spring security:DelegatingFilterProxy和FilterChainProxy之间的关系

最新推荐文章于 2023-11-05 15:39:32 发布
最新推荐文章于 2023-11-05 15:39:32 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshiren123ew/article/details/56014558
版权

本文主要解答的是为什么在web.xml中配置了

<filter>
     <filter-name>springSecurityFilterChain</filter-name>
     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</fiter>
DelegatingFilterProxy代理的Filter就会是定义在spring容器中的FilterChainProxy类的bean


DelegatingFilterProxy类是一个spring类,位于org.springframework.web.jar包下,这个类本身是和spring security无关。该类继承于抽象类GenericFilterBean,间接地实现了javax.servlet.Filter接口,Servlet容器在启动时,首先会调用Filter的init方法,GenericFilterBean的作用主要是可以把Filter的初始化参数自动地set到继承与GenericFilterBean类的Filter中区。其源码如下:

public final void init(FilterConfig filterConfig) throws ServletException {
		Assert.notNull(filterConfig, "FilterConfig must not be null");
		if (logger.isDebugEnabled()) {
			logger.debug("Initializing filter '" + filterConfig.getFilterName() + "'");
		}

		this.filterConfig = filterConfig;

		// Set bean properties from init parameters.
		try {
			PropertyValues pvs = new FilterConfigPropertyValues(filterConfig, this.requiredProperties);
			BeanWrapper bw = PropertyAccessorFactory.forBeanPropertyAccess(this);
			ResourceLoader resourceLoader = new ServletContextResourceLoader(filterConfig.getServletContext());
			bw.registerCustomEditor(Resource.class, new ResourceEditor(resourceLoader, this.environment));
			initBeanWrapper(bw);
			bw.setPropertyValues(pvs, true);
		}
		catch (BeansException ex) {
			String msg = "Failed to set bean properties on filter '" +
				filterConfig.getFilterName() + "': " + ex.getMessage();
			logger.error(msg, ex);
			throw new NestedServletException(msg, ex);
		}

		// Let subclasses do whatever initialization they like.
		initFilterBean();

		if (logger.isDebugEnabled()) {
			logger.debug("Filter '" + filterConfig.getFilterName() + "' configured successfully");
		}
	}
在该方法中调用了initFilterBean()方法,该方法是GenericFilterBean类特地留给子类扩展使用的。其实现在DelegatingFilterProxy中 
protected void initFilterBean() throws ServletException {
		synchronized (this.delegateMonitor) {
			if (this.delegate == null) {
				// If no target bean name specified, use filter name.
				if (this.targetBeanName == null) {
					this.targetBeanName = getFilterName();
				}
				// Fetch Spring root application context and initialize the delegate early,
				// if possible. If the root application context will be started after this
				// filter proxy, we'll have to resort to lazy initialization.
				WebApplicationContext wac = findWebApplicationContext();
				if (wac != null) {
					this.delegate = initDelegate(wac);
				}
			}
		}
	}
可以看出上述代码首先看Filter是否提供了targetBeanName初始化参数,如果没有提供则直接使用filter的name作为beanName,产生beanName后,由于我们在web.xml中的filter的name是springSecurityFilterChain。 
<filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

FilterChainProxy 从Spring IOC容器中取出bean的代码是initDelegate方法。 
protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
		Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);
		if (isTargetFilterLifecycle()) {
			delegate.init(getFilterConfig());
		}
		return delegate;
	}

在这个方法中,getTargetBeanName()返回的是值为springSecurityFilterChain,下面的内容是关键

wac.getBean(getTargetBeanName(), Filter.class)
wac.getBean(getTargetBeanName(),Filter.class)->AbstractApplicationContext.getBean(name,requiredType)->AbstractBeanFactory中的transformedBeanName(name)->canonicalName(BeanFactoryUtils.transformedBeanName(name))
在canonicalName方法中将springSecurityFilterChain给转换成了org.springframework.security.filterChainProxy。这是因为SecuritynamespaceHandler在解析security命名空间的时候在HttpSecurityBeanDefinitionParser中的registerFilterChainProxyIfNecessary方法中调用了ParserContext.getRegistry().registerAlias("org.springframework.security.filterChainProxy","springSecurityFilterChain")将他们的对应关系写入到了SimpleAliasRegistry中的aliasMap中去了,而canonicalName方法使用springSecurityFilterChain为key去aliasMap中取,所以得到是org.springframework.security.filterChainProxy

