FilterChainProxy分析

于 2024-07-02 16:50:41 发布
阅读量323 收藏 4
点赞数 3
文章标签: java 设计模式 责任链模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44447809/article/details/140131030
版权

FilterChainProxy 探索分析

今天看一个项目中的前端请求接口响应时间,controller方法监控只有2-300ms,但是页面上浏览器返回却占用了将近3s。后来用jprofile工具追踪了一下调用路径,发现方法在到达controller 方法之前执行了两个过滤器的方法,占用了一定的时间。借机分析了一下过滤器的执行过程。

FilterChainProxy 与Spring Security 过滤链相关,具体可查看相关源码

可参考 :

Spring Security 过滤链一 - 概念与设计

spring security自动配置的源码简单分析

Spring Security 源码分析

详细可查看这些源码,分析 FilterChainProxy 的具体使用及功能。

本篇内容重点介绍FilterChainProxy 过滤时使用的责任链模式。

doFilterInternal 方法

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
       throws IOException, ServletException {
    boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
    if (!clearContext) {
       doFilterInternal(request, response, chain);
       return;
    }
    try {
       request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
       // 重点是这个方法 
       doFilterInternal(request, response, chain);
    }
    catch (Exception ex) {
       Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex);
       Throwable requestRejectedException = this.throwableAnalyzer
             .getFirstThrowableOfType(RequestRejectedException.class, causeChain);
       if (!(requestRejectedException instanceof RequestRejectedException)) {
          throw ex;
       }
       this.requestRejectedHandler.handle((HttpServletRequest) request, (HttpServletResponse) response,
             (RequestRejectedException) requestRejectedException);
    }
    finally {
       SecurityContextHolder.clearContext();
       request.removeAttribute(FILTER_APPLIED);
    }
}

具体实现:

private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
       throws IOException, ServletException {
    FirewalledRequest firewallRequest = this.firewall.getFirewalledRequest((HttpServletRequest) request);
    HttpServletResponse firewallResponse = this.firewall.getFirewalledResponse((HttpServletResponse) response);
    // 查看 getFilters逻辑
    List<Filter> filters = getFilters(firewallRequest);
    if (filters == null || filters.size() == 0) {
       if (logger.isTraceEnabled()) {
          logger.trace(LogMessage.of(() -> "No security for " + requestLine(firewallRequest)));
       }
       firewallRequest.reset();
       chain.doFilter(firewallRequest, firewallResponse);
       return;
    }
    if (logger.isDebugEnabled()) {
       logger.debug(LogMessage.of(() -> "Securing " + requestLine(firewallRequest)));
    }
    // 创建虚拟的过滤器链
    VirtualFilterChain virtualFilterChain = new VirtualFilterChain(firewallRequest, chain, filters);
    // 执行过滤器
    virtualFilterChain.doFilter(firewallRequest, firewallResponse);
}

getFilters:获取所有的过滤器

private List<Filter> getFilters(HttpServletRequest request) {
    int count = 0;
    for (SecurityFilterChain chain : this.filterChains) {
       if (logger.isTraceEnabled()) {
          logger.trace(LogMessage.format("Trying to match request against %s (%d/%d)", chain, ++count,
                this.filterChains.size()));
       }
        // 从 DefaultSecurityFilterChain 中,拿到注册好的Filters
       if (chain.matches(request)) {
          return chain.getFilters();
       }
    }
    return null;
}

virtualFilterChain.doFilter:执行过滤器

public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
    if (this.currentPosition == this.size) {
       if (logger.isDebugEnabled()) {
          logger.debug(LogMessage.of(() -> "Secured " + requestLine(this.firewalledRequest)));
       }
       // Deactivate path stripping as we exit the security filter chain
       this.firewalledRequest.reset();
       this.originalChain.doFilter(request, response);
       return;
    }
    this.currentPosition++;
    Filter nextFilter = this.additionalFilters.get(this.currentPosition - 1);
    if (logger.isTraceEnabled()) {
       logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(),
             this.currentPosition, this.size));
    }
    nextFilter.doFilter(request, response, this);
}

点睛之笔:nextFilter.doFilter(request, response, this);

