Spring security 之 tomcat到springSecurityFilterChain拦截器过程分析(三)

已于 2022-10-27 21:10:21 修改
阅读量1k 收藏 2
点赞数 3
分类专栏: spring security 文章标签: 新星计划 spring security tomcat filter
于 2021-07-05 14:54:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang131peng/article/details/118489794
版权

1.前景提要

springSecurityFilterChain是一个DelegatingFilterProxyRegistrationBean的对象。
感谢青稚774 老哥的指正。
springSecurityFilterChain是先通过spring的autoconfiguration注入spring容器中,然后被DelegatingFilterProxyRegistrationBean注入到servlet容器中。
所以说 【springSecurityFilterChain是一个DelegatingFilterProxyRegistrationBean`的对象】 这句话是错的。
springSecurityFilterChain是DelegatingFilterProxyRegistrationBean注册目标,将它注册到servlet容器中。

在第二篇中,我们分析得知,spring security通过注入DelegatingFilterProxyRegistrationBean对象到spring 容器中来使 servlet 容器在初始化的过程中能够获取并初始化到自己的过滤器链中去。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4hzHJZOt-1625467543987)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/9325653b-3f07-4666-a4f0-0e8b4da8b59e/Untitled.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sMcy44vf-1625467543991)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/50a2db35-3807-426f-82b5-3c921f866f41/Untitled.png)]



2.加入servlet 容器拦截器链中的springSecurityFilterChain如何运作

这里先从tomcat拦截器链开始,tomcat是接受请求的容器,由它负责处理请求并转到对应的应用中去。

大致流程:

  1. Socket监听
  2. Protocol协议解析
  3. CoyoteAdapter 将解析出的数据转为Request和Response(也就是适配为同样格式数据)
  4. Engine 开始根据请求选择对应的Host应用程序来处理这个请求
  5. 每个Host根据对应的URL来选择Context
  6. 每个Context包含一个对应的servlet包装类(Wrapper),在springmvc中,tomcat的Wrapper包含的就是DispatcherServlet
  7. 在这个Wrapper中会创建一个ApplicationFilterChain,这个拦截器链就是从servlet容器中获取的
  8. 这个拦截器链中就包含前面设置进去的springSecurityFilterChain

上面就是从tomcat 到 springSecurityFilterChain的大致流程。



3. ApplicationFilterChain之tomcat拦截器链的构建过程

1.基于ApplicationFilterFactory创建拦截器链
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xUQTaE09-1625467543993)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/7ff952aa-65e9-48de-9756-df9b58428cce/Untitled.png)]

2.从StandardContext中获取拦截器数组

在这里插入图片描述

3.添加拦截器到ApplicationFilterChain
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uQPD1d63-1625467543999)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/77e7a934-af25-4999-a172-7a405689d948/Untitled.png)]

但是这里估计有人会有点疑问,spring 明明是将filter设置到ServletContext,怎么tomcat 获取拦截器的时候,是从StandardContext中获取的呢?



4.ServletContext 将 filter 注入到StandardContext

ServletContext是一个接口,其默认实现为ApplicationContext

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nqhYpAfS-1625467544001)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/00ea63f7-7ac3-4154-8b55-6deadf59aca9/Untitled.png)]

ApplicationContext是持有StandardContext

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MVAh1ha1-1625467544003)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/e19ee77f-71df-4027-8001-a9cf15beb97d/Untitled.png)]

这个时候就需要看看addFilter方法了,这个是我们将filter添加到servletContext的方法。

private FilterRegistration.Dynamic addFilter(String filterName,
            String filterClass, Filter filter) throws IllegalStateException {
		
        if (filterName == null || filterName.equals("")) {
            throw new IllegalArgumentException(sm.getString(
                    "applicationContext.invalidFilterName", filterName));
        }

        if (!context.getState().equals(LifecycleState.STARTING_PREP)) {
            //TODO Spec breaking enhancement to ignore this restriction
            throw new IllegalStateException(
                    sm.getString("applicationContext.addFilter.ise",
                            getContextPath()));
        }
				// 可以看到是从StandardContext获取FilterDef
        FilterDef filterDef = context.findFilterDef(filterName);