这里根据springSecurityFilterChain的bean name直接获取FilterChainProxy的实例。可是springSecurityFilterChain这个bean在哪里定义的呢?此时似乎忽略了spring security的bean配置文件了。 
<?xml version="1.0" encoding="UTF-8"?>  
    <beans:beans xmlns="http://www.springframework.org/schema/security"  
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
           xmlns:beans="http://www.springframework.org/schema/beans"  
           xsi:schemaLocation="  
          http://www.springframework.org/schema/beans  
          http://www.springframework.org/schema/beans/spring-beans.xsd  
          http://www.springframework.org/schema/security  
          http://www.springframework.org/schema/security/   
                  spring-security-3.0.xsd">  
      <http auto-config="true">  
        <intercept-url pattern="/*" access="ROLE_USER"/>  
      </http>  
      <authentication-manager alias="authenticationManager">  
        <authentication-provider>  
          <user-service>  
            <user authorities="ROLE_USER" name="guest" password="guest"/>  
          </user-service>  
        </authentication-provider>  
      </authentication-manager>   
    </beans:beans>

这是最简单的配置,同时也解开了springSecurityFilterChain这个bean没有定义的疑问。这里主要利用了spring的自定义标签。首先spring security的标签解析部分的源码包为:spring-security-config.jar中
spring security的标签解析由org.springframework.security.config.SecurityNamespaceHandler来处理。该类实现接口:NamespaceHandler,spring中自定义标签都要实现该接口,该接口有三个方法init、parse、decorate,其中init用于自定义标签的初始化,parse用于解析标签,decorate用于装饰。
SecurityNamespaceHandler类的init方法完成了标签解析类的注册工作 
public void init() {
        loadParsers();
    }

    @SuppressWarnings("deprecation")
    private void loadParsers() {
        // Parsers
        parsers.put(Elements.LDAP_PROVIDER, new LdapProviderBeanDefinitionParser());
        parsers.put(Elements.LDAP_SERVER, new LdapServerBeanDefinitionParser());
        parsers.put(Elements.LDAP_USER_SERVICE, new LdapUserServiceBeanDefinitionParser());
        parsers.put(Elements.USER_SERVICE, new UserServiceBeanDefinitionParser());
        parsers.put(Elements.JDBC_USER_SERVICE, new JdbcUserServiceBeanDefinitionParser());
        parsers.put(Elements.AUTHENTICATION_PROVIDER, new AuthenticationProviderBeanDefinitionParser());
        parsers.put(Elements.GLOBAL_METHOD_SECURITY, new GlobalMethodSecurityBeanDefinitionParser());
        parsers.put(Elements.AUTHENTICATION_MANAGER, new AuthenticationManagerBeanDefinitionParser());//authentication-manager的标签解析类注册
        parsers.put(Elements.METHOD_SECURITY_METADATA_SOURCE, new MethodSecurityMetadataSourceBeanDefinitionParser());

        // Only load the web-namespace parsers if the web classes are available
        if(ClassUtils.isPresent(FILTER_CHAIN_PROXY_CLASSNAME, getClass().getClassLoader())) {
            parsers.put(Elements.DEBUG, new DebugBeanDefinitionParser());
            parsers.put(Elements.HTTP, new HttpSecurityBeanDefinitionParser());//http的标签解析类注册
            parsers.put(Elements.HTTP_FIREWALL, new HttpFirewallBeanDefinitionParser());
            parsers.put(Elements.FILTER_INVOCATION_DEFINITION_SOURCE, new FilterInvocationSecurityMetadataSourceParser());
            parsers.put(Elements.FILTER_SECURITY_METADATA_SOURCE, new FilterInvocationSecurityMetadataSourceParser());
            parsers.put(Elements.FILTER_CHAIN, new FilterChainBeanDefinitionParser());
            filterChainMapBDD = new FilterChainMapBeanDefinitionDecorator();
        }
    }
HttpSecurityBeanDefinitionParser的parse方法源码为: 
public BeanDefinition parse(Element element, ParserContext pc) {
        CompositeComponentDefinition compositeDef =
                new CompositeComponentDefinition(element.getTagName(), pc.extractSource(element));
       ......                                                                                                                                 
	registerFilterChainProxyIfNecessary(pc,pc.extractSource(element));
	......
}
	
static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {
	logger.debug("\n registerFilterChainProxyIfNecessary----"+pc.getRegistry()+"\n source=="+source);
	if (pc.getRegistry().containsBeanDefinition(BeanIds.FILTER_CHAIN_PROXY)) {
		return;
	}
	// Not already registered, so register the list of filter chains and the FilterChainProxy
	BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);

	listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());

	 pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, BeanIds.FILTER_CHAINS));

	BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);
	fcpBldr.getRawBeanDefinition().setSource(source);

	fcpBldr.addConstructorArgReference(BeanIds.FILTER_CHAINS);

	fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class));

