Spring Security3源码分析(17)-Filter链排序分析

最新推荐文章于 2024-06-12 17:21:32 发布
最新推荐文章于 2024-06-12 17:21:32 发布
阅读量1.2k 收藏
点赞数
分类专栏: Spring-Security 文章标签: Filter链排序分析
通过前面Spring Security提供的各种Filter的分析,大体上知道每个Filter具体的用途了。 
Spring Security一共提供了20个Filter,我目前只分析了13个(如果http的auto-config="true",那默认的filter列表都包含在这13个里面了),另外7个在后面的源码分析中碰到时会逐个讲解。 
在分析http标签时,已经提到filter排序的问题了,但是没有深入。 

现在再回头看filter是如何排序的。下面的代码片段截取自HttpSecurityBeanDefinitionParser类, 
Java代码   收藏代码
  1. //定义未排序filter集合。该集合中的对象为OrderDecorator实例。  
  2. List<OrderDecorator> unorderedFilterChain = new ArrayList<OrderDecorator>();  
  3. //添加http、认证相关的filter集合  
  4. unorderedFilterChain.addAll(httpBldr.getFilters());  
  5. unorderedFilterChain.addAll(authBldr.getFilters());  
  6. //定义RequestCacheAwareFilter过滤器,并添加到unorderedFilterChain中  
  7. BeanDefinition requestCacheAwareFilter = new RootBeanDefinition(RequestCacheAwareFilter.class);  
  8. requestCacheAwareFilter.getPropertyValues().addPropertyValue("requestCache", authBldr.getRequestCache());  
  9. unorderedFilterChain.add(new OrderDecorator(requestCacheAwareFilter, REQUEST_CACHE_FILTER));  
  10. //添加自定义filter  
  11. unorderedFilterChain.addAll(buildCustomFilterList(element, pc));  
  12. //根据排序规则进行排序  
  13. Collections.sort(unorderedFilterChain, new OrderComparator());  
  14. //检查每个filter与前一个filter的位置是否相同  
  15.  //这里的检查主要是防止自定义filter直接配置position属性,造成与默认的filter产生order冲突  
  16. checkFilterChainOrder(unorderedFilterChain, pc, source);  
  17. //重新定义filterChain,把经过排序的filter依次添加到filterChain集合中  
  18. List<BeanMetadataElement> filterChain = new ManagedList<BeanMetadataElement>();  
  19.   
  20. for (OrderDecorator od : unorderedFilterChain) {  
  21.     filterChain.add(od.bean);  
  22. }  

细心的同学会发现httpBldr.getFilters()、authBldr.getFilters()两个方法返回的就是OrderDecorator对象的集合列表。并且OrderDecorator对象已经将filter与SecurityFilters中的order关联了起来 
Java代码   收藏代码
  1. unorderedFilterChain.addAll(httpBldr.getFilters());  
  2. unorderedFilterChain.addAll(authBldr.getFilters());  


顺便看一下创建自定义过滤器部分 
Java代码   收藏代码
  1. List<OrderDecorator> buildCustomFilterList(Element element, ParserContext pc) {  
  2.     List<Element> customFilterElts = DomUtils.getChildElementsByTagName(element, Elements.CUSTOM_FILTER);  
  3.     List<OrderDecorator> customFilters = new ArrayList<OrderDecorator>();  
  4.   
  5.     final String ATT_AFTER = "after";  
  6.     final String ATT_BEFORE = "before";  
  7.     final String ATT_POSITION = "position";  
  8.     //循环自定义标签列表custom-filter  
  9.     for (Element elt: customFilterElts) {  
  10.         String after = elt.getAttribute(ATT_AFTER);  
  11.         String before = elt.getAttribute(ATT_BEFORE);  
  12.         String position = elt.getAttribute(ATT_POSITION);  
  13.   
  14.         String ref = elt.getAttribute(ATT_REF);  
  15.   
  16.         if (!StringUtils.hasText(ref)) {  
  17.             pc.getReaderContext().error("The '" + ATT_REF + "' attribute must be supplied", pc.extractSource(elt));  
  18.         }  
  19.   
  20.         RuntimeBeanReference bean = new RuntimeBeanReference(ref);  
  21.   
  22.         if(WebConfigUtils.countNonEmpty(new String[] {after, before, position}) != 1) {  
  23.             pc.getReaderContext().error("A single '" + ATT_AFTER + "', '" + ATT_BEFORE + "', or '" +  
  24.                     ATT_POSITION + "' attribute must be supplied", pc.extractSource(elt));  
  25.         }  
  26.         //如果指定了position,直接将filter与order产生关联关系  
  27.         if (StringUtils.hasText(position)) {  
  28.             customFilters.add(new OrderDecorator(bean, SecurityFilters.valueOf(position)));  
  29.         //如果指定了after,将filter与after值加一产生关联关系  
  30.         } else if (StringUtils.hasText(after)) {  
  31.             SecurityFilters order = SecurityFilters.valueOf(after);  
  32.             if (order == SecurityFilters.LAST) {  
  33.                 customFilters.add(new OrderDecorator(bean, SecurityFilters.LAST));  
  34.             } else {  
  35.                 customFilters.add(new OrderDecorator(bean, order.getOrder() + 1));  
  36.             }  
  37.         //如果指定了before,将filter与before-1产生关联关系  
  38.         } else if (StringUtils.hasText(before)) {  
  39.             SecurityFilters order = SecurityFilters.valueOf(before);  
  40.             if (order == SecurityFilters.FIRST) {  
  41.                 customFilters.add(new OrderDecorator(bean, SecurityFilters.FIRST));  
  42.             } else {  
  43.                 customFilters.add(new OrderDecorator(bean, order.getOrder() - 1));  
  44.             }  
  45.         }  
  46.     }  
  47.   
  48.     return customFilters;  
  49. }  


