欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring?Security過濾器鏈加載執(zhí)行流程源碼解析

 更新時間:2021年12月31日 17:14:12   作者:Charge8  
Spring?Boot?對于?Spring?Security?提供了自動化配置方案,可以使用更少的配置來使用?Spring?Security。那么這個過濾器鏈是怎么加載和實現(xiàn)攔截的呢,對Spring?Security過濾器鏈加載執(zhí)行流程感興趣的朋友一起看看吧

Spring Security實現(xiàn)原理

Spring Security 采用 IoC 和 AOP思想,基于 Servlet 過濾器實現(xiàn)的安全框架、為 Web 請求和方法調(diào)用提供身份確認和授權(quán)處理,還提供與其他庫的集成以簡化其使用,避免了代碼耦合,減少了大量重復代碼工作。

在之前 web.xml中,我們是這樣寫的。

<!--SpringSecurity核心過濾器鏈-->
    <!--springSecurityFilterChain名詞不能修改-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

在 Spring Boot項目之后,我們引入 Spring Security依賴,什么也沒做,啟動項目 Spring Security 就會生效,訪問請求就進行了攔截。

Spring Boot 對于 Spring Security 提供了自動化配置方案,可以使用更少的配置來使用 Spring Security。
那么這個過濾器鏈是怎么加載和實現(xiàn)攔截的呢?

一、Spring Security過濾器鏈加載

1、注冊名為 springSecurityFilterChain的過濾器

當 Spring Boot 項目啟動后,SecurityFilterAutoConfiguration類會加載 DelegatingFilterProxyRegistrationBean注冊過濾器,名字為 springSecurityFilterChain。

注意:springSecurityFilterChain名字是固定寫死的。

DelegatingFilterProxyRegistrationBean 注冊成功后,該過濾器就被加載了到了注冊器中。
注冊器注冊了所有的過濾器后,會為每個過濾器生成 DelegatingFilterProxy代理對象并注冊到 IoC中 。

2、查看 DelegatingFilterProxy類

我們訪問項目,就會進入 DelegatingFilterProxy類的 doFilter方法。

DelegatingFilterProxy類本質(zhì)也是一個 Filter,其間接實現(xiàn)了 Filter接口,但是在 doFilter中其實調(diào)用的從 Spring 容器中獲取到的代理 Filter的實現(xiàn)類。

返回的 FilterChainProxy對象。
由此可知,DelegatingFilterProxy類通過 springSecurityFilterChain這個名稱,得到了一個 FilterChainProxy過濾器,最終執(zhí)行的是這個過濾器的 doFilter方法。

1)驗證 springSecurityFilterChain名詞不能修改
查看 initDelegate方法。

3、查看 FilterChainProxy類

FilterChainProxy類本質(zhì)也是一個 Filter,所以查看 doFilter方法。留意該類里面的屬性。

public class FilterChainProxy extends GenericFilterBean {
    private static final Log logger = LogFactory.getLog(FilterChainProxy.class);
    private static final String FILTER_APPLIED =
            FilterChainProxy.class.getName().concat(".APPLIED");
    // 過濾器鏈
    private List<SecurityFilterChain> filterChains;
    private FilterChainProxy.FilterChainValidator filterChainValidator;
    private HttpFirewall firewall;

3.1 查看 doFilterInternal方法。

驚不驚喜?15個過濾器都在這里了!

3.2 查看 getFilters方法。

原來這些過濾器都被封裝進 SecurityFilterChain對象中。

4 查看 SecurityFilterChain接口

SecurityFilterChain類是個接口,實現(xiàn)類也只有一個 DefaultSecurityFilterChain類
DefaultSecurityFilterChain類的構(gòu)造方法,初始化了 List filters,是通過傳參放進去的。

過濾器鏈參數(shù)是什么時候傳入的?

5 查看 SpringBootWebSecurityConfiguration類

創(chuàng)建 Spring Security 過濾器鏈是交給 Spring boot 自動配置,由 SpringBootWebSecurityConfiguration類創(chuàng)建注入。

查看 WebSecurityConfigurerAdapter類。

然后會注入 HttpSecurity對象,HttpSecurity可以理解為 Spring Security 的 http核心配置,存放 Spring Security 中的過濾器鏈、請求匹配路徑等相關(guān)認證授權(quán)的重要方法。

然后開始創(chuàng)建 Spring Security 過濾器鏈了,是交給 Spring Boot自動配置,一共有 15個過濾器。
使用 OrderedFilter進行代理,并設(shè)置了order屬性。
添加完成后,將這些過濾器再封裝為 DefaultSecurityFilterChain對象。

最后通過 WebSecurityConfiguration配置加載 springSecurityFilterChain,WebSecurityConfiguration中維護了securityFilterChains屬性,會存放過濾器鏈中所有的過濾器。

總結(jié):
Spring boot 通過 DelegatingFilterProxyRegistrationBean注冊過濾器,名字為 springSecurityFilterChain,并生成 DelegatingFilterProxy代理對象并注冊到 IoC中。最終真正調(diào)用 FilterChainProxy過濾器的 doFilter 獲取到 Spring Security 過濾器鏈。

Spring Security的過濾器鏈在底層是封裝在 SecurityFilterChain接口中的。

二、過濾器鏈的執(zhí)行流程

1、調(diào)用 OncePerRequestFilter過濾器

首先進入的是 OncePerRequestFilter 過濾器。
OncePerRequestFilter是為了確保一次請求中只通過一次filter,而不需要重復的執(zhí)行。

會進入 DelegatingFilterProxy代理對象中 invokeDelegate方法,實際真正執(zhí)行的是 FilterChainProxy過濾器的 doFilter 方法。

2、查看 FilterChainProxy過濾器

查看 FilterChainProxy過濾器中的 doFilterInternal方法。
然后首先進入FilterChainProxy中的 doFilterInternal方法。
doFilterInternal方法中會調(diào)用 getFilters方法,會從過濾器鏈中拿出所有的攔截器。

然后創(chuàng)建一個 VirtualFilterChain對象,一個虛擬的過濾器鏈,并執(zhí)行其中的 doFilter 方法。使用過濾器對當前請求進行層層過濾。

3、查看 FilterSecurityInterceptor過濾器

最后進入到 FilterSecurityInterceptor過濾器中,該過濾器是過濾器鏈的最后一個過濾器,invoke方法中。

先調(diào)用父類的 beforeInvocation方法,之后調(diào)用 filterChain的 doFilter方法,之后調(diào)用父類的 finallyInvocation和afterInvocation方法。

在 beforeInvocation方法中,如果當前的請求沒有通過認證,會拋出 Access is denied異常,這個異常會被ExceptionTranslationFilter過濾