Springsecurity之FilterChainProxy

最新推荐文章于 2023-11-05 15:39:32 发布
最新推荐文章于 2023-11-05 15:39:32 发布
阅读量454 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/2518341/blog/2874530
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    最近在使用Springsecurity,然后debug代码时,经常看到FilterChainProxy,所以就在这里记录下吧。

    Springsecurity版本是4.3.x.RELEASE.

    List-1

public class FilterChainProxy extends GenericFilterBean {
	private final static String FILTER_APPLIED = FilterChainProxy.class.getName().concat(".APPLIED");
	private List<SecurityFilterChain> filterChains;
	private FilterChainValidator filterChainValidator = new NullFilterChainValidator();
	private HttpFirewall firewall = new StrictHttpFirewall();
...

    如List-1所示,后面我们会重点看下filterChains。

    FilterChainProxy继承了GenericFilterBean,这个类来自于Springframework框架而非Springsecurity。

    FilterChainProxy重写了GenericFilterBean的doFilter方法,如下List-2所示。

    List-2

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
			try {
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
				doFilterInternal(request, response, chain);
			}
			finally {
				SecurityContextHolder.clearContext();
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
			doFilterInternal(request, response, chain);
		}
	}

    在List-2中的doFilterInternal,通过getFilters(HttpServletRequest)方法,根据request的url来获取对应的Filter,如下List-3所示,SecurityFilterChain是个接口,如List-4所示。

    List-3

	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}

    List-4 SecurityFilterChain是个接口

public interface SecurityFilterChain {

	boolean matches(HttpServletRequest request);

	List<Filter> getFilters();
}

    如果List-3返回的getFilters不为空,那么会构造一个VirtualFilterChain,并调用它的doFilter,下面来看下VirtualFilterChain,如List-5,additionalFilters是根据request的url得到的Filter集合,originalChain是FilterChainProxy的doFilter中传入的FilterChain。

    List-5 VirtualFilterChain的属性及构造方法

	private static class VirtualFilterChain implements FilterChain {
		private final FilterChain originalChain;
		private final List<Filter> additionalFilters;
		private final FirewalledRequest firewalledRequest;
		private final int size;
		private int currentPosition = 0;

		private VirtualFilterChain(FirewalledRequest firewalledRequest,
				FilterChain chain, List<Filter> additionalFilters) {
			this.originalChain = chain;
			this.additionalFilters = additionalFilters;
			this.size = additionalFilters.size();
			this.firewalledRequest = firewalledRequest;
		}
...

    下面来看下VirtualFilterChain的doFilter,如List-6所示。

    List-6 VirtualFilterChain的doFilter

public void doFilter(ServletRequest request, ServletResponse response)
		throws IOException, ServletException {
	if (currentPosition == size) {
		// Deactivate path stripping as we exit the security filter chain
		this.firewalledRequest.reset();
		originalChain.doFilter(request, response);
	}
	else {
		currentPosition++;
		Filter nextFilter = additionalFilters.get(currentPosition - 1);
		nextFilter.doFilter(request, response, this);
	}
}

                     

                                                                                  图1

    如List-6所示,会先调用additionalFilters中的Filer,之后才会调用originalChain这个Filter,如图1所示,这个过程有点递归的感觉。而重点是这个additionalFilters中的Filter,正是Springsecurity根据配置加上request的url得到的Filter集合,所以Springsecurity通过这样的方式将需要处理的逻辑添加到originalChain之前。

    

    看FilterChainProxy的时候,看到一个内部类,如下List-7,然后有个实现类NullFilterChainValidator,但是这个里面没有做什么,得到的一个启示就是,在命名上,如果以后要定义一个默认什么都没有做的实现类,那么命名上也可以参考这个,在类名称前加上Null。最后这点纯属个人意见。

    List-7 FilterChainValidator

public interface FilterChainValidator {
	void validate(FilterChainProxy filterChainProxy);
}

private static class NullFilterChainValidator implements FilterChainValidator {
	public void validate(FilterChainProxy filterChainProxy) {
	}
}