        // Assume a 'complete' FilterRegistration is one that has a class and
        // a name
        if (filterDef == null) {
            filterDef = new FilterDef();
            filterDef.setFilterName(filterName);
						// 添加filter 也是添加到StandardContext
            context.addFilterDef(filterDef);
        } else {
            if (filterDef.getFilterName() != null &&
                    filterDef.getFilterClass() != null) {
                return null;
            }
        }

        if (filter == null) {
            filterDef.setFilterClass(filterClass);
        } else {
            filterDef.setFilterClass(filter.getClass().getName());
            filterDef.setFilter(filter);
        }

        return new ApplicationFilterRegistration(filterDef, context);
    }

从上面可以看到其实ServletContext的filter信息,其实是放在StandardContext中进行存储的。

所以也就是为啥能通过StandardContext获取filter数组了。



5.小结

整个过程其实就是创建ApplicationFilterChain,然后从servletContext中获取过滤器数组加入到拦截器链中。

一张图小结一下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wwT577pS-1625467544004)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/4e67f400-ddab-4a95-a1e1-fd11315c4153/05_tomcatApplicationFilterChainsecurityFilterChain.png)]

欢谷悠扬
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
SpringSecurity6 | 委派筛选器代理和过滤器链代理
分享思想,留下痕迹。
11-07 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们简单回顾了一下关于Servlet原生过滤器以及简单认识了SpringSecurity中的一些过滤器。但是底层SpringSecurity是如何维护这些过滤器,并通过这些过滤器是如果拦截我们的客户端请求的,我们都还只是停留在表层,今天就让我们去深入了解一下我们今天得主角—委派筛选器代理 DelegatingFilterProxy。好了,话不多说让我们开始吧😎😎😎。Spring 提供了一个名为 DelegatingFilterProxy的Filter
Spring Boot ,Spring SecurityFilterTomcat正常,部署在Weblogic 12c Filter顺序出错,导致拦截权限不生效问题
记录工作的常用技术、技能技巧
11-27 3521
Spring Boot使用main函数启动或在tomcat中启动时,Filter是按照正常的顺序执行拦截,将工程打包为war包,部署到weblogic上时,Filter执行顺序错乱,导致权限拦截出错。 最近公司的一个项目使用Spring Boot开发,前期也做了技术评估,打包成war到Tomcat和Weblogic 12c上运行,静态资源和RequestMapping访问均正常,以为万事大吉,就
springSecurity注入springSecurityFilterChain的过程
qq_38077040的博客
03-15 575
​ 被注入的springSecurityFilterChain对象由webSecurity.build();生成。​ build时,先读取自定义的配置,进行init,configure,performBuild,在performBuild时,会加载Springboot封装好的配置,然后遍历,分别执行init,configure,performBuild方法,最后将加载的filters生成chain,然后再进行代理。最后注入。
SpringSpring Security 5及以上版本中`SecurityFilterChain`示例
最新发布
wosixiaokeai的博客
07-11 467
Spring Boot 2.x及更高版本与Spring Security 5.x紧密集成,提供了简化的配置方式。在Spring Boot应用程序中,通常通过配置类来定义。
Spring SecuritySecurityFilterChain的选择与执行流程(五)
欢谷悠扬
07-07 2096
1.FilterChainProxy去找过滤器链去了~ FilterChain 是过滤器链,我好像之前一直说的拦截器链(尴尬) 在上一篇中,我们知道FilterChainProxy 拿到了条过滤器链,那FilterChainProxy如何根据请求去选择呢? 每个SecurityFilterChain都有一个RequestMatcher 匹配器,这个匹配器中可以放置多个url或者通配符表达式进行匹配,匹配成功就直接返回这个过滤器链的过滤器集合。 所以SecurityFilterChain其实也不是过滤器
springsecurityspringSecurityFilterChain
hepei120的专栏
06-03 6644