	BeanDefinition fcpBean = fcpBldr.getBeanDefinition();

	pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, BeanIds.FILTER_CHAIN_PROXY));

	pc.getRegistry().registerAlias(BeanIds.FILTER_CHAIN_PROXY, BeanIds.SPRING_SECURITY_FILTER_CHAIN);
	//BeanIds.FILTER_CHAIN_PROXY->org.springframework.security.filterChainProxy
	//BeanIds.SPRING_SECURITY_FILTER_CHAIN->springSecurityFilterChain
}
这里需要说明的是BeanDefinitionBuilder类,该类能够动态创建spring的bean,并通过ParserContext完成bean的注册,而不需要在xml中进行配置。
此时FilterChainProxy实例化过程已经完成。
下面再看一下DelegatingFilterProxy类的doFilter方法 
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
 
        // Lazily initialize the delegate if necessary.
        Filter delegateToUse = null;
        synchronized (this.delegateMonitor) {
            if (this.delegate == null) {
                WebApplicationContext wac = findWebApplicationContext();
                if (wac == null) {
                    throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");
                }
                this.delegate = initDelegate(wac);
            }
            delegateToUse = this.delegate;
        }
 
        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegateToUse, request, response, filterChain);
    }
真正要关注invokeDelegate(delegateToUse, request, response, filterChain);这句代码,在下面可以看出 DelegatingFilterProxy类实际 是用其delegate属性即org.springframework.security.FilterChainProxy实例的doFilter方法来响应请求。 
protected void invokeDelegate(
            Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
 
        delegate.doFilter(request, response, filterChain);
    }

以上就是DelegatingFilterProxy类的一些内部运行机制,其实主要作用就是一个代理模式的应用,可以把servlet 容器中的filter同spring容器中的bean关联起来。

