Spring Filter源码解析

已于 2022-03-09 17:34:51 修改
阅读量672 收藏
点赞数 1
文章标签: 网络协议 网络 springboot
于 2022-03-04 17:08:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960071/article/details/123280744
版权

在FilterChainProxy中有如下方法,
List filters = getFilters(fwRequest);
当有SecurityFilterChain时调用

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);

VirtualFilterChain 的构造函数

private VirtualFilterChain(FirewalledRequest firewalledRequest,
				FilterChain chain, List<Filter> additionalFilters) {
			this.originalChain = chain;
			this.additionalFilters = additionalFilters;
			this.size = additionalFilters.size();
			this.firewalledRequest = firewalledRequest;
		}

doFilter的执行方法,大致是将additionalFilters 里面的filter的doFilter都执行完成再调用正常的doFilter方法。

@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
			if (currentPosition == size) {
				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " reached end of additional filter chain; proceeding with original chain");
				}

				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();

				originalChain.doFilter(request, response);
			}
			else {
				currentPosition++;

				Filter nextFilter = additionalFilters.get(currentPosition - 1);

				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " at position " + currentPosition + " of " + size
							+ " in additional filter chain; firing Filter: '"
							+ nextFilter.getClass().getSimpleName() + "'");
				}

				nextFilter.doFilter(request, response, this);
			}
		}

没有的时候才是正常的

if (filters == null || filters.size() == 0) {
		fwRequest.reset();
	
		chain.doFilter(fwRequest, fwResponse);
	
		return;
}

以下为源码。

	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

filter和servlet的执行顺序

在ApplicationDispatcher中有如下源码。
可以看到是先进行filterChain.doFilter(request, response);
再wrapper.deallocate(servlet)处理servlet。

private void invoke(ServletRequest request, ServletResponse response,
            State state) throws IOException, ServletException {

        // Checking to see if the context classloader is the current context
        // classloader. If it's not, we're saving it, and setting the context
        // classloader to the Context classloader
        ClassLoader oldCCL = context.bind(false, null);

        // Initialize local variables we may need
        HttpServletResponse hresponse = state.hresponse;
        Servlet servlet = null;
        IOException ioException = null;
        ServletException servletException = null;
        RuntimeException runtimeException = null;
        boolean unavailable = false;

        // Check for the servlet being marked unavailable
        if (wrapper.isUnavailable()) {
            wrapper.getLogger().warn(
                    sm.getString("applicationDispatcher.isUnavailable",
                    wrapper.getName()));
            long available = wrapper.getAvailable();
            if ((available > 0L) && (available < Long.MAX_VALUE))
                hresponse.setDateHeader("Retry-After", available);
            hresponse.sendError(HttpServletResponse.SC_SERVICE_UNAVAILABLE, sm
                    .getString("applicationDispatcher.isUnavailable", wrapper
                            .getName()));
            unavailable = true;
        }

        // Allocate a servlet instance to process this request
        try {
            if (!unavailable) {
                servlet = wrapper.allocate();
            }
        } catch (ServletException e) {
            wrapper.getLogger().error(sm.getString("applicationDispatcher.allocateException",
                             wrapper.getName()), StandardWrapper.getRootCause(e));
            servletException = e;
        } catch (Throwable e) {
            ExceptionUtils.handleThrowable(e);
            wrapper.getLogger().error(sm.getString("applicationDispatcher.allocateException",
                             wrapper.getName()), e);
            servletException = new ServletException
                (sm.getString("applicationDispatcher.allocateException",
                              wrapper.getName()), e);
            servlet = null;
        }

        // Get the FilterChain Here
        ApplicationFilterChain filterChain =
                ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);

        // Call the service() method for the allocated servlet instance
        try {
            // for includes/forwards
            if ((servlet != null) && (filterChain != null)) {
               filterChain.doFilter(request, response);
             }
            // Servlet Service Method is called by the FilterChain
        } catch (ClientAbortException e) {
            ioException = e;
        } catch (IOException e) {
            wrapper.getLogger().error(sm.getString("applicationDispatcher.serviceException",
                             wrapper.getName()), e);
            ioException = e;
        } catch (UnavailableException e) {
            wrapper.getLogger().error(sm.getString("applicationDispatcher.serviceException",
                             wrapper.getName()), e);
            servletException = e;
            wrapper.unavailable(e);
        } catch (ServletException e) {
            Throwable rootCause = StandardWrapper.getRootCause(e);
            if (!(rootCause instanceof ClientAbortException)) {
                wrapper.getLogger().error(sm.getString("applicationDispatcher.serviceException",
                        wrapper.getName()), rootCause);
            }
            servletException = e;
        } catch (RuntimeException e) {
            wrapper.getLogger().error(sm.getString("applicationDispatcher.serviceException",
                             wrapper.getName()), e);
            runtimeException = e;
        }

        // Release the filter chain (if any) for this request
        if (filterChain != null) {
            filterChain.release();
        }