如果在web项目中增加springsecurity作为你的登录认证授权框架,那么第一步就需要在web.xml 增加如下配置         <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filt...
Spring Security】过滤器的流程作用
PaoShan的博客
02-23 452
简介+++认证授权的测试流程认证测试
springsecurity的相关介绍以及简单的原理分析和简单使用
m0_51491702的博客
04-25 844
security的认证流程和登录流程的介绍。以及整个security的执行原理讲解
认证、授权攻略(1)、spring security(与springmvc集成实战)
java爱分享
07-26 468
概述 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 开发环境 Eclipse Mars.2 Release (4.5.2) JDK1.8.0_65 apache-maven-3.3.9 apache-tomcat-8.0.47 mysql-5...
手把手教你java中如何使用Spring security(一)
uuuyy_的博客
01-20 678
背景 阅读本文你应该熟悉基本的Core Java,J2EE和Spring MVC的知识。 什么是Spring Security? 这是一个基于Java的安全解决方案。它主要适用于基于Spring框架构建的基于Java的Web应用程序。它为基于J2EE的企业软件应用程序提供全面的安全服务。它功能强大,灵活性更高。您可以非常轻松地将spring安全服务插入到您的应用程序中。 认证和授权是Spring Security中包含的两个主要操作。 1.身份验证是要求用户提供有效凭据来验明正身。 2....
为什么拦截器把正常请求也拦截了_过滤器 和 拦截器的 6个区别,别再傻傻分不清了
weixin_39731271的博客
11-24 1579
周末有个小伙伴加我微信,向我请教了一个问题:老哥,「过滤器 (Filter) 和 拦截器 (Interceptor) 有啥区别啊?」 听到题目我的第一感觉就是:「简单」!毕竟这两种工具开发中用到的频率都相当高,应用起来也是比较简单的,可当我准备回复他的时候,竟然不知道从哪说起,支支吾吾了半天,场面炒鸡尴尬有木有,工作这么久一个基础问题答成这样,丢了大人了。 平时觉得简单的知识点,但通常都不会太关注...
java-web -- servlet 拦截器 过滤器使用
02-24
java-web servlet 拦截器 过滤器使用 java-web servlet 拦截器 过滤器使用
1.spring security认证流程
weixin_45974277的博客
02-24 4904
让我们仔细分析认证过程: 1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,然后交给DaoAuthenticationProvider委托..
拦截器
ljinshuo的博客
07-29 257
拦截器执行流程: 用户tomcat服务器拦截器1拦截器2Action实例1.启动,执行所有拦截器创建2.init()执行所有初始化方法3.init()4.用户访问5.创建action实例6.拦截器intercptor(...)方法7.invoke()8.invoke()9.execute()10111213.最终服务器响应浏览器用户tomcat服务器拦截器1拦截器2Action实例拦截器执行流程时...
tomcat过滤
beijing20120926的专栏
02-18 1389
过滤是 Tomcat 4 的新功能。它是Servlet 2.3 规范的一部分,并且最终将为所有支持此标准的 J2EE容器的厂商所采用执行。开发人员将能够用过滤器来实现以前使用不便的或难以实现的功能,这些功能包括: 资源访问(Web 页、JSP 页、servlet)的定制身份认证应用程序级的访问资源的审核和记录应用程序范围内对资源的加密访问,它建立在定制的加密方案基础上对被访问资源的及时转
springMVC(3、tomcat管理文件夹&文件上传&拦截器)
lanleihhh的博客
12-01 437
springMVC(3、tomcat管理文件夹&文件上传&拦截器) Tomcat管理文件夹 文件上传 导入上传下载所需 jar 包(pom.xml) <dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.3</versi
Springboot中tomcat配置、大组件配置、拦截器配置
程序三两行
12-06 1065
原文地址:http://www.javayihao.top/detail/172 1.tomcat配置 Springboot默认使用的就是嵌入式servlet容器即tomcat,对于web项目,如果使用的是外部tomcat,相关配置比如访问端口、资源路径等可以在tomcat的conf文件下配置。但是在boot中,tomcat配置又两种方式 第一种:通过配置文件直接配置(推荐) #如果是...
SpringSecurity拦截器
qq_29860591的博客
05-08 1417
SpringSecurity拦截器Spring版本 <!--Spring Security过滤器链,注意过滤器名称必须叫springSecurityFilterChain--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>or...
十五、拦截器
m0_62639288的博客
07-18 359
在实际项目中,拦截器的使用是非常普遍的,例如在购物网站中通过拦截器可以拦截未登录的用户,禁止其购买商品,或者使用它来验证已登录用户是否有相应的操作权限等。(1)在Eclipse 中,创建一个名为chapter15的 Web项目,将Spring MVC程序运行所需JAR包复制到项目的lib目录中,并发布到类路径下。在上述拦截器的配置代码中,第一个拦截器会作用于所有路径下的请求,而第二个拦截器会作用于以“/hello”结尾的请求。如果在项目中只定义了一个拦截器,那么该拦截器在程序中的执行流程如图所示。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

欢谷悠扬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值