Spring Security 是如何在 Servlet 应用中执行的?

最新推荐文章于 2022-04-13 10:34:22 发布
最新推荐文章于 2022-04-13 10:34:22 发布
阅读量126 收藏
点赞数
分类专栏: 技术文 文章标签: java 编程语言 spring 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49114080/article/details/110185305
版权

Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。

由于我在学习和使用是基于 Servlet Applications 的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications 功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。

Spring Securty 在 Servlet Applications 中的应用

以下部分内容摘自官方文档

Servlet Filter Chain

提到 Servlet Filter Chain 应该都熟悉的吧,它们是一系列由 javax.servlet.Filter 实现类组成的一个链,大致图如下所示:
在这里插入图片描述
上图中Client发送Http请求,然后请求经过FilterChain,每个匹配的Filter都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。

Spring Security 的实现简单来说,就是往Servlet Filter Chain加了一个特殊的过滤器来处理认证或授权请求 。

DelegatingFilterProxy

Spring 提供一个javax.servlet.Filter的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。
在这里插入图片描述
在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行Filter0的doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}

FilterChainProxy

前面说过DelegatingFilterProxy只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy 类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。
在这里插入图片描述

你可能发现了上图中在FilterChainProxy部分还有个 SecurityFilterChain,它是一个接口只有两个方法:

  • matches用于匹配请求
  • getFilters是获取针对匹配请求的所有的 Filters

SecurityFilterChain 接口:

public interface SecurityFilterChain {

   boolean matches(HttpServletRequest request);

   List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对/app/api/**与/web/api/**设置不同的认证规则。
在这里插入图片描述

总结

前面提到了四个重要的概念:

  • Servlet Filter Chain:Serverl过滤器链
  • DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
  • FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
  • SecurityFilterChain:包含一组Filter

总结下来可以用一张图表示:
在这里插入图片描述

根据上面图如Client访问/web/api/login就会匹配到SecurityFilterChain 0并执行其中的 Filters。

匹配过程我看了下FilterChainProxy的源码,大致流程和我理解的差不多,我把代码精简了一下以下:

public class FilterChainProxy extends GenericFilterBean {

	private List<SecurityFilterChain> filterChains;



	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	
	
	    ...
        doFilterInternal(request, response, chain);
	   	...
	}

	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

	
	    ...
	    
		List<Filter> filters = getFilters(fwRequest);

        ...

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}


	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}



 
	private static class VirtualFilterChain implements FilterChain {
	
		@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
		
		...
	}

 

}
  • 首先在FilterChainProxy的doFilter方法会执行doFilterInternal方法
  • doFilterInternal 方法中调用 getFilters 获取过滤器列表
private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}
  • 在 getFilters 会调用SecurityFilterChain.matches匹配请求
  • 最后将得到的filters放在 VirtualFilterChain 中执行

最后

欢迎大家关注和转发文章,也欢迎大家关注我的公众号:程序员麦冬,每天都会分享java相关技术文章或行业资讯!

