Spring Security的初始化过程(3)

于 2023-03-10 23:10:02 发布
阅读量111 收藏
点赞数
文章标签: java spring spring boot Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44612246/article/details/129455946
版权

前面两篇文章完成了Spring Securyti初始化过程的绝大部分逻辑的分析,今天我们来看遗留部分:

***FilterChainProxy是如何装配到DeletatingFilterProxy中的?***

#### SecurityFilterAutoConfiguration

先来看看SecurityFilterAutoConfiguration,这个配置类在spring.factories中能看到调用入口。

我们看他的securityFilterChainRegistration方法:

```

@Bean

@ConditionalOnBean(name = DEFAULT_FILTER_NAME)

public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration(

SecurityProperties securityProperties) {

DelegatingFilterProxyRegistrationBean registration = new DelegatingFilterProxyRegistrationBean(

DEFAULT_FILTER_NAME);

registration.setOrder(securityProperties.getFilter().getOrder());

registration.setDispatcherTypes(getDispatcherTypes(securityProperties));

return registration;

}

```

这个方法会把SecurityPropertys也初始化进来,SecurityPropertys我们暂时不做详细分析,后续在分析Spring Security的具体用法的时候可能还会继续碰得到。

然后,new了一个DelegatingFilterProxyRegistrationBean对象,传进去的参数为DEFAULT_FILTER_NAME(=springSecurityFilterChain)。该对象的实例化方法为:

```

public DelegatingFilterProxyRegistrationBean(String targetBeanName,

ServletRegistrationBean<?>... servletRegistrationBeans) {

super(servletRegistrationBeans);

Assert.hasLength(targetBeanName, "TargetBeanName must not be null or empty");

this.targetBeanName = targetBeanName;

setName(targetBeanName);

}

```

我们可以看到,传进去的参数“springSecurityFilterChain”被赋值给了该对象的targetBeanName属性。

#### ServletContextInitializer

我们先来熟悉一下ServletContextInitializer的类结构:

![image.png](/img/bVc4s8n)

> Interface used to configure a Servlet 3.0+ context programmatically. Unlike WebApplicationInitializer, classes that implement this interface (and do not implement WebApplicationInitializer) will not be detected by SpringServletContainerInitializer and hence will not be automatically bootstrapped by the Servlet container.

This interface is designed to act in a similar way to ServletContainerInitializer, but have a lifecycle that's managed by Spring and not the Servlet container.

> 配置Servlet3.0+规范下的servlet上下文,和WebApplicationInitializer不同,实现了本接口的类(没有实现WebApplicationInitializer接口)将不会被SpringServletContainerInitializer自动监测到所以也就不会被Servlet容器自动初始化。本接口被设计为与ServletContainerInitializer的行为类似,但是由Spring来管理其生命周期、而不是有Servlet容器来管理。

大概的意思就是说,SpringMVC框架下,这个接口的实现类将会被初始化为Servlet的上下文,实现Servlet相关功能。

好了,这里先了解个大概,后续分析SpringMVC或者SpringBoot+Tomcat的过程中会弄明白的。

我们现在要知道,这个接口的实现类在Servlet容器启动的过程中会被初始化,他的onStartup接口将会被调用到。

```

@FunctionalInterface

public interface ServletContextInitializer {

/**

* Configure the given {@link ServletContext} with any servlets, filters, listeners

* context-params and attributes necessary for initialization.

* @param servletContext the {@code ServletContext} to initialize

* @throws ServletException if any call against the given {@code ServletContext}

* throws a {@code ServletException}

*/

void onStartup(ServletContext servletContext) throws ServletException;

}

```

#### ServletWebServerApplicationContext#onRefresh()

SpringBoot内置Tomcat启动的过程中最终会调用到ServletWebServerApplicationContext的onRefresh方法。该方法会调用到createWebServer()方法。之后调用到getSelfInitializer()方法,然后调用selfInitialize方法。

我们可以看到,就是在这个selfInitialize方法中会调用ServletContextInitializer的onStartup方法。

```

private void selfInitialize(ServletContext servletContext) throws ServletException {

prepareWebApplicationContext(servletContext);

registerApplicationScope(servletContext);

WebApplicationContextUtils.registerEnvironmentBeans(getBeanFactory(), servletContext);

for (ServletContextInitializer beans : getServletContextInitializerBeans()) {

beans.onStartup(servletContext);

}

}

```

beans中包含了一众servlet初始化对象,其中就有DelegatingFilterProxyRegistrationBean,我们简单跟踪一下。

看一下getServletContextInitializerBeans方法:

```

protected Collection<ServletContextInitializer> getServletContextInitializerBeans() {

return new ServletContextInitializerBeans(getBeanFactory());

}

