欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Security中的Servlet過濾器體系代碼分析

 更新時間:2020年07月06日 15:12:48   作者:碼農(nóng)小胖哥  
這篇文章主要介紹了Spring Security中的Servlet過濾器體系,本文通過圖文并茂的形式給大家介紹的非常詳細,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下

1. 前言

我在Spring Security 實戰(zhàn)干貨:內(nèi)置 Filter 全解析對Spring Security的內(nèi)置過濾器進行了羅列,但是Spring Security真正的過濾器體系才是我們了解它是如何進行"認證"、“授權(quán)”、“防止利用漏洞”的關(guān)鍵。

2. Servlet Filter體系

這里我們以Servlet Web為討論目標,Reactive Web暫不討論。我們先來看下最基礎(chǔ)的Servlet體系,在Servlet體系中客戶端發(fā)起一個請求過程是經(jīng)過0到N個Filter然后交給Servlet處理。

Filter不但可以修改HttpServletRequestHttpServletResponse,可以讓我們在請求響應(yīng)的前后做一些事情,甚至可以終止過濾器鏈FilterChain的傳遞。

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
 // 請求被servlet 處理前 
 if(condition){
 // 根據(jù)條件來進入下一個過濾器
 chain.doFilter(request, response); 
 }
 // 請求被執(zhí)行完畢后處理一些事情 
 }

由于Filter僅影響下游Filters和Servlet,因此每個Filter調(diào)用的順序非常重要。Spring Security正是根據(jù)這個個特性來實現(xiàn)一系列的安全功能。接下來我們來看看它們是如何結(jié)合的。

3. GenericFilterBean

在該系列的文章開篇我對Spring Security和Shiro進行了簡單的對比。Spring Security利用了Spring IOC和AOP的特性而無法脫離Spring獨立存在,而Apache Shiro可以獨立存在。所以今天我們要一探究竟,看看他們是如何結(jié)合的。

Spring結(jié)合Servlet Filter自然是要為Servlet Filter注入Spring Bean的特性,所以就搞出了一個抽象Filter Bean,這個抽象過濾器GenericFilterBean并不是在Spring Security下,而是Spring Web體系中,類圖如下:

從類圖上看Filter接口已經(jīng)被注入了多個Spring Bean的特性,納入了Spring Bean生命周期,使得Spring IoC容器能夠充分的管理Filter

4. DelegatingFilterProxy

我們希望Servlet能夠按照它自己的標準來注冊到過濾器鏈中工作,但是同時也希望它能夠被Spring IoC管理,所以Spring提供了一個GenericFilterBean的實現(xiàn)DelegatingFilterProxy。我們可以將原生的Servlet Filter或者Spring Bean Filter委托給DelegatingFilterProxy,然后在結(jié)合到Servlet FilterChain中。

5. SecurityFilterChain

針對不同符合Ant Pattern的請求可能會走不同的過濾器鏈,比如登錄會去驗證,然后返回登錄結(jié)果;管理后臺的接口走后臺的安全邏輯,應(yīng)用客戶端的接口走客戶端的安全邏輯。Spring Security提供了一個SecurityFilterChain接口來滿足被匹配HttpServletRequest走特定的過濾器鏈的需求。

public interface SecurityFilterChain {
 // 判斷請求 是否符合該過濾器鏈的要求
 boolean matches(HttpServletRequest request);
 // 對應(yīng)的過濾器鏈
 List<Filter> getFilters();
}

6. FilterChainProxy

不同的SecurityFilterChain應(yīng)該是互斥而且平等的,它們之間不應(yīng)該是上下游關(guān)系。

如上圖請求被匹配到不同的SecurityFilterChain然后在執(zhí)行剩余的過濾器鏈。它們經(jīng)過SecurityFilterChain的總流程是相似的,而且有些時候特定的一些SecurityFilterChain也需要被集中管理來實現(xiàn)特定一攬子的請求的過濾邏輯。所以就有了另外一個GenericFilterBean實現(xiàn)來做這個事情,它就是FilterChainProxy。它的作用就是攔截符合條件的請求,然后根據(jù)請求篩選出符合要求的SecurityFilterChain,然后鏈式的執(zhí)行這些Filter,最后繼續(xù)執(zhí)行剩下的FilterChain。