不务正业的程序汪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring SecurityServlet集成
穷目楼的博客 - 昨日所记,今日所想,明日所学
03-30 335
Spring SecurityServlet API 提供了一些集成支持。 Servlet 2.5+ 获取当前用户的username,对其进行null检查可以得知用户是否通过认证。 HttpServletRequest.getRemoteUser() 等价于 SecurityContextHolder.getContext().getAuthentication().getName() ...
Spring Security如何在Servlet执行
08-19
Servlet环境Spring Security通过集成到Servlet过滤器链(Servlet Filter Chain)来实现在Web应用的安全控制。以下是关于Spring Security如何在Servlet执行的详细说明: 1. **Servlet Filter Chain**...
springsecurity原理执行流程_Spring Security 实战干货:图解Spring SecurityServlet过滤器体系...
weixin_39692557的博客
12-05 222
1. 前言 我在Spring Security 实战干货:内置 Filter 全解析对Spring Security的内置过滤器进行了罗列,但是Spring Security真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键。 2. Servlet Filter体系 这里我们以Servlet Web为讨论目标,Reactive Web暂不讨论。我们先来看下最基础的S...
Spring Security / Servlet Application / 鉴权
菜鸟的博客
07-15 412
Spring Security 02 - Authentication 参考: Spring Security Reference Servlet 鉴权的架构组件 SecurityContextHolder Spring SecuritySecurityContextHolder 来存储鉴权对象的详细信息 SecurityContext 从 SecurityContextHolder 获得 SecurityContext 含有当前鉴权用户的 Authentication Authentication
springsecurity-servlet 在项目应用
薛秋艳的博客
06-26 650
1,首先在项目导入springsecurity-servlet的三个基本包,。 2,配置springsecurity-servlet.xml,内容如下。 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns
强大的 Spring Security 是如何在 Servlet 应用执行的?
架构文摘
04-26 239
Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。 由于我在学习和使用是基于 Servlet Applications 的,所以文的大部分...
Spring SecurityServlet过滤器体系代码分析
08-18
Spring SecurityServlet过滤器体系起着至关重要的作用,它们负责拦截、处理和转发HTTP请求,确保只有经过安全验证的请求才能到达应用程序的核心业务逻辑。 1. **Servlet Filter体系** Servlet过滤器(Filter...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器链(Filter)以及最终的具体 Servlet 控制器...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity,我们使用JWT认证方式来实现认证,通过生成一个JWT token来验证用户的身份。在认证流程,我们首先需要生成一个JWT token,然后将其传递给客户端,客户端在每次请求时都需要带上这个token,以便...
spring security 官方文档
10-08
6. **Web安全(Web Security)**:对于基于Servlet应用Spring Security通过Servlet Filter进行安全控制;对于响应式(Reactive)应用,它提供了WebFlux安全支持,利用Reactor库处理非阻塞的HTTP请求。 7. **API...
9. 基于servlet层面看Spring Security
weixin_43981133的博客
09-28 154
本节讨论基于Servlet应用程序Spring Security的高级体系结构。 分3个方面介绍 Authentication(认证), Authorization(授权),Protection Against Exploits (漏洞防护) 。 9.1。复习过滤器Filters Spring SecurityServlet支持基于Servlet Filter,因此了解Filter发挥的作用很重要。 下图显示了单个HTTP请求的处理程序的典型分层。 过滤链 图1. FilterChain 客户端向应
自定义实现@Security进行权限控制
HaiYun
06-08 282
@Security注解实现前言@Security改造handler类改造DispatherServlet测试 前言 在上一篇博客,我们自定义实现了一个mvc框架,那么现在我们在此基础上,通过注解的方式添加一个权限的控制。 这个注解用于添加在Controller类或者是handler方法上,通过给注解value赋值,表明这个controller或者handler有哪些用户是可以有权限访问的。 其如果只给controller类添加该注解,表示这个controller类里面所有的方法都可以被该注解声明的用户访
SpringSecurity采坑记录——404导致有效token被认为无效
Logger
03-23 3135
问题 昨天遇到了一个大坑,接手一个现有的项目使用的SpringSecurity的,本地跑起来之后postman调接口 token一直认证不了,但是用相同的token在dev服务器端访问确可以通过(本地和dev环境连的同一个redis)。 原因 先直接说原因:我postman调用的url不对,这个项目包含十几个微服务,都有context-path的配置,唯独这个服务没有,我postman调用时想当然的给加了context-path,实际上是404。 或许你会问,怎么连404都看不出来,然而是实际上我拿到的响
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
spring security 配置
liu911025的博客
09-12 1665
转载文章链接:http://blog.csdn.net/u012367513/article/details/38866465spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,
Spring Security Config : HttpSecurity安全配置器 ServletApiConfigurer
Details Inside Spring
06-16 642
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,ServletApiConfigurer的配置任务如下 : 配置如下安全过滤器Filter SecurityContextHolderAwareRequestFilter 过滤器的属性authenticationManager来自共享对象AuthenticationManager 过滤器的属性authen...
spring security官方文档详解之Servlet应用程序
weixin_43229159的博客
04-13 3134
1.详情请参见spring security官方文档之Servlet应用程序 文章目录一.简介二.开始/入门2.1 更新依赖项2.2 启动示例程序2.3 Spring Boot自动配置三.体系结构3.1 过滤器综述3.2 DelegatingFilterProxy3.3 FilterChainProxy3.4 SecurityFilterChain(安全过滤器链)3.5 Security Filters(安全过滤器)3.6 Handling Security Exceptions(处理安全异常)四.Auth
Spring Security】入门篇-formLogin登录认证模式
qq_42980244的博客
08-14 3277
1.概述 spring security是能够在Web请求级别和方法调用级别处理身份验证(认证who are you?)和授权(批准what can you do?)的安全框架 spring security从两个角度解决安全问题 1.使用Servlet规范的Filter保护Web请求并限制URL级别的访问; 2.使用spring Aop保护方法调用,借用动态代理和使用通知确保只有在具有相应权限的用户才能访问被保护的方法 今天先来明白一下身份验证,spring security身份验证有两种,H
spring security过滤器servlet过滤器执行顺序
最新发布
07-20
Spring Security过滤器过滤器执行顺序是由其在配置文件的顺序决定的。 一般而言,Spring Security过滤器链包括了很多过滤器,如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值