```

可以看到new 了一个ServletContextInitializerBeans对象并返回,继续跟踪。

#### ServletContextInitializerBeans

实例化方法设置属性initializerTypes为ServletContextInitializer.class,之后调用了addServletContextInitializerBeans方法。

```

public ServletContextInitializerBeans(ListableBeanFactory beanFactory,

Class<? extends ServletContextInitializer>... initializerTypes) {

this.initializers = new LinkedMultiValueMap<>();

this.initializerTypes = (initializerTypes.length != 0) ? Arrays.asList(initializerTypes)

: Collections.singletonList(ServletContextInitializer.class);

addServletContextInitializerBeans(beanFactory);

addAdaptableBeans(beanFactory);

List<ServletContextInitializer> sortedInitializers = this.initializers.values().stream()

.flatMap((value) -> value.stream().sorted(AnnotationAwareOrderComparator.INSTANCE))

.collect(Collectors.toList());

this.sortedList = Collections.unmodifiableList(sortedInitializers);

logMappings(this.initializers);

}

```

addServletContextInitializerBeans方法:

```

private void addServletContextInitializerBeans(ListableBeanFactory beanFactory) {

for (Class<? extends ServletContextInitializer> initializerType : this.initializerTypes) {

for (Entry<String, ? extends ServletContextInitializer> initializerBean : getOrderedBeansOfType(beanFactory,

initializerType)) {

addServletContextInitializerBean(initializerBean.getKey(), initializerBean.getValue(), beanFactory);

}

}

}

```

该方法从beanFactory中获取initializerType(ServletContextInitializer.class)的bean,从文章开始分析SecurityFilterAutoConfiguration的过程中我们知道***DelegatingFilterProxyRegistrationBean***类就属于ServletContextInitializer,所以beans中会包含DelegatingFilterProxyRegistrationBean。

***后续的我们就暂时不跟踪了,我们知道获取到了DelegatingFilterProxyRegistrationBean对象,我们返回来继续跟踪该对象的onStartup方法。***

#### RegistrationBean#onStartup

onStartup方法在父类RegistrationBean中实现:

```

@Override

public final void onStartup(ServletContext servletContext) throws ServletException {

String description = getDescription();

if (!isEnabled()) {

logger.info(StringUtils.capitalize(description) + " was not registered (disabled)");

return;

}

register(description, servletContext);

}

```

先来看getDescription()方法,该方法定义在AbstractFilterRegistrationBean中。

#### AbstractFilterRegistrationBean#getDescription

```

@Override

protected String getDescription() {

Filter filter = getFilter();

Assert.notNull(filter, "Filter must not be null");

return "filter " + getOrDeduceName(filter);

}

```

继续跟踪getFilter()方法,该方法定义在DelegatingFilterProxyRegistrationBean类中。

#### DelegatingFilterProxyRegistrationBean#getFilter

该方法一上来就new了一个DelegatingFilterProxy对象并返回,实例化参数传递了targetBeanName,从第一部分对配置类SecurityFilterAutoConfiguration的分析我们知道targetBeanName=“springSecurityFilterChain”,实例化过程中赋值给了DelegatingFilterProxy对象的targetBeaname属性。

```

@Override

public DelegatingFilterProxy getFilter() {

return new DelegatingFilterProxy(this.targetBeanName, getWebApplicationContext()) {

@Override

protected void initFilterBean() throws ServletException {

// Don't initialize filter bean on init()

}

};

}

```

创建DelegatingFilterProxy对象之后,后续代码将DelegatingFilterProxy对象加入到servlet容器的filterchain中,在请求提交上来之后,通过DelegatingFilterProxy来实现Spring Security的安全功能。

具体DelegatingFilterProxy怎么加入到servlet容器的过滤器链中的代码就不详细分析了。

接下来我们再简单分析一下DelegatingFilterProxy是怎么将请求委托给Spring Security的安全过滤器的。这个问题的答案应该就在DelegatingFilterProxy的dofilter方法中。

#### DelegatingFilterProxy#doFilter

代码不长,前面我们已经分析过DelegatingFilterProxy的初始化代码了,我们知道该对象的delegate属性为null,所以代码会走到initDelegate方法中。

```

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)

throws ServletException, IOException {

// Lazily initialize the delegate if necessary.

Filter delegateToUse = this.delegate;

if (delegateToUse == null) {

synchronized (this.delegateMonitor) {

delegateToUse = this.delegate;

if (delegateToUse == null) {

WebApplicationContext wac = findWebApplicationContext();

if (wac == null) {

throw new IllegalStateException("No WebApplicationContext found: " +

"no ContextLoaderListener or DispatcherServlet registered?");

}

delegateToUse = initDelegate(wac);

}

this.delegate = delegateToUse;

}

}

// Let the delegate perform the actual doFilter operation.

invokeDelegate(delegateToUse, request, response, filterChain);

}

```

#### initDelegate方法

方法从wac(Spring Ioc容器)中获取名字为targetBeanName、类型为Filter.class的bean。大家还有印象吗?前面我们分析过DelegatingFilterProxy的targetBeanName,就是“springSecurityFilterChain”。

```

protected Filter initDelegate(WebApplicationContext wac) throws ServletException {

String targetBeanName = getTargetBeanName();

Assert.state(targetBeanName != null, "No target bean name set");

Filter delegate = wac.getBean(targetBeanName, Filter.class);

if (isTargetFilterLifecycle()) {

delegate.init(getFilterConfig());

}

return delegate;

}

```

***而名字为“springSecurityFilterChain”的bean是何方神圣呢?如果大家忘记的话,返回去看一下我们前面的文章( [Spring Security的初始化过程(2)](https://segmentfault.com/a/1190000042973182)),就是FilterChainProxy。***

***至此,下图的所有主要逻辑,也就是Spring Security的过滤器初始化过程,我们已经从代码层分析完毕!!!***

![image.png](/img/bVc4trM)

收工!!!