参考:http://www.aichengxu.com/java/1143729.htm

另外关于

Http标签的解析——HttpSecurityBeanDefinitionParser

可参考http://www.tuicool.com/articles/vU3m6r

woshiren123ew
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring securityDelegatingFilterProxyFilterChainProxy
zhangbojun888的专栏
11-21 1306
这是一个spring的类,这个类位于org.springframework.web.jar包下面,说明这个类本身和springSecurity无关。DelegatingFilterProxy类继承与抽像类GenericFilterBean,间接地实现了javax.servlet.Filter接口。Servlet容器在启动时,首先会调用Filter的init方法,GenericFilterBean的
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链机制和特性详解 Spring Security 过滤器链是 Spring Security 框架中的一种核心机制,负责处理 HTTP 请求的安全验证和授权。今天,我们将深入探讨 Spring Security 过滤器链的机制和特性,...
Spring Security:(三)DelegatingFilterProxyFilterChainProxy关系
colin2200的博客
01-01 47
官方文档地址 Spring Security官方文档地址 其中重点章节是Servlet Applications这一章节从Spring Security架构到使用都讲述十分详尽。本文是官方文档的阅读笔记。 三个重要类 Spring Security的初始化和认证授权是围绕下面三类展开的: DelegatingFilterProxy FilterChainProxy Securit...
DelegatingFilterProxy过滤器和它代理的FilterChainProxy过滤器
xzy的博客
12-17 1721
文章目录DelegatingFilterProxy过滤器和它代理的FilterChainProxy过滤器理解几个单词的意思:web.xml配置疑惑解决疑惑分析源码DelegatingFilterProxy过滤器的属性 DelegatingFilterProxy过滤器和它代理的FilterChainProxy过滤器 理解几个单词的意思: ​ delegate:代表,委托 ​ DelegatingFilterProxy:委托过滤器代理 ​ FilterChainProxy:过滤器链代理 ​ securi
Spring web过滤器-委派过滤器代理(DelegatingFilterProxy/FilterChainProxy)——Spring Security3源码分析
liangxw1的专栏
04-08 4211
http://blog.chinaunix.net/uid-7374279-id-4246259.html http://blog.csdn.net/geloin/article/details/7441937 一下整理于上面文章, Spring security应用时会用到的一个重要组件: org.springframework.web.filter中有一个特殊的类—
SpringSecurity6从入门到上天系列第四篇:DelegatingFilterProxyFilterChainProxy以及SercurityFilterChain的作用和原理
最新发布
七叔的博客
11-05 1万+
本文是SpringSecurity6从入门到上天系列第四篇,详细介绍了DelegatingFilterProxyFilterChainProxy以及SercurityFilterChain的作用和原理
Spring Security如何在Servlet中执行
08-19
Spring Security 是一个强大的安全框架,专门用于处理Java应用的安全需求,包括认证和授权。在Servlet环境中,Spring Security通过集成到Servlet的过滤器链(Servlet Filter Chain)中来实现在Web应用中的安全控制。...
spring-security_examples:Spring 安全示例
06-18
`DelegatingFilterProxy`(指向 Spring SecurityFilterChainProxy)、`SecurityContextPersistenceFilter`(在请求之间保持安全上下文)、`UsernamePasswordAuthenticationFilter`(处理登录请求)和 ...
Spring Security中的Servlet过滤器体系代码分析
08-18
从`DelegatingFilterProxy` 将Filter纳入Spring管理,到`FilterChainProxy` 根据请求路由到合适的`SecurityFilterChain`,整个流程展示了Spring Security如何巧妙地结合Servlet规范和Spring框架的优势,实现高效、可...
安全过滤器链
godslife_yeah_net的专栏
03-19 972
Spring Security的web架构是完全基于标准的servlet过滤器的。 它没有在内部使用servlet或任何其他基于servlet的框架(比如spring mvc), 所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest 和HttpServletResponse,不关心请求时来自浏览器,web服务客户端,HttpInvoker还是一个AJAX应用。
Spring SecurityDelegatingFilterProxyFilterChainProxy完成 security 的安全接入(四)
欢谷悠扬
07-06 967
1.重聊DelegatingFilterProxyRegistrationBean 在前几篇中一直聊的一个东西就是将springSecurityFilterChain注入到servletContext容器中完成请求拦截。 而注入的方式是通过DelegatingFilterProxyRegistrationBean来完成,这个类的主要目的是为了包装 DelegatingFilterProxy 类,并且实现自动注入到servletContext的流程 所以DelegatingFilterProxyRegistr
深入理解 FilterChainProxy【源码篇】
江南一点雨的专栏
07-20 4569
昨天有小伙伴加松哥微信,说他把松哥的 Spring Security 系列撸完了。。 but 松哥这个系列还没发完呢,在我的计划中,Spring Security 系列目前应该能更新一半,还剩一半,虽然有的小伙伴可能觉得好像已经没啥了,其实还有很多东西。。。 松哥最近也是特别忙,Security 更新慢下来了,但是秉持前面说的,要学就成系列的学,要学就学透彻,这个系列我还会继续更下去。 今天我们就来聊一聊 Spring Security 系列中的 FilterChainProxy。 这是一个非常重要的代理
DelegatingFilterProxy管理过滤器详解
xiaobudaics的专栏
06-02 9038
安全过滤器链  Spring Security的web架构是完全基于标准的servlet过滤器的。它没有在内部使用servlet或任何其他基于servlet的框架(比如spring mvc),所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest和HttpServletResponse,不关心请求时来自浏览器,web服务客户端,HttpInvoker还是一个A
Spring源码之DelegatingFilterProxy
吃糖不加牛奶的博客
05-04 696
Spring源码之DelegatingFilterProxy 一、类图 DelegatingFilterProxy是一个代理类,代理我们标准的Filter类,并将其委托给一个实现了Filter接口的实例,不同之处在于这个实例是托管到spring中的。好处就很明显了,它可以享受到spring的便利之处,例如在filter类中注入其他的spring bean,更为复杂的初始化逻辑等等。 既然是托管到了spring中,那么filter的生命周期就交给了spring来管理。但是filter是有自己的生命周期的,De
DelegatingFilterProxy类的作用
热门推荐
romantic_PK的专栏
11-08 2万+
使用过springSecurity的朋友都知道,首先需要在web.xml进行以下配置 springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true springSec
Spring Securitysecurity none, filters none, access permitAll
weixin_30699741的博客
05-20 423
1.概述 Spring Security提供了几种将请求模式配置为不安全或允许所有访问的机制。取决于这些机制中的哪一种 - 这可能意味着根本不在该路径上运行安全过滤器链,或者运行过滤器链并允许访问 2. access=”permitAll” 使用access =“permitAll”设置元素将配置授权,以便在该特定路径上允许所有请求: <intercept-url pattern="/log...
A universal match pattern ('/**') is defined before other patterns in the filter chain
Girl_zby的博客
08-25 2925
Nested in org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘org.springframework.security.filterChainProxy’: Invocation of init method failed; nested exception is j
Spring Security 系列(1) DelegatingFilterProxy
Yuit
05-26 1350
Spring Security DelegatingFilterProxy 初始化 带入问题 Spring Security 的过滤器链的入口在哪 非Spring Boot 项目 (简称 Spring)式与Spring Boot 项目(简称Spring Boot)过滤器链的创建方式; DelegatingFilterProxy DelegatingFilterProxy 是整个Spring Security 过滤器链的入口,拦截所有的请求;最后交给 FilterChainProxy 处理 Spring
SpringSecurity 3.0入门与配置教程
Spring Security是一个基于Spring框架的高级安全框架,它结合了AOP(面向切面编程)和Servlet过滤器,为Web应用程序提供了一整套全面的身份验证(Authentication)和授权(Authorization)解决方案。 首先,这份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值