spring多个过滤器和controller接口的代码执行顺序

已于 2024-03-21 15:18:40 修改
阅读量627 收藏 10
点赞数 11
文章标签: spring java
于 2024-03-21 11:20:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44684303/article/details/136900652
版权

多个过滤器和controller接口的代码执行顺序

研究此问题的起因

  • 在使用开源框架芋道时, 启用了api访问日志功能, 但是发现未能生效,
  • 看源码发现是通过过滤器实现的, 并使用断点测试
  • 发现在过滤器中的日志记录代码写在了 filterChain.doFilter(request, response); 后面
  • 日志记录代码调用了fegin接口, 故会进入fegin的请求拦截器
  • 拦截器处理逻辑是: 从 SecurityContextHolder中取出用户信息来设置到requestTemplate的header中,用于远程调用时的认证校验
  • 发现问题: 在fegin拦截器中却取不到SecurityContextHolder内容
  • 故进行排查

当前代码情况

1.过滤器顺序

  • 当前只关注api访问过滤器和认证过滤器,顺序如下:
  • api访问日志过滤器 => 认证过滤器

2.ApiAccessLogFilter中核心代码

在filterChain.doFilter(request, response);后执行日志插入操作

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {
    // 获得开始时间
    LocalDateTime beginTime = LocalDateTime.now();
    // 提前获得参数,避免 XssFilter 过滤处理
    Map<String, String> queryString = ServletUtils.getParamMap(request);
    String requestBody = ServletUtils.isJsonRequest(request) ? ServletUtils.getBody(request) : null;

    try {
        log.debug("======{} api访问日志过滤器处理 前线程:{} =====",request.getRequestURI() ,Thread.currentThread().getName());
        // 继续过滤器
        filterChain.doFilter(request, response);
        // 正常执行,记录日志
        
        log.debug("======{} api访问日志过滤器处理 后线程:{} =====",request.getRequestURI() ,Thread.currentThread().getName());
        createApiAccessLog(request, beginTime, queryString, requestBody, null);
        log.debug("======{} api访问日志过滤器处理 后后线程:{} =====",request.getRequestURI() ,Thread.currentThread().getName());
    } catch (Exception ex) {
        // 异常执行,记录日志, 方法中调用了Fegin接口,担心篇幅太长就不帖出
        createApiAccessLog(request, beginTime, queryString, requestBody, ex);
        throw ex;
    }
}

3.认证逻辑

简单写下:
获取token => 校验token有效性 => 获取用户信息并设置到SecurityContextHolder中

4.feign拦截器

简单写下:
通过SecurityContextHolder获取用户信息包括token, 并设置到requestTemplate的header中,便于后续接口认证使用

排查结果

1.拦截器和controller代码执行顺序:

  1. api访问日志过滤器中filterChain.doFilter(request, response)之前代码
  2. => 认证过滤器中filterChain.doFilter(request, response)之前代码
  3. => controller代码执行完成
  4. => 认证过滤器中filterChain.doFilter(request, response)之后代码
  5. => api访问日志过滤器中filterChain.doFilter(request, response)之后代码

2.问题原因:

  • 在api访问日志过滤器的日志记录代码是在controller接口返回完成后执行的, 同时debug是看到SecurityContextHolder被清除了
    在这里插入图片描述
  • 翻看源码发现SecurityContextHolder.clearContext();是在chain.doFilter(holder.getRequest(), holder.getResponse());之后的代码, 故会在我添加日志的代码之前执行, 所以就取不到SecurityContextHolder
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
		throws IOException, ServletException {
	doFilter((HttpServletRequest) request, (HttpServletResponse) response, chain);
}