这里用到三个重要的与排序相关的类及枚举,分别是OrderDecorator、OrderComparator以及SecurityFilters枚举 
首先看SecurityFilters枚举定义 
Java代码   收藏代码
  1. enum SecurityFilters {  
  2.     FIRST (Integer.MIN_VALUE),  
  3.     //order=100  
  4.     CHANNEL_FILTER,  
  5.     //order=200  
  6.     CONCURRENT_SESSION_FILTER,  
  7.     //依次递增……  
  8.     SECURITY_CONTEXT_FILTER,  
  9.     LOGOUT_FILTER,  
  10.     X509_FILTER,  
  11.     PRE_AUTH_FILTER,  
  12.     CAS_FILTER,  
  13.     FORM_LOGIN_FILTER,  
  14.     OPENID_FILTER,  
  15.     LOGIN_PAGE_FILTER,  
  16.     DIGEST_AUTH_FILTER,  
  17.     BASIC_AUTH_FILTER,  
  18.     REQUEST_CACHE_FILTER,  
  19.     SERVLET_API_SUPPORT_FILTER,  
  20.     REMEMBER_ME_FILTER,  
  21.     ANONYMOUS_FILTER,  
  22.     SESSION_MANAGEMENT_FILTER,  
  23.     EXCEPTION_TRANSLATION_FILTER,  
  24.     FILTER_SECURITY_INTERCEPTOR,  
  25.     SWITCH_USER_FILTER,  
  26.     LAST (Integer.MAX_VALUE);  
  27.     //这里设置100,主要给自定义过滤器提供after、before的预留位置  
  28.     //也就是说,在某个默认的过滤器前后只能自定义99个过滤器,虽然可能性几乎为0  
  29.     private static final int INTERVAL = 100;  
  30.     private final int order;  
  31.     //返回的order值=序号*间隔100  
  32.     private SecurityFilters() {  
  33.         order = ordinal() * INTERVAL;  
  34.     }  
  35.   
  36.     private SecurityFilters(int order) {  
  37.         this.order = order;  
  38.     }  
  39.     //主要通过该方法返回Filter的位置  
  40.     public int getOrder() {  
  41.        return order;  
  42.     }  
  43. }  

由此可见,该类维护了Spring Security中每个filter的顺序 

接着看OrderDecorator类。这个类实现org.springframework.core.Ordered接口 
Java代码   收藏代码
  1. class OrderDecorator implements Ordered {  
  2.     BeanMetadataElement bean;  
  3.     int order;  
  4.     //构造函数传递两个参数1.bean定义;2.filter在链中的位置  
  5.     public OrderDecorator(BeanMetadataElement bean, SecurityFilters filterOrder) {  
  6.         this.bean = bean;  
  7.         this.order = filterOrder.getOrder();  
  8.     }  
  9.   
  10.     public OrderDecorator(BeanMetadataElement bean, int order) {  
  11.         this.bean = bean;  
  12.         this.order = order;  
  13.     }  
  14.     //实现接口方法getOrder  
  15.     public int getOrder() {  
  16.         return order;  
  17.     }  
  18.   
  19.     public String toString() {  
  20.         return bean + ", order = " + order;  
  21.     }  
  22. }  

