「技术原理」Spring Security的核心功能和加载运行流程的原理分析

SpringSecurity的架构总览Spring Security的简介说明Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。概念释义 认证(Authentication):认证就是对试图访问资源的用户进行验证。 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。 授权(Authority):授权就是对资源进行权限设置,只有用户具...
摘要由CSDN通过智能技术生成

🍃【Spring专题】「技术原理」Spring Security的核心功能和加载运行流程的原理分析

SpringSecurity的架构总览

Spring Security的简介说明

Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。

概念释义

  • 认证(Authentication):认证就是对试图访问资源的用户进行验证。

    • 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。
  • 授权(Authority):授权就是对资源进行权限设置,只有用户具备相应权限才能访问。

技术原理

Spring Security 在基于Servlet应用中,其底层是采用了Filter机制实现了对请求的认证、授权和漏洞防御等功能。

简单来说,可以理解为给Servlet设置一些Filters,这些Filters就构成了一个FilterChain。

请求拦截处理

每次当请求进来时,首先会被FilterChain中的Filters 依次捕获得到,每个Filter可以对请求进行一些预处理或对响应进行一些后置处理,最后才会到达Servlet。具体流程如下图所示:

FilterChain的实例对象

FilterChain中的Filter主要有两方面作用:

  • 修改HttpServletRequest或HttpServletResponse,这样FilterChain后续的Filters 或Servlet得到的就是被修改后的请求和响应内容。

  • Filter可以拦截请求,自己作出响应,相当于断开了FilterChain,导致后续的Filters和Servlet无法接收到该请求。

DelegatingFilterProxy

  • 基于Servlet规范,我们可以为 Servlet容器 注入一些自定义Filters,但是在 Spring 应用中,实现了Filter接口的Bean无法被 Servlet容器 感知到,没有调用ServletContext#addFilter方法注册到FilterChain中。

  • Spring 提供了一个DelegatingFilterProxy代理类,DelegatingFilterProxy实现了Filter,因此它可以被注入到FilterChain中,同时,当请求到来时,它会把请求转发到Spring容器 中实现了Filter接口的 Bean 实体,所以DelegatingFilterProxy桥接了 Servlet容器 和 Spring容器。

DelegatingFilterProxy作用示意图大致如下所示:

当请求到来时,DelegatingFilterProxy会从ApplicationContext中获取FilterBean 实体,然后将请求转发给到它,伪代码如下所示:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}
复制代码

FilterChainProxy

Spring容器中的Filters Bean实体可以注入到Servlet容器中的FilterChain功能,基于此,Spring Security向Spring容器提供了一个FilterChainProxy Bean 实体,该FilterChainProxy实现了Filter接口,因此,请求就会被FilterChainProxy捕获到,这样 Spring Security 就可以开始工作了。

默认情况下,DelegatingFilterProxy从Spring容器中获取得到的就是FilterChainProxy实体,而FilterChainProxy也是一个代理类,它最终会将请求转发到 Spring Security 提供的SecurityFilterChain中,流程示意图如下所示:

注:FilterChainProxy就是 Spring Security 真正的入口起始点,调式代码时,将断点设置在FilterChainProxy#doFilter就可以追踪 Spring Security 完整调用流程。

SecurityFilterChain

SecurityFilterChain作用其实跟Servlet的FilterChai

  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值