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
		throws IOException, ServletException {
	// ensure that filter is only applied once per request
	if (request.getAttribute(FILTER_APPLIED) != null) {
		chain.doFilter(request, response);
		return;
	}
	request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
	if (this.forceEagerSessionCreation) {
		HttpSession session = request.getSession();
		if (this.logger.isDebugEnabled() && session.isNew()) {
			this.logger.debug(LogMessage.format("Created session %s eagerly", session.getId()));
		}
	}
	HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
	SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
	try {
		SecurityContextHolder.setContext(contextBeforeChainExecution);
		if (contextBeforeChainExecution.getAuthentication() == null) {
			logger.debug("Set SecurityContextHolder to empty SecurityContext");
		}
		else {
			if (this.logger.isDebugEnabled()) {
				this.logger
						.debug(LogMessage.format("Set SecurityContextHolder to %s", contextBeforeChainExecution));
			}
		}
		chain.doFilter(holder.getRequest(), holder.getResponse());
	}
	finally {
		SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
		// Crucial removal of SecurityContextHolder contents before anything else.
		// 此处删除了SecurityContextHolder
		SecurityContextHolder.clearContext();
		this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
		request.removeAttribute(FILTER_APPLIED);
		this.logger.debug("Cleared SecurityContextHolder to complete request");
	}
}
  • 同时还发现了日志记录的方法上加了@Async进行异步处理, 从而是的当前请求和日志记录不是同一个线程, 也会导致没法获取到同一个SecurityContextHolder, 故将@Async更换到了Fegin接口的实现方法上, 使Fegin拦截器和当前请求是同一个线程

解决

由于在feign拦截器无法获取到SecurityContextHolder, 故就不通过SecurityContextHolder来获取token, 直接通过HttpServletRequest的header中获取

@Slf4j
public class LoginUserRequestInterceptor implements RequestInterceptor {

    @Override
    public void apply(RequestTemplate requestTemplate) {
        HttpServletRequest request = ServletUtils.getRequest();
        log.debug("======{} api访问日志 feign拦截器 处理线程:{} =====", Optional.ofNullable(request).map(HttpServletRequest::getRequestURI).orElse("no url") ,Thread.currentThread().getName());
        // 添加此代码, 用于从HttpServletRequest 中获取token
        if (request != null) {
            requestTemplate.header(HttpHeaders.AUTHORIZATION,request.getHeader(HttpHeaders.AUTHORIZATION));
        }
		// 由于SecurityContextHolder被清理, 故无法获取到用户信息, 故将下面代码全部替换
        //LoginUser user = SecurityFrameworkUtils.getLoginUser();

        //if (user != null) {
            // 卿通胜添加: 满足uims rpc服务调用逻辑,向header中添加token
            //requestTemplate.header(HttpHeaders.AUTHORIZATION, "Bearer " + user.getContext(LoginUser.CONTEXT_TOKEN_KEY,String.class));
        }
    }

总结

例如有两个过滤器, 过滤器a 和 过滤器b ,顺序为: a => b
spring多个过滤器和controller接口的代码执行顺序如下:

  1. 过滤器a 中 filterChain.doFilter 之前代码
  2. 过滤器b中 filterChain.doFilter 之前代码
  3. controller 代码执行完成
  4. 过滤器b 中 filterChain.doFilter 之后代码
  5. 过滤器a 中 filterChain.doFilter 之后代码