        // Deallocate the allocated servlet instance
        try {
            if (servlet != null) {
                wrapper.deallocate(servlet);
            }
        } catch (ServletException e) {
            wrapper.getLogger().error(sm.getString("applicationDispatcher.deallocateException",
                             wrapper.getName()), e);
            servletException = e;
        } catch (Throwable e) {
            ExceptionUtils.handleThrowable(e);
            wrapper.getLogger().error(sm.getString("applicationDispatcher.deallocateException",
                             wrapper.getName()), e);
            servletException = new ServletException
                (sm.getString("applicationDispatcher.deallocateException",
                              wrapper.getName()), e);
        }

        // Reset the old context class loader
        context.unbind(false, oldCCL);

        // Unwrap request/response if needed
        // See Bugzilla 30949
        unwrapRequest(state);
        unwrapResponse(state);
        // Recycle request if necessary (also BZ 30949)
        recycleRequestWrapper(state);

        // Rethrow an exception if one was thrown by the invoked servlet
        if (ioException != null)
            throw ioException;
        if (servletException != null)
            throw servletException;
        if (runtimeException != null)
            throw runtimeException;

    }
ousongsong
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-编码过滤----解析Filter实现原理
m0_66789766的博客
04-20 912
过滤器位于客户端和web应用程序之间,用于检查和修改两者之间流过的请求和响应。 在请求到达Servlet/JSP之前,过滤器截获请求。 在响应送给客户端之前,过滤器截获响应。 多个过滤器形成一个过滤器链,过滤器链中不同过滤器的先后顺序由部署文件web.xml中过滤器映射的顺序决定。 最先截获客户端请求的过滤器将最后截获Servlet/JSP的响应信息。 三、实现过滤器 可以通过实现javax.servlet.Filter类来实现自定义过滤器。 public class MyFilte..
Spring Security码入门过滤器Filter
szm1160809039的博客
09-21 969
Spring Security作为一个安全框架,主要有登录、认证等功能,而要实现这一系列的功能,在一个基于Servlet的应用上,当然会从Filter上入手。这篇博客主要就是根据官网文档讲解Spring Security怎么通过Filter构建这样一个安全拦截的功能的。 首先看看以下这幅图,这个流程用过spring mvc的都很熟悉,这就是filter的一个过滤流程,spring mvc中通常都会有一个Filterchain包含了一个Filter列表,对于每个拦截的请求依次过滤 了解了spring.
从OncePerRequestFilter码解读去了解Spring内置的Filter的特别之处以及常见过滤器使用介绍
进击的豌豆的博客
09-02 1433
转载自:【小家Spring】从OncePerRequestFilter码解读去了解Spring内置的Filter的特别之处以及常见过滤器使用介绍 原文地址:【小家Spring】从OncePerRequestFilter码解读去了解Spring内置的Filter的特别之处以及常见过滤器使用介绍 目录前言关于OncePerRequestFilterOncePerRequestFilter码解读Spring内置OncePerRequestFilter实现CharacterEncodingFilterHi
Spring实战】----解析Spring Security4.1.3中的过滤器Filter配置
honghailiang的专栏
12-09 6595
Spring Security的底层是通过一系列的Filter来管理的,每个Filter都有其自身的功能,那么这些Filter是怎么装配到系统中的? 一、web.xml配置 通常web使用会在web.xml中进行如下配置 springSecurityFilterChain org.springframework.web.filter.DelegatingFilterPr
Filter
最新发布
q12ERTYU的博客
01-19 406
Filter
浅谈SpringCloud之zuul解析
08-27
SpringCloud生态系统中, Zuul是一个...通过解析,我们可以更深入地理解Zuul的工作机制,从而更好地定制和优化我们的微服务架构。在实际开发中,了解这些细节可以帮助我们解决性能瓶颈,提升系统的稳定性和效率。
spring MVC cors跨域实现解析
08-31
Spring MVC CORS(跨域资共享)实现解析 跨域资共享(CORS)是一种机制,允许Web应用程序在浏览器中向不同(域名、协议或端口)发送Ajax请求。根据W3C规范,如果请求的与服务器资不一致,就被...
spring security
05-28
本篇文章将深入探讨Spring Security的核心概念和码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