这里才是过滤链调度的地方。

public interface Filter {

    default void init(FilterConfig filterConfig) throws ServletException {}

    void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException;

    default void destroy() {}
}

每个过滤器肯定实现了 Filter接口,其核心就是 doFilter方法。所以当执行到 virtualFilterChain.doFilter时,传入了一个this,那么当前过滤器执行完成以后,又可以回到当前的逻辑中执行下一个Filter。

执行顺序在调用getFilters() 方法的时候就已经拿到了,源码中又可以修改执行顺序的地方,这里不详细描述。

重点总结

参考 virtualFilterChain.doFilter,责任链可以这么用:

重点理解责任链一个设计的逻辑:

1、肯定要有个调度者

2、调度者有一个方法能拿到所有的处理器

3、定义一个接口和方法,所有的处理器实现这个方法,方法中包含一个入参就是调度者

4、调度者中拿到处理器以后,调用这个方法,调用的时候把自身传进去。

具体可根据业务的实际情况设计

原来的设计模式我记得是每一个处理器里面注入下一个处理器,感觉还是有耦合性,不如这个设计好,记录一下以后实践

阿尼亚谁油
关注
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Java Web 应用的安全攻防之 CSRF 漏洞分析
AI天才研究院
10-09 811
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
深入浅出Spring Security(三):FilterChainProxy的运行过程
紫眸的博客
10-09 5100
上篇回顾 我们已经知道了Spring Security的核心过滤器的创建和原理,本文主要介绍核心过滤器FilterChainProxy是如何在tomcat的ServletContext中生效的。 ServletContext如何拿到FilterChainProxy的过滤器对象 我们都知道,Bean都是存在Spring的Bean工厂里的,而且在Web项目中Servlet、Filter、Listen...
Spring Security3源码分析-FilterChainProxy初始化
wei_ya_wen的专栏
05-10 1255
很久没有更新博客了,最近对Spring Security做了比较深入的研究。  spring security的教程网上很多:  http://lengyun3566.iteye.com/category/153689  http://wenku.baidu.com/view/b0c0dc0b79563c1ec5da7179.html  以上教程足够应付在实际项目中使用spring s
FilterChainProxy
凌晨12点,说出你的知心话
01-06 449
public void afterPropertiesSet() { filterChainValidator.validate(this); } 启动的时候会校验过滤器链。当然默认实现是空的,即不会校验什么。但是框架也提供了一个default的实现类,可以通过set方法注入。 public class DefaultFilterChainValidator implements Filt...
Springsecurity之FilterChainProxy
weixin_33895516的博客
11-10 463
2019独角兽企业重金招聘Python工程师标准>>> ...
深入浅出SpringSecurity和OAuth2(二)—— 安全过滤器FilterChainProxy
你要悄悄的拔尖,然后惊艳所有人
07-28 2386
文章目录前言正文1. FilterChainProxy什么时候注入Spring容器中的2. springSecurityFilterChain()方法的作用3. 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth
3.springSecurity源码分析1
08-03
在深入分析SpringSecurity源码之前,我们先了解一些基础概念。 1. DelegatingFilterProxy:这是一个Spring框架提供的过滤器,它作为代理来调用实际的Filter。在web.xml中,filter-name设置为...
Spring Security 6.x 系列(9)—— 基于过滤器链的源码分析(二)
gmHappy
12-04 1万+
今天沿着`Spring Boot`自动配置中对未被介绍的`@EnableGlobalAuthentication`注解进行展开。
Spring Security 6.x 系列(10)—— SecurityConfigurer 配置器及其分支实现源码分析(二)
最新发布
gmHappy
12-08 1万+
`SecurityConfigurerAdapter`它是`SecurityConfigurer`的基类,它允许子类仅实现它们感兴趣的方法。它还提供了使用 `SecurityConfigurer`以及完成后获取正在配置的`SecurityBuilder`(构造器)的访问权限的机制。 `SecurityConfigurerAdapter` 的实现主要有三大类: - `UserDetailsAwareConfigurer` - `AbstractHttpConfigurer`
从源码角度拆解SpringSecurity之勤劳的FilterChainProxy
会飞的耗子
04-20 632