上一篇 [Spring Security的初始化过程(2)](https://segmentfault.com/a/1190000042973182)

下一篇 [SpringSecuriryt安全过滤器工作原理](https://segmentfault.com/a/1190000043081927)

weixin_44612246
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常用的框架技术-09 Spring Security 的源代码和初始化项目
11-23
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个...
Springboot入门培训 9 登录过滤器 Security 初始化例子.zip
09-06
Springboot 登录过滤器 Security 初始化方法。zhtbs spring培训入门系列例子
Spring security在MS-SQL下的初始化脚本
dechen6073的博客
06-30 151
-- create table users( -- username nvarchar(50) not null primary key, -- password nvarchar(50) not null, -- enabled bit not null); --create table authorities ( -...
springsecurity oauth2.0 spring mvc集成spring security 3
健康平安的活着的专栏
07-31 3411
spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
Spring Security初始化过程(2)
weixin_44612246的博客
03-10 231
SpringSecurity初始化过程源码分析
spring boot shiro 采坑指南
Alf的专栏
05-03 2553
遇到的一个问题:ShiroFilterFactoryBean 配置完成后,该filter不起作用。原因:在项目中还定义了一个别的DotDOFilter(该Filter的作用是把Url中xxx.do结尾Url修改成xxx),          在这个DotDOFilter中使用了request.getRequestDispatcher(uri).forward(request, response);...
Spring SecurityspringSecurityFilterChain注册到sevlet的过程(二)
欢谷悠扬
07-03 824
1.基于上帝视角的分析 在上一篇中,分析了springSecurityFilterChain是在哪进行进行创建的,以及如何将这个bean注入到spring 容器中去。最后发现是通过spring-boot-autoconfigure.jar包中的org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration来完成的。 springSecurityFilterChain这个在哪加入到servlet容器中的,其实
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBootSpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
Spring Security oauth2
06-28
##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-...
sssh:springsecurity+ssh
06-05
springsecurity+ssh maven测试项目 其中中(cn.wb.)util中有初始化数据的类initialDatabase src/main/resources里面的sssh.sql也可以初始化数据 config.properties是数据库配置,这里用的是mysql 初始化数据提供了两...
Spring Security源码(一)springSecurityFilterChain的创建与运行
Instanceztt的博客
11-30 1905
整个框架的核心就是构建一个名字为的过滤器Bean,它的类型是。底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用完成认证 ,通过调用完成授权。
java过滤器设置匹配的url与忽略的url的方法
BHSZZY的博客
08-24 4535
配置java过滤器时,会用到FilterRegistrationBean,可以设置匹配的url与忽略的url。()
springboot配置需求过滤器
qq_37910618的博客
03-06 367
1、设置get接口字符编码过滤器 @Configuration public class FilterConfig { @Bean public FilterRegistrationBean gbkFilter() { FilterRegistrationBean registration = new FilterRegistrationBean(); registration.setDispatcherTypes(DispatcherType.REQUEST);
Spring及Servlet 3.0的Filter和DispatcherType
zollty的专栏
12-30 2433
Servlet的触发方式,DispatcherType ,include和forward区别,Spring中所有的Filter都继承了OncePerRequestFilter,为什么呢?DispatcherType = REQUEST
Spring Boot 2.x 注册 Servlet 三大组件 Servlet、Filter(过滤器)、Listener(监听器)
蚩尤后裔-汪茂雄
08-11 1672
目录 ServletRegistrationBean 注册 Servlet FilterRegistrationBean 注册 Filter ServletListenerRegistrationBean 注册 Listener Spring Boot 由于默认以 Jar 包方式启动嵌入式的 Servlet 容器来启动 Spring Boot 的 web 应用,默认没有 web.xml...
oauth2自定义granter与provider实现自定义身份认证
slxz001的博客
11-14 2971
自定义granter和provider,来实现特殊需求下的oauth认证和颁发令牌
SpringSecurity初始化配置
m0_58664047的博客
05-31 68
第一步:创建一个boot工程,在pom文件中引入相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency>
Spring Security初始化过程(1)
weixin_44612246的博客
03-10 209
SpringSecurity初始化过程源码分析
Spring Boot Web 应用中Spring Security DelegatingFilterProxy 的注入
Details Inside Spring
07-31 1584
elegatingFilterProxyRegistrationBean package org.springframework.boot.web.servlet; import javax.servlet.Filter; import javax.servlet.ServletContext; import javax.servlet.ServletException; import ...
spring security初始化
最新发布
04-27
以下是Spring Security初始化的一般步骤: 1. 添加依赖:在项目的构建文件(如Maven或Gradle)中添加Spring Security的依赖项。 2. 配置文件:创建一个Spring Security的配置文件,通常是一个Java类,用于配置安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值