spring security中HttpSecurity 是如何组装过滤器链的

在Spring Security中，`HttpSecurity`用于配置HTTP请求的安全性，并且通过它可以定义过滤器链的配置。过滤器链是Spring Security实现安全控制的核心，它是由一系列过滤器组成的，这些过滤器负责处理请求、进行安全检查、管理会话等任务。下面是一个详细的解释，介绍`HttpSecurity`如何组装过滤器链的过程。

### 1. **基础概念**

- **过滤器链**：过滤器链是一个过滤器的有序集合，这些过滤器按照定义的顺序处理HTTP请求和响应。每个过滤器可以执行不同的功能，例如认证、授权、CSRF保护等。

- **过滤器**：在Spring Security中，过滤器负责执行具体的安全操作，比如用户认证、会话管理等。

### 2. **`HttpSecurity`的作用**

`HttpSecurity`是Spring Security提供的一个配置类，用于设置Web安全相关的配置。通过`HttpSecurity`，你可以配置URL访问控制、表单登录、HTTP基本认证、会话管理等安全特性。这些配置决定了哪些过滤器被应用以及它们的执行顺序。

### 3. **过滤器链的组装过程**

当你使用`HttpSecurity`进行配置时，Spring Security会自动组装一个过滤器链。这个过程可以分为以下几个步骤：

#### 3.1 **创建`FilterChainProxy`**

Spring Security会创建一个`FilterChainProxy`，这是一个主要的过滤器链，它负责处理所有经过的请求。

#### 3.2 **添加默认过滤器**

Spring Security提供了一些默认的过滤器，这些过滤器被添加到过滤器链中，包括：
- **`SecurityContextPersistenceFilter`**：负责将安全上下文从`HttpSession`中加载到当前线程中，确保在请求处理期间有一个有效的安全上下文。
- **`UsernamePasswordAuthenticationFilter`**：处理表单登录请求，并执行用户认证。
- **`BasicAuthenticationFilter`**：处理HTTP基本认证请求。
- **`ExceptionTranslationFilter`**：处理安全异常，并将其转换为适当的响应。
- **`FilterSecurityInterceptor`**：处理URL的访问控制，决定请求是否被允许或拒绝。

#### 3.3 **应用`HttpSecurity`配置**

你可以在`HttpSecurity`配置中定制这些默认过滤器的行为，或者添加自定义的过滤器。主要的配置方法包括：
- **`authorizeRequests()`**：配置请求授权规则，决定哪些URL可以被访问。
- **`formLogin()`**：启用和配置表单登录功能。
- **`httpBasic()`**：启用HTTP基本认证。
- **`csrf()`**：启用或禁用CSRF保护。
- **`logout()`**：配置注销功能。
- **`sessionManagement()`**：配置会话管理策略。

#### 3.4 **注册过滤器**

`HttpSecurity`的配置会影响过滤器链的构建：
- **添加自定义过滤器**：使用`addFilterBefore()`或`addFilterAfter()`方法可以在特定过滤器之前或之后添加自定义的过滤器。
- **配置过滤器的顺序**：Spring Security会自动调整过滤器的顺序，但你也可以手动指定某些过滤器的位置。

#### 3.5 **生成过滤器链**

一旦所有的配置完成，Spring Security会生成一个最终的过滤器链。这些过滤器按照设定的顺序组成一个链，并在每个请求到达时依次执行。

### 4. **示例**

假设你有如下的`HttpSecurity`配置：

```java

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
        .and()
        .formLogin()
            .loginPage("/login")
            .permitAll()
        .and()
        .logout()
            .permitAll();
}

```

这个配置的实际效果是：
- 允许所有访问`/public/**`路径的请求。
- 其他所有请求都需要认证。
- 使用自定义的登录页面进行登录。
- 允许所有用户进行注销。

在此配置中，`HttpSecurity`会根据这些设置自动添加和配置相应的过滤器。例如，会在适当的位置添加`UsernamePasswordAuthenticationFilter`用于处理登录请求，`ExceptionTranslationFilter`处理认证和授权异常等。

### 5. **总结**

`HttpSecurity`通过配置类来定义和调整过滤器链的行为。它使得Spring Security能够通过定制的安全策略来保护应用程序，同时确保安全过滤器的顺序和功能符合应用的需求。这一机制使得Spring Security能够灵活应对各种安全需求，确保应用的安全性。