 

思考:

  1. 这个FilterChainProxy是在哪被初始化的?这个问题的答案,目前还没有找到。
  2. SecurityFilterChain的实现还没有分析

 

转载于:https://my.oschina.net/u/2518341/blog/2874530

weixin_33895516
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-编码过滤----解析Filter实现原理
m0_66789766的博客
04-20 912
过滤器位于客户端和web应用程序之间,用于检查和修改两者之间流过的请求和响应。 在请求到达Servlet/JSP之前,过滤器截获请求。 在响应送给客户端之前,过滤器截获响应。 多个过滤器形成一个过滤器链,过滤器链中不同过滤器的先后顺序由部署文件web.xml中过滤器映射的顺序决定。 最先截获客户端请求的过滤器将最后截获Servlet/JSP的响应信息。 三、实现过滤器 可以通过实现javax.servlet.Filter类来实现自定义过滤器。 public class MyFilte..
深入浅出Spring Security(三):FilterChainProxy的运行过程
紫眸的博客
10-09 5061
上篇回顾 我们已经知道了Spring Security的核心过滤器的创建和原理,本文主要介绍核心过滤器FilterChainProxy是如何在tomcat的ServletContext中生效的。 ServletContext如何拿到FilterChainProxy的过滤器对象 我们都知道,Bean都是存在Spring的Bean工厂里的,而且在Web项目中Servlet、Filter、Listen...
深入浅出Spring Security(二):FilterChainProxy的创建过程
LoveSummer
02-05 1211
上篇回顾 框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain,类型是FilterChainProxy WebSecurity和HttpSecurity都是建造者 WebSecurity构建目标是FilterChainProxy对象 HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。 @EnableWebSecurity注解,导入了WebSecurityConfiguration类 WebSecur
深入浅出SpringSecurity和OAuth2(二)—— 安全过滤器FilterChainProxy
你要悄悄的拔尖,然后惊艳所有人
07-28 2345
文章目录前言正文1. FilterChainProxy什么时候注入Spring容器中的2. springSecurityFilterChain()方法的作用3. 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth
Spring Security Web : Web安全过滤器链代理对象 FilterChainProxy
Details Inside Spring
05-19 2798
FilterChainProxySpring Security Web添加到Servlet容器用于安全控制的一个Filter。从Servlet容器的角度来看,Spring Security Web所提供的安全逻辑就是一个Filter,实现类为FilterChainProxy。实际上FilterChainProxy是一个代理对象,FilterChainProxy内部组合了多个SecurityFil...
5、spring security拦截器之FilterChainProxy
u012153127的博客
06-24 497
FilterChainProxy是一个拦截器链路代理,它会递归去调用里面的拦截器。 @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { boolean clearContext = request.getAttribute(FILTER_APPLIED) == n
Spring Security3源码分析(4)-FilterChainProxy执行过程分析
Benjamin
09-11 1485
通过FilterChainProxy的初始化、自定义标签的分析后,Spring Security需要的运行环境已经准备好了。  这样当用户访问应用时,过滤器就开始工作了。web.xml配置的Filter:org.springframework.web.filter.DelegatingFilterProxy就不介绍了,该类仅仅是初始化一个FilterChainProxy,然后把所有拦截的请求
Spring Security in Action
11-22
Spring Security 中,访问控制是通过 FilterChainProxy 实现的。FilterChainProxy 负责拦截用户的请求,并根据用户的权限决定是否允许访问资源。 四、SecurityContext SecurityContext 是 Spring Security 中的...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,FilterChainProxy 是一个核心组件,负责代理众多的 Spring Security FilterFilterChainProxy 在 WebSecurityConfiguration 中以 springSecurityFilterChain 的名称注册为 Spring Bean。...