擴展閱讀:Spring Security 過濾器鏈

7. 總結(jié)

結(jié)合上面,最終上述這些概念的關(guān)系徹底搞清楚了,搞清楚過濾器的運作模式對于學(xué)習(xí)和使用Spring Security至關(guān)重要。

到此這篇關(guān)于Spring Security中的Servlet過濾器體系的文章就介紹到這了,更多相關(guān)Spring Security Servlet過濾器體系內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • kafka消費不到數(shù)據(jù)的排查過程

    kafka消費不到數(shù)據(jù)的排查過程

    這篇文章主要介紹了kafka消費不到數(shù)據(jù)的排查過程,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2023-02-02
  • Mybatis中的自定義映射resultMap

    Mybatis中的自定義映射resultMap

    在MyBatis中,自定義映射resultMap可以讓你精確控制如何將數(shù)據(jù)庫返回的結(jié)果集映射到Java對象上,本文給介紹了Mybatis之自定義映射resultMap,需要的朋友可以參考下
    2024-03-03
  • Java 前臺加后臺精品圖書管理系統(tǒng)的實現(xiàn)

    Java 前臺加后臺精品圖書管理系統(tǒng)的實現(xiàn)

    相信每一個學(xué)生學(xué)編程的時候,應(yīng)該都會寫一個小項目——圖書管理系統(tǒng)。為什么這么說呢?我認為一個學(xué)校的氛圍很大一部分可以從圖書館的氛圍看出來,而圖書管理系統(tǒng)這個不大不小的項目,接觸的多,也比較熟悉,不會有陌生感,能夠練手,又有些難度,所以我的小項目也來了
    2021-11-11
  • Java tomcat手動配置servlet詳解

    Java tomcat手動配置servlet詳解

    這篇文章主要為大家介紹了tomcat手動配置servlet,具有一定的參考價值,感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
    2021-11-11
  • Spring MVC異常處理機制示例詳解

    Spring MVC異常處理機制示例詳解

    這篇文章主要給大家介紹了關(guān)于Spring MVC異常處理機制的相關(guān)資料,文中通過示例代碼介紹的非常詳細,對大家學(xué)習(xí)或者使用Spring MVC具有一定的參考學(xué)習(xí)價值,需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-11-11
  • 深入了解Java對象的克隆

    深入了解Java對象的克隆

    這篇文章主要介紹了Java對象的克隆的相關(guān)資料,幫助大家更好的理解和學(xué)習(xí)Java,感興趣的朋友可以了解下
    2020-08-08
  • 解析JDK14中的java tools簡介

    解析JDK14中的java tools簡介

    這篇文章主要介紹了JDK14中的java tools簡介,本文給大家介紹的非常詳細,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2020-04-04
  • Java實現(xiàn)解析zip壓縮包并獲取文件內(nèi)容

    Java實現(xiàn)解析zip壓縮包并獲取文件內(nèi)容

    這篇文章主要為大家詳細介紹了如何利用Java語言實現(xiàn)頁面上傳一個源碼壓縮包,后端將壓縮包解壓,并獲取每個文件中的內(nèi)容,感興趣的可以動手嘗試一下
    2022-07-07
  • java springmvc實現(xiàn)驗證碼功能

    java springmvc實現(xiàn)驗證碼功能

    這篇文章主要為大家詳細介紹了java springmvc實現(xiàn)驗證碼功能,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-11-11
  • 用JAVA 設(shè)計生成二維碼詳細教程

    用JAVA 設(shè)計生成二維碼詳細教程

    本文主要介紹用JAVA 設(shè)計生成二維碼,這里一步一步詳細介紹用 java 如何設(shè)計二維碼,并附有代碼示例以便參考,有需要的小伙伴可以參考下
    2016-08-08

最新評論