单中嵌入CSRF令牌来实现这一功能。 在实际项目中,我们可能需要自定义登录页面和错误页面。SpringSecurity提供了自定义登录逻辑的途径,通过实现AuthenticationEntryPoint和...
SpringSecurity】基本原理过滤器链、过滤器加载过程、安全认证的两个重要接口)
一只文森特
01-01 3385
过滤器链、过滤器加载过程、安全认证的两个重要接口
SpringSecurity 实现原理及多过滤器链匹配规则
henry_yang2018的博客
02-16 1997
目录 SpringSecurity的实现原理 如何配置多个过滤器链 如何匹配多个过滤器链 总结 SpringSecurity的实现原理 Spring Security能完成各种认证和授权功能其实是依赖其底层的多个过滤器进行实现的,借用官方的一张原理图如下 但是实际上这些Filter并不是直接配置在tomcat中,其实他们都由一个叫做FilterChainProxy的类进行管理 这些Filter包括Spring Security默认生成的以及我们自己自定义的,通通都被封装成成一个个Fi
SpringSecurity——基本原理
小志的博客
09-22 2806
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security过滤器,服务的响应也会经过spring security过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security原理浅析
JackieBlog
07-07 234
1. 简介 2. 原理 3. 过滤器介绍 4. 源码分析
Spring Security原理分析
Techflow的博客
07-07 211
学习Spring Security原理,分析Spring Security的执行流程 Spring Security过滤器链 1、Spring Security过滤器链 发起请求 用于身份认证的过滤器 1、UsernamePasswordAuthentication filter用于处理表单登录 2、Basic Authentication filter 用于认证HttpBasic登录 … 上面的步骤,如果是表单登录那么久出发表单登录过滤器,否则进入Basic过滤器 注意: 实际应用中过滤器链.
Spring security 之 tomcat到springSecurityFilterChain拦截器过程分析(三)
欢谷悠扬
07-05 1011
1.前景提要 springSecurityFilterChain是一个DelegatingFilterProxyRegistrationBean的对象。 在第二篇中,我们分析得知,spring security通过注入DelegatingFilterProxyRegistrationBean对象到spring 容器中来使 servlet 容器在初始化的过程中能够获取并初始化到自己的过滤器链中去。 2.加入servlet 容器拦截器链中的springSecurityFilterChain如何运作 这里
SpringSecurity过滤器执行过程
clyu的博客
09-27 1482
一、过滤器Filter基本知识 过滤器Filter就是可以实现web容器对某资源的访问前截获进行相关的处理,还可以在某资源向web容器返回响应前进行截获进行处理。 简单来说,过滤器就相当于是一个滤纸用来过滤条件的~~ public interface Filter { //这是Servlet过滤器的初始化方法,Servlet容器创建Servlet过滤器实例后将调用这个方法。 //在这个方法中可以读取web.xml 文件中Servlet过滤器的初始化参数 public default v
过滤器链配置
p_o_i_n_t的博客
05-20 324
过滤器链如何配置
spring security (originalChain和additionalFilters)
海贼懒懒
08-01 2057
Spring Security过滤器其实分成2部分:originalChain 和additionalFilters 顺序就是先走我们定义的过滤器(additionalFilters),然后再走内部过滤器(originalChain) 代码实例:我们配置在httpSecurity的都是在additionalFilters里,在WebSecurity里配的在originalChain里...
springsecurity 过滤器
06-06
Spring Security 过滤器链是一系列过滤器的集合,用于处理 Web 应用程序的安全性。这些过滤器按照特定的顺序执行,以确保安全性的正确实施。过滤器链的顺序是非常重要的,因为它们的执行顺序会影响到安全性的实现。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值