spring security 流程分析(1)

已于 2022-07-21 16:37:42 修改
阅读量200 收藏
点赞数
文章标签: spring java servlet
于 2022-07-21 16:25:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40937400/article/details/125911759
版权

Filter

spring security 是借助于 Filter 过滤器机制来实现的并在过程中结合了spring的机制 那么就从DelegatingFilterProxy开始分析spring security的整体执行流程

1. DelegatingFilterProxy

这个类作为过滤器添加到tomcat的过滤器链中在执行过程会按照顺序执行到这个类

public class DelegatingFilterProxy extends GenericFilterBean {
	...
	@Nullable
	private volatile Filter delegate;// 这个类做为一个连接点
	...
}

参看DelegatingFilterProxy的doFilter方法用以设置delegate

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
	//懒加载单例模式 防止多个FilterChainProxy实例
	Filter delegateToUse = this.delegate;
	if (delegateToUse == null) {
		synchronized (this.delegateMonitor) {
			delegateToUse = this.delegate;
			if (delegateToUse == null) {
				WebApplicationContext wac = findWebApplicationContext();
				if (wac == null) {
					throw new IllegalStateException("No WebApplicationContext found: " +
							"no ContextLoaderListener or DispatcherServlet registered?");
				}
				//通过这个方法获取到FilterChainProxy实例对象(内部通过WebApplicationContext的getBean方法获取实例对象 通过targetName获取)
				delegateToUse = initDelegate(wac);
			}
			this.delegate = delegateToUse;
		}
	}
	//此方法是调用FilterChainProxy的doFilter方法
	invokeDelegate(delegateToUse, request, response, filterChain);
}

protected void invokeDelegate(Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
	delegate.doFilter(request, response, filterChain);
}

2.FilterChainProxy

2.1 FilterChainProxy实例化过程

//this.securityFilterChains 成员填充
@Autowired(required = false)
void setFilterChains(List<SecurityFilterChain> securityFilterChains) {
	this.securityFilterChains = securityFilterChains;
}

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
	...
	for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
		this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
		for (Filter filter : securityFilterChain.getFilters()) {
			if (filter instanceof FilterSecurityInterceptor) {
				this.webSecurity.securityInterceptor((FilterSecurityInterceptor) filter);
				break;
			}
		}
	}
	...
	return this.webSecurity.build();
}
	|
	V this.webSecurity.build() 创建FilterChianProxy
protected Filter performBuild() throws Exception {
	//去掉部分代码
	...
	//过滤器链列表
	List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);
	...
	for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {
		SecurityFilterChain securityFilterChain = securityFilterChainBuilder.build();
		securityFilterChains.add(securityFilterChain);
		...
	}
	...
	//初始化过滤器代理的过滤器链用以在执行流程中执行
	FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
	filterChainProxy.afterPropertiesSet();
	Filter result = filterChainProxy;
	...
	this.postBuildAction.run();
	return result;
}

2.2 Spring Security 过滤器链

在这里插入图片描述

2.3 FilterChainProxy执行过程

FilterChainProxy 作为spring security的一个重要执行中转类会从spring ioc 中获取到所有的 spring security的过滤器并添加到内部filters成员中

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
	boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
	if (!clearContext) {
		doFilterInternal(request, response, chain);
		return;
	}
	try {
		request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
		doFilterInternal(request, response, chain);
	}catch (RequestRejectedException ex) {
		this.requestRejectedHandler.handle((HttpServletRequest) request, (HttpServletResponse) response, ex);
	}
	finally {
		SecurityContextHolder.clearContext();
		request.removeAttribute(FILTER_APPLIED);
	}
}
				 |
				 V
private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
	FirewalledRequest firewallRequest = this.firewall.getFirewalledRequest((HttpServletRequest) request);
	HttpServletResponse firewallResponse = this.firewall.getFirewalledResponse((HttpServletResponse) response);
	//获取 securityFilterChains 列表中的所有过滤器
	List<Filter> filters = getFilters(firewallRequest);
	//如果过滤器链列表为空或者没有过滤器则调用会调用ApplicationFilterChain.doFilter方法
	if (filters == null || filters.size() == 0) {
		firewallRequest.reset();
		chain.doFilter(firewallRequest, firewallResponse);
		return;
	}
	...
	//虚拟过滤器链 - 此处是spring security过滤器
	VirtualFilterChain virtualFilterChain = new VirtualFilterChain(firewallRequest, chain, filters);
	virtualFilterChain.doFilter(firewallRequest, firewallResponse);
}

3. VirtualFilterChain

VirtualFilterChain 类构造方法

private VirtualFilterChain(FirewalledRequest firewalledRequest, FilterChain chain,
				List<Filter> additionalFilters) {
	this.originalChain = chain; //ApplicationFilterChain
	this.additionalFilters = additionalFilters; //spring security过滤器列表
	this.size = additionalFilters.size();
	this.firewalledRequest = firewalledRequest;
}

VirtualFilterChina 类doFilter方法

public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
	if (this.currentPosition == this.size) {
		if (logger.isDebugEnabled()) {
			logger.debug(LogMessage.of(() -> "Secured " + requestLine(this.firewalledRequest)));
		}
		// Deactivate path stripping as we exit the security filter chain
		this.firewalledRequest.reset();
		this.originalChain.doFilter(request, response);
		return;
	}
	//currentPosition全局变量是过滤器列表的偏移每执行一次当前类的doFilter方法都会+1
	this.currentPosition++;
	Filter nextFilter = this.additionalFilters.get(this.currentPosition - 1);
	//调用过滤器链中过滤器 过滤器链列表在上图2.2
	//传入当前this对象 用以下一个过滤器调用doFilter方法并回到此处
	nextFilter.doFilter(request, response, this);
}