优秀文章链接
在这里插入图片描述
在这里插入图片描述

图片引入自上面文章

代号:猿a
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证示例代码详解
08-27
主要介绍了Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证示例代码,通过开发实践,理解过滤器和拦截器的工作原理,需要的朋友可以参考下
记一次SpringBoot Filter的坑-过滤器被重复执行问题
晨曦
02-20 1580
(个人免签支付平台)的时候,使用了过滤器来做了接口日志打印、跨域处理、登录验证等功能,最近查看日志文件的时候突然发现日志打印的信息都是成双成对的,当时意识到不妙,是不是接口重复请求了?但经过仔细的复现发现,接口并没有重复请求,仅仅是过滤器的被重复执行了,导致日志打印重复。注解,过滤器就是在这个注解扫描的包下;而我又在过滤器上又同时加上了。两个注解,导致这个过滤器Spring容器启动的时候被加载了两次。既然不是接口的问题,那么过滤器为什么会执行两次呢?原来是因为我在启动类上加了。
还不了解后端资源拦截和权限认证?过滤器,拦截器,AOP,SpringSecurity教教你
qq_45704528的博客
07-10 3374
一.过滤器 过滤器实际上就是对web资源进行拦截,做一些处理后再交给下一个过滤器或servlet处理 通常都是用来拦截request进行处理的,也可以对返回的response进行拦截处理 Filter:拦截请求,过滤响应 如图所示: 通过filterChain.doFilter(request,response)交给下一个过滤器链处理 主要使用场景: 统一的资源管理(如用户会话的统一管理,编码格式的统一设置等等) 使用方式: 如果不满足条件,不要执行doFilter,不往下执行(跳转页面或直接输出内容),
过滤器 filter-----入门学习
simplty的专栏
05-27 909
过滤器   一。Filter简介 l  Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。 Servlet API中提供了一
聊聊dubbo的AccessLogFilter
chuoguo3754的博客
08-20 559
序 本文主要研究一下dubbo的AccessLogFilter AccessLogFilter dubbo-2.7.3/dubbo-rpc/dubbo-rpc-api/src/main/java/org/apache/dubbo/rpc/filter/AccessLogFilter.java ...
拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
热门推荐
scorpio的博客
06-03 22万+
拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
过滤器和拦截器的区别和执行顺序
象话的博客
07-16 1万+
一、两者的区别 1、拦截器 java里的拦截器是动态拦截Action调用的对象。它提供了一种机制可以使开发者可以定义在一个action执行的前后执行的代码,也可以在一个action执行前阻止其执行,同时也提供了一种可以提取action中可重用部分的方式。在AOP(Aspect-Oriented Programming)中拦截器用于在某个方法或字段被访问之前,进行拦截然后在之前或之后加入某些操作...
玩转SpringMVC之拦截器过滤器区分以及单个多个拦截器执行顺序
xtho62的博客
10-20 978
文章目录SpringMVC框架中的拦截器简介拦截器的概述:搭建案件所需环境拦截器执行流程单个拦截器的执行顺序preHandle返回true测试执行顺序preHandle返回false进行拦截整合postHandle测试顺序加入afterCompletion测试多个拦截器执行顺序 SpringMVC框架中的拦截器简介 拦截器的概述: 1.SpringMVC框架中的拦截器用于处理器进行预处理和后处理的技术。 2.可以定义拦截器链,拦截器链就是将拦截器按着一定的顺序结成一条链,在访问被拦截的方法时,拦截器链中的拦
SpringMVC拦截器和过滤器执行顺序及区别
qq_53281187的博客
03-08 432
拦截器和过滤器执行顺序? 拦截器和过滤器区别? 拦截次数不同: 过滤器:一次请求只能被一个过滤器拦截一次,它们按照在web.xml中的声明顺序依次执行。 拦截器:拦截器可以拦截多次请求,并且可以在请求前、请求时、请求后等多个时机进行处理。 实现原理不同: 过滤器过滤器是基于回调函数的,它们实现了javax.servlet.Filter接口,在Servlet生命周期中的不同阶段会调用不同的方法。 拦截器:拦截器则是基于Java的反射机制实现的,它们依赖于动态代理,可以在目标方
SPRING过滤器和拦截器的执行顺序及其说明
qq_41731166的博客
06-08 1万+
一 简介(1)过滤器:依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等(2)拦截器:依赖于web框架,在SpringMVC中就是依赖于S...
SpringCloud Zuul过滤器实现登陆鉴权代码实例
08-24
主要介绍了SpringCloud Zuul过滤器实现登陆鉴权代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springmvc Controller接口代码示例
08-28
主要介绍了Springmvc Controller接口代码示例,具有一定参考价值,需要的朋友可以了解下。
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
基于JavaSpring框架拦截器和过滤器设计源码
04-08
Spring框架拦截器和过滤器:基于Java开发,包含34个文件,包括28个Java类文件、3个XML配置文件、1个.gitignore文件、1个SQL文件和1个YAML配置文件。该项目是关于Spring框架的拦截器和过滤器的设计,过滤器Java Web...
基于Springboot的家具网站
趙兴晨的博客
05-03 543
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优化家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统化的产品展示流程和智能化的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1201
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
SpringData JPA - ORM 框架下,打造高效数据访问层
最新发布
CYK_byte的博客
05-03 1135
全英文名叫 Java Persistence API,就是 java 持久化 api ,是SUN公司推出的一套基于 ORM 的规范。ORM(Object Relational Mapping)表示对象关系映射. 简单来讲,通过 ORM,就可以把对象映射到关系型数据库中(为了不用 JDBC 那套方法来操作数据库).
spring security过滤器与servlet过滤器执行顺序
07-20
DelegatingFilterProxy是一个Servlet过滤器,它将请求委托给Spring上下文中的一个或多个Spring Security过滤器链进行处理。在Spring Security过滤器链中,过滤器执行顺序是由其在配置文件中的顺序决定的。 一般而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值