OrderComparator类的路径是org.springframework.core.OrderComparator,实际上是spring core包的一个比较器,可以顺便看下OrderComparator源码。下面截取的只是部分核心代码 
Java代码   收藏代码
  1. public int compare(Object o1, Object o2) {  
  2.     boolean p1 = (o1 instanceof PriorityOrdered);  
  3.     boolean p2 = (o2 instanceof PriorityOrdered);  
  4.     if (p1 && !p2) {  
  5.         return -1;  
  6.     }  
  7.     else if (p2 && !p1) {  
  8.         return 1;  
  9.     }  
  10.     //前面几行代码主要针对PriorityOrdered,这里不做分析  
  11.   
  12.                      //分别获取Ordered接口实现类的getOrder方法得到order值  
  13.     int i1 = getOrder(o1);  
  14.     int i2 = getOrder(o2);  
  15.                   //对得到的order进行比较  
  16.     return (i1 < i2) ? -1 : (i1 > i2) ? 1 : 0;  
  17. }  
  18.          //获取Ordered接口的实现类,获取getOrder值  
  19. protected int getOrder(Object obj) {  
  20.     return (obj instanceof Ordered ? ((Ordered) obj).getOrder() : Ordered.LOWEST_PRECEDENCE);  
  21. }  


通过以上的分析,可以总结如下 

1.由SecurityFilters维持位置order 
2.由OrderDecorator维持filter与order的对应关系 
3.由OrderComparator负责比较OrderDecorator的先后顺序 

附上默认的过滤器顺序列表 
order过滤器名称
100ChannelProcessingFilter
200ConcurrentSessionFilter
300SecurityContextPersistenceFilter
400LogoutFilter
500X509AuthenticationFilter
600RequestHeaderAuthenticationFilter
700CasAuthenticationFilter
800UsernamePasswordAuthenticationFilter
900OpenIDAuthenticationFilter
1000DefaultLoginPageGeneratingFilter
1100DigestAuthenticationFilter
1200BasicAuthenticationFilter
1300RequestCacheAwareFilter
1400SecurityContextHolderAwareRequestFilter
1500RememberMeAuthenticationFilter
1600AnonymousAuthenticationFilter
1700SessionManagementFilter
1800ExceptionTranslationFilter
1900FilterSecurityInterceptor
2000SwitchUserFilter