上一篇我们介绍了顶层配置、第二层配置的由来,这些配置是如何被套娃式使用的,以及通过setSharedObject方法管中窥豹见识了SecurityBuilder的强大之处,算是以别样的角度完成了SpringSecurity框架的初始化过程。从本篇文章开始,我们将进入运行过程的拆解,说到运行过程,最多的场景莫过于拦截了吧,本章的主角勤劳的小蜜蜂FilterChainProxy在这个过程当中起了什么作用,怎么起的作用,本章我们就一起来进行拆解吧。
Spring Security 过滤器链(一)创建FilterChainProxy
fengqingyuebai19的专栏
06-10 1707
文章目录一SecurityContextHolderSecurityContextAuthentication二UserDetailsUserDetailsServiceGrantedAuthority三AuthenticationManagerProviderManagerAuthenticationProviderAbstractUserDetailsAuthenticationProviderDaoAuthenticationProviderPasswordEncoderUserDetailsServ
深入理解 FilterChainProxy【源码篇】
江南一点雨的专栏
07-20 4673
昨天有小伙伴加松哥微信,说他把松哥的 Spring Security 系列撸完了。。 but 松哥这个系列还没发完呢,在我的计划中,Spring Security 系列目前应该能更新一半,还剩一半,虽然有的小伙伴可能觉得好像已经没啥了,其实还有很多东西。。。 松哥最近也是特别忙,Security 更新慢下来了,但是秉持前面说的,要学就成系列的学,要学就学透彻,这个系列我还会继续更下去。 今天我们就来聊一聊 Spring Security 系列中的 FilterChainProxy。 这是一个非常重要的代理
Spring Security4.0.3源码分析FilterChainProxy执行过程分析
黄太洪的博客
06-07 1436
在类org.springframework.web.filter.DelegatingFilterProxy的doFilter方法中可以看到,过滤器执行流程实际上是让委托执行实际的doFilter操作@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterCh
Spring Security3源码分析(4)-FilterChainProxy执行过程分析
Benjamin
09-11 1506
通过FilterChainProxy的初始化、自定义标签的分析后,Spring Security需要的运行环境已经准备好了。  这样当用户访问应用时,过滤器就开始工作了。web.xml配置的Filter:org.springframework.web.filter.DelegatingFilterProxy就不介绍了,该类仅仅是初始化一个FilterChainProxy,然后把所有拦截的请求
深入浅出Spring Security(二):FilterChainProxy的创建过程
LoveSummer
02-05 1255
上篇回顾 框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain,类型是FilterChainProxy WebSecurity和HttpSecurity都是建造者 WebSecurity构建目标是FilterChainProxy对象 HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。 @EnableWebSecurity注解,导入了WebSecurityConfiguration类 WebSecur
DelegatingFilterProxy过滤器和它代理的FilterChainProxy过滤器
xzy的博客
12-17 1783
文章目录DelegatingFilterProxy过滤器和它代理的FilterChainProxy过滤器理解几个单词的意思:web.xml配置疑惑解决疑惑分析源码DelegatingFilterProxy过滤器的属性 DelegatingFilterProxy过滤器和它代理的FilterChainProxy过滤器 理解几个单词的意思: ​ delegate:代表,委托 ​ DelegatingFilterProxy:委托过滤器代理 ​ FilterChainProxy:过滤器链代理 ​ securi
SpringSecurity6从入门到上天系列第四篇:DelegatingFilterProxyFilterChainProxy以及SercurityFilterChain的作用和原理
热门推荐
七叔的博客
11-05 1万+
本文是SpringSecurity6从入门到上天系列第四篇,详细介绍了DelegatingFilterProxyFilterChainProxy以及SercurityFilterChain的作用和原理
spring security
weixin_33716941的博客
02-18 172
Spring Security 启动流程 @EnableWebSecurity注解配置启动spring secuiry,导入WebSecurityConfiguration配置 @Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME) @Target(value = { java.lang.annotation.Ele...
深入解析Spring Security3源码
5. FilterChainProxy执行过程分析 当请求到达时,`FilterChainProxy`会查找匹配的过滤链,并按照顺序执行过滤器。每个过滤器都有机会处理请求,如验证用户身份、处理权限等。 6. SecurityContextPersistenceFilter...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值