Spring码深度解析与注解驱动开发1
08-08
本节主要探讨Spring解析以及注解驱动的开发方式,帮助开发者深入理解Spring的工作机制,提高开发效率。 一、Spring注解驱动开发 1. 容器:Spring的核心是IoC(Inversion of Control,控制反转)容器,它负责...
深入剖析Spring Web码 pdf高清版(第二版)
04-21
《深入剖析Spring Web码》(第二版) 是一本针对Java开发者深度解析Spring Web框架核心原理的权威指南。这本书详细解读了Spring MVC和Spring WebFlux两大核心模块的码,帮助读者理解Spring如何实现高效的Web应用...
Java三大器之过滤器(Filter)的工作原理和代码演示
热门推荐
reggergdsg的博客
10-15 9万+
一、Filter简介   Filter也称之为过滤器,它是Servlet技术中最激动人心的技术之一,WEB开发人员通过Filter技术,对web服务器管理的所有web资:例如Jsp, Servlet, 静态图片文件或静态html文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等 一些高级功能。   Servlet API中提供了
Spring Filter深度解析
Syhaun的博客
11-26 511
FilterDef是Filter的定义类,filterClass表示过滤器的定义类super();} else {= null)// 创建 并初始化 Filter 对象try {} else {ApplicationFilterConfig的创建过程就是通过实例化FilterDef的filterDef的filterClass的类并调用Filter的init方法初始化Filter对象。
【记录版】SpringBoot下Filter注册码解读
src1025的博客
12-11 903
Springboot下Filter注册到Servlet码解读
SpringMVC过滤器(Filter)与拦截器(Interceptor)的区别(附码)
az44yao的专栏
07-21 2950
在JavaWeb阶段我们学习了Filter过滤器,提出Filter的概念一开始我们为了过滤字符集乱码,在Servlet体系中拦截目标请求,而拦截器是在SpringMVC中定义的概念名叫HandlerInteceptor。 在开发过程中,使用拦截器的配置更为灵活,其API接口更丰富,他们的目的都可以达到对请求的前置和后置处理,其本质上区别不大,但由于拦截器可以被Spring容器管理,从而获得被容器赋予的能力,而filter功能单一,所以后期大家都习惯使用拦截器完成某项特定的功能...
SpringMVC码分析总结
可爱滴老唐
03-14 2万+
该文章基于《Spring码深度解析》撰写,感谢郝佳老师的奉献 SpringMVC是基于Servlet功能实现的,通过带有Servlet接口的DispatcherServlet来封装核心功能,控制器则由实现了Controller接口的类,SpringMVC解决的痛点有三个: (1)将Web页面的请求传给服务器 (2)根据不同的请求处理不同的逻辑页面 (3)返回处理结果数据并跳转页面 Sp...
Spring解析 - springMVC核心代码(一)
平凡之路无尽路的博客
10-25 3万+
一、首先来讲解下springMVC的底层工作流程 1、首先我们重点放在前端控制器(DispatcherServlet) 其类图: 因为从流程图看,用户的请求最先到达就是DispatcherServlet。他是springmvc的核心,也是中央出处理器。因此我们分析码,先看看他是什么样的流程:通过码可看到:他是继承FrameworkServlet,它也是springmvc提...
过滤器(filter) 例子
asbss的博客
01-15 315
 最基本的过滤器的应用的码. 过滤器的相关内容可以查看相关内容.  码见附件(eclipse).
关于Filter(过滤器)的码翻译(一)
失眠忍者
05-26 1309
简要的自己翻译了一下filter码注释,希望大神们可以不吝赐教。因为自己感觉有些地方确实不同,不够透彻。这是第一篇比较间的只翻译了filter包含的三个方法的码,后续还会写一些相关的码翻译和自己的理解。例如FilterConfig,ServletRequest ,ServletResponse,FilterChain等,希望和大家共同探讨。 package javax.ser
Shiro码学习(三)常用Filter码和继承关系
finalcola的博客
03-29 1986
Filter类别Shiro为我们提供了默认的几种拦截器,并且也支持我们通过继承来编写我们自定义的拦截器。Shiro中默认的拦截器有:其含义如下:anon:例子/admins/**=anon 没有参数,表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要认证(登录)才能使用,没有参数 roles:例子/admins/user/**=roles[admin],参数可以...
springsecurity解析
09-15
Spring Security 是一个功能强大且广泛使用的安全框架,用于保护 Java 应用程序的身份验证和授权。它提供了一套全面的安全解决方案,包括认证、授权、攻击防护等功能。 Spring Security 的码是开的,可以从官方仓库(https://github.com/spring-projects/spring-security)获取到。在码中,主要包含以下几个关键模块: 1. 核心模块(Core):提供了基本的认证和授权功能,包括用户身份认证、访问控制等。核心模块的码位于 `spring-security-core` 包下。 2. Web 模块(Web):提供了与 Web 应用程序集成的相关功能,如基于 URL 的授权、Web 表单登录、记住我功能等。Web 模块的码位于 `spring-security-web` 包下。 3. 配置模块(Config):提供了基于 Java 配置和 XML 配置的方式来配置 Spring Security。配置模块的码位于 `spring-security-config` 包下。 4. 测试模块(Test):提供了用于测试 Spring Security 的工具和辅助类。测试模块的码位于 `spring-security-test` 包下。 在码中,你可以深入了解 Spring Security 的内部工作原理、各个组件之间的协作关系以及具体的实现细节。可以通过跟踪调试码,了解每个功能是如何实现的,从而更好地理解和使用 Spring Security。 请注意,Spring Security 的码是非常庞大且复杂的,需要一定的时间和精力去深入研究。建议在阅读码之前,先对 Spring Security 的基本概念和使用方法有一定的了解,这样会更有助于理解码中的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值