至此一个请求的处理流程从Tomcat的Filter到spring security的过滤器链流程分析完毕 下一章分析spring security的表单登陆请求处理过程

空空如也Ts
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsession详解
y-y-_-h-的博客
10-08 347
springsession详解
Spring Security
MoYu's Blog
05-06 242
Spring SecuritySecurity-dome 1.创建项目 创建一个Spring Boot项目,不用加入什么依赖 2.导入依赖 <dependencies> <!--启动器变为 web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-
SpringSecurity源码学习一:过滤器执行原理
qq_27586963的博客
10-07 857
在 上图中,一个请求进来进入web容器中,从上到下按顺序执行过滤器。当执行到DelegatingFilterProxy过滤器中,代理到FilterChainProxy类中。FilterChainProxy 决定应该使用哪个 SecurityFilterChain。只有第一个匹配的 SecurityFilterChain 被调用。
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
最新发布
2401_83974087的博客
04-18 498
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security的认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
Filter简记
strive____的博客
09-04 255
最近好多功能都是用Filter实现的,突然想到自己还没看过Filter运行的源码, 今天记录一下,以tomcat源码实现为例. org.apache.catalina.core.ApplicationFilterChain是javax.servlet.FilterChain 的一个具体实现. 看一下主要执行过程,doFilter(ServletRequest request, ServletRes...
spring boot拦截器的两种设置
火焰云的博客
01-26 624
1、实现HandlerInterceptor接口实现doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)方法 2、继承OncePerRequestFilter类,重写preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) 方法 ...
SpringSecurity认证流程详解
08-27
本文中,我们详细介绍了 SpringSecurity 认证流程的原理和实现机制,并对 UsernamePasswordAuthenticationFilter 和 ProviderManager 的作用进行了深入分析。了解 SpringSecurity 认证流程的原理和实现机制对于构建...
3.springSecurity源码分析1
08-03
6. SpringSecurity工作流程:一个典型的请求处理流程包括了以下步骤: - 请求到达,被DelegatingFilterProxy捕获。 - DelegatingFilterProxy委托给FilterChainProxy。 - FilterChainProxy检查请求,根据配置决定...
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 Spring Security OAuth 2.0 是一种基于 OAuth 2.0 协议的身份验证和授权框架,它提供了一个灵活和可扩展的解决方案来保护基于 Web 的应用程序。OAuth 2.0 是一种行业标准的授权协议,...
Spring_Security源码分析
04-14
在这个源码分析中,我们将聚焦于 `ConfigAttributeDefinition` 类,它是Spring Security配置核心组件的一部分。 `ConfigAttributeDefinition` 类扮演着配置属性的容器角色。它用于封装一系列的 `ConfigAttribute` ...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 ...本文主要介绍了 Spring Security 自定义认证登录的全过程记录,包括认证流程、核心代码分析等,旨在帮助读者更好地理解 Spring Security 的自定义认证登录机制。
springboot doFilterInternal request.getHeader无法获取请求头 跨域前端设置的数值
zhgyuhui的专栏
08-01 1789
对于【复杂的】跨域ajax请求,请求方思路是这样的:先发送一个 OPTIONS 请求,确认是可以请求的,之后才发送我们真正的 get 或者 post 等我们在 ajax 中定义的请求;第一次 OPTIONS 请求,headers 是不带过来的,所以过滤器中是要跳过这种请求的。处理方式如下 //放行 options 的请求 if ("OPTIONS".equals(request.getMethod())) { filterChain.doFil.
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1937
Spring Security运行流程的简单理解
SpringSecurity执行流程超详细讲解
qq_41473691的博客
09-18 5325
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
SpringSecurity的认识和整合流程
m0_51167384的博客
03-03 252
springsecurity认证和执行思路: 整合过程: 总结: 在项目中实现权限登录和认证,首先创建权限整理模块,进行权限分配,将菜单分配给角色,将角色分配给用户。然后配置springsecurity,通过实现里面的接口,配置好springsecurity。将依赖注入到权限管理模块,并在模块中实现UserDetailService。 执行流程就是:进入认证(登录)过滤器获取用户名和密码;根据获得的 查询用户信息和用户具有的权限(依靠权限管理模块的实现UserDetailsService);并通过sec
大白话详解Spring Security认证流程
LoveSummer
11-04 2751
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
Spring SecuritySecurityFilterChain的选择与执行流程(五)
欢谷悠扬
07-07 2031
1.FilterChainProxy去找过滤器链去了~ FilterChain 是过滤器链,我好像之前一直说的拦截器链(尴尬) 在上一篇中,我们知道FilterChainProxy 拿到了三条过滤器链,那FilterChainProxy如何根据请求去选择呢? 每个SecurityFilterChain都有一个RequestMatcher 匹配器,这个匹配器中可以放置多个url或者通配符表达式进行匹配,匹配成功就直接返回这个过滤器链的过滤器集合。 所以SecurityFilterChain其实也不是过滤器
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
springsecurity源码分析
03-16
Spring Security 是一个基于 Spring 框架的安全框架,它提供了一系列的安全服务,包括身份认证、授权、攻击防护等。Spring Security 的源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring Security

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值