Spring Security如何在Servlet中执行
08-19
`FilterChainProxy`是Spring Security的核心组件之一,它扮演着Filter Chain的调度者角色。它会根据配置匹配请求,并调用合适的`SecurityFilterChain`来处理请求。在调试时,`FilterChainProxy`是很好的断点位置,...
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security 是一个强大的安全框架,它为基于Spring的应用提供了声明式的安全访问控制。该框架的核心是通过一系列过滤器(Filter)实现对用户请求的拦截和处理,这些过滤器构成了FilterChainProxy,根据不同的...
深入理解 FilterChainProxy【源码篇】
江南一点雨的专栏
07-20 4557
昨天有小伙伴加松哥微信,说他把松哥的 Spring Security 系列撸完了。。 but 松哥这个系列还没发完呢,在我的计划中,Spring Security 系列目前应该能更新一半,还剩一半,虽然有的小伙伴可能觉得好像已经没啥了,其实还有很多东西。。。 松哥最近也是特别忙,Security 更新慢下来了,但是秉持前面说的,要学就成系列的学,要学就学透彻,这个系列我还会继续更下去。 今天我们就来聊一聊 Spring Security 系列中的 FilterChainProxy。 这是一个非常重要的代理
Spring Security 过滤器链(一)创建FilterChainProxy
fengqingyuebai19的专栏
06-10 1658
文章目录一SecurityContextHolderSecurityContextAuthentication二UserDetailsUserDetailsServiceGrantedAuthority三AuthenticationManagerProviderManagerAuthenticationProviderAbstractUserDetailsAuthenticationProviderDaoAuthenticationProviderPasswordEncoderUserDetailsServ
Spring Security4.0.3源码分析之FilterChainProxy执行过程分析
黄太洪的博客
06-07 1406
在类org.springframework.web.filter.DelegatingFilterProxy的doFilter方法中可以看到,过滤器执行流程实际上是让委托执行实际的doFilter操作@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterCh
Spring Security 中的过滤器链是什么?它的作用是什么
u013749113的博客
05-24 1436
Spring Security中的过滤器链是由许多不同的过滤器组成的一个链条。这些过滤器在执行过程中,会对请求进行过滤和处理,以确保应用程序的安全性。Spring Security中的过滤器链是一个非常重要的组件,它可以提供身份验证、授权、记住我等功能,同时也可以自定义其他的过滤器,以满足特定的应用场景需求。在Spring Security中,过滤器链是一个由FilterChainProxy对象维护的链条。
Spring Security源码(五):FilterChainProxy 是如何创建的?
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-19 994
找到源码入口,跟踪方法调用链,再去了解下相关的一些建造者、配置器类,也就基本知道核心过滤器是怎么创建的了
SpringSecurity6从入门到上天系列第四篇:DelegatingFilterProxyFilterChainProxy以及SercurityFilterChain的作用和原理
最新发布
七叔的博客
11-05 1万+
本文是SpringSecurity6从入门到上天系列第四篇,详细介绍了DelegatingFilterProxyFilterChainProxy以及SercurityFilterChain的作用和原理
从源码角度拆解SpringSecurity之勤劳的FilterChainProxy
会飞的耗子
04-20 551
上一篇我们介绍了顶层配置、第二层配置的由来,这些配置是如何被套娃式使用的,以及通过setSharedObject方法管中窥豹见识了SecurityBuilder的强大之处,算是以别样的角度完成了SpringSecurity框架的初始化过程。从本篇文章开始,我们将进入运行过程的拆解,说到运行过程,最多的场景莫过于拦截了吧,本章的主角勤劳的小蜜蜂FilterChainProxy在这个过程当中起了什么作用,怎么起的作用,本章我们就一起来进行拆解吧。
spring security FilterChainProxy
09-28
FilterChainProxySpring Security Web添加到Servlet容器用于安全控制的一个Filter。它是一个代理对象,内部组合了多个SecurityFilterChain,每个SecurityFilterChain又组合了一组Filter。对于Servlet容器来说,FilterChainProxy就是唯一的安全过滤器,但实际上它会根据请求匹配相应的SecurityFilterChain来完成安全处理逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值