以上标注红色的都已经分析完毕
Benjamin_whx
关注
专栏目录
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码
黄团团的个人博客
07-28 5551
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
spring-security框架源码改造:根据接口参数验证权限
热门推荐
黄智霖的博客
03-27 5万+
一、背景 spring-security作为一个权限验证框架,还是很好用的(虽然有点“重”),它能拦截请求,根据请求的路径、配置的权限码和定义的权限验证器进行权限拦截,同时能很方便的和spring、sprign-session等集成。但是我现在有个需求:对于同一个接口的某些参数取不同的值时,可能需要不同的权限验证。比如:/test/set?type=?,当type==1或type==2的时候需要...
Spring Security3源码分析-Filter排序分析
Dead_Knight的专栏
05-09 300
通过前面Spring Security提供的各种Filter分析,大体上知道每个Filter具体的用途了。 Spring Security一共提供了20个Filter,我目前只分析了13个(如果http的auto-config="true",那默认的filter列表都包含在这13个里面了),另外7个在后面的源码分析中碰到时会逐个讲解。 在分析http标签时,已经提到filter排序的问题了,...
FilterSecurityFilterChain上的的排序规则
xsgnzb的专栏
03-11 754
为了让系统正常运行,SecurityFilterChain 上的Filter要保持一定的顺序,例如AuthorizationFilter 要放在各类AuthenticationFilter 的后面,不然还没认证就开始校验权限信息,那一定不会通过。Spring Security为默认的Filter设置了固定的顺序,这些FilterFilter的子类,都会按照这个顺序执行。
Spring Cloud Gateway 源码剖析之Filter Chain过滤器
2301_82243078的博客
04-02 2054
分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》《Java高级架构知识》《算法知识》如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)[外图片转存中…(img-ZgRHnp01-1711990165485)]分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》[外图片转存中…(img-u8BmPqg7-1711990165485)]《Java高级架构知识》
Spring Security 入门(1-6-2)Spring Security - 内置的filter顺序、自定义filter、http元素和对应的filterChain...
weixin_34393428的博客
06-16 263
Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,而且各个 Filter 在功能上还有关联关系,所以它们的顺序也是非常重要的。 1、Spring Security的内置Filter 执行顺序 Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序。 ChannelProces...
filter java oauth_Spring-Security-Oauth整合Spring-Security,拦截器
weixin_35849182的博客
01-14 192
程序的目的主要是,在自己开发的web项目中,即提供前端页面调用访问得接口(带有安全机制),也提供第三方调用的API(基于授权认证的).在整合的过程中发现SpringSecurity不能到即处理自己的web请求也处理第三方调用请求。所以采用拦截器拦截处理本地的web请求,spring-security-oauth对第三方认证请求进行认证与授权。如果对Oauth2.0不熟悉请参考Oauth2.0介绍,...
Spring 源码解析 -- SpringWeb过滤器Filter解析
github_35735591的博客
08-01 883
在上几篇文章中探索了请求处理相关的代码,本篇开始探索请求处理前的一些操作代码,如Filter。本篇探索Filter初始化、请求处理等相关代码。
【第四篇】SpringSecurity的HttpSecurity详解
最新发布
筱白爱学习!的博客
06-12 1413
HttpSecurity配置以及结构详解
Spring-securitySpringMvc中的使用
lz710117239的博客
06-12 5208
Spring-securityspring中的校验流程,有SpringMVC配置和SpringFlux配置两种模式,关于使用方式,我们在这里说下1、SpirngMVC中的Security配置在SpirngMVC中的Security配置,我们需要有一个类继承WebSecurityConfigurerAdapter类,在里面可以配置自己需要的bean和拦截属性,更多详细介绍请看官方文档,这里只是简单...
web Security 入门篇
qq_40800349的博客
04-08 8543
Hello Web Security在这个部分,我们对一个基于web的security作一些基本的配置。可以分成四个部分:更新依赖 – 我们已经在前一篇文章中用Maven进行了示范进行Spring Security配置 – 这个例子中,我们采用WebSecurityConfigurerAdapter确保Spring Security配置已经被加载了 – 我们采用AbstractAnnotation...
spring security WebFlux 动态加载权限
Frinday的博客
05-28 1743
权限校验会调用 DelegatingReactiveAuthorizationManager -> check方法。DelegatingReactiveAuthorizationManager 里的mappings保存的是pathMatcher和对应的权限。 思路是拿到mappings,替换之前的权限。 把ServerHttpSecurity里的authorizeExchangeSpec替换为自定义的,authorizeExchangeSpec的configure方法里创建Authorizati.
Spring Security源码入门过滤器Filter
szm1160809039的博客
09-21 1010
Spring Security作为一个安全框架,主要有登录、认证等功能,而要实现这一系列的功能,在一个基于Servlet的应用上,当然会从Filter上入手。这篇博客主要就是根据官网文档讲解Spring Security怎么通过Filter构建这样一个安全拦截的功能的。 首先看看以下这幅图,这个流程用过spring mvc的都很熟悉,这就是filter的一个过滤流程,spring mvc中通常都会有一个Filterchain包含了一个Filter列表,对于每个拦截的请求依次过滤 了解了spring.
spring-security(十七)Filter顺序及简介
高枫的博客
02-22 3633
前言: spring security在web应用中是通过各种各样的filter来做认证和安全控制的,由于filter之间的依赖性,过滤器filter的顺序也极其重要,不管实际项目中我们选用了哪些过滤器。 1.filter顺序 [list] [*]ChannelProcessingFilter,访问协议控制过滤器,可能会将我们重新定向到另外一种协议,如从http转换成https ...
java 过滤器Filterchain.doFilter()之前和之后代码的执行顺序
zyb_jueying的博客
08-08 8470
过滤器拦截到请求之后,首先是执行doFilter()方法中chain.doFilter()之前的代码,然后放弃权限给下一个过滤器或者serverlet等等,最后才执行chain.doFilter()之后的代码。 测试场景: 1.新建一个index.html,配置连接调整到一个test.jsp页面 2.对test.jsp做两层过滤,查看过滤器代码中chain.doFilter()之前和之后代码...
从OncePerRequestFilter源码解读去了解Spring内置的Filter的特别之处以及常见过滤器使用介绍
进击的豌豆的博客
09-02 1633
转载自:【小家Spring】从OncePerRequestFilter源码解读去了解Spring内置的Filter的特别之处以及常见过滤器使用介绍 原文地址:【小家Spring】从OncePerRequestFilter源码解读去了解Spring内置的Filter的特别之处以及常见过滤器使用介绍 目录前言关于OncePerRequestFilterOncePerRequestFilter源码解读Spring内置OncePerRequestFilter实现CharacterEncodingFilterHi
Spring实战】----源码解析Spring Security4.1.3中的过滤器Filter配置
honghailiang的专栏
12-09 6607
Spring Security的底层是通过一系列的Filter来管理的,每个Filter都有其自身的功能,那么这些Filter是怎么装配到系统中的? 一、web.xml配置 通常web使用会在web.xml中进行如下配置 springSecurityFilterChain org.springframework.web.filter.DelegatingFilterPr
Security 中的Filters的顺序
u013828625的博客
05-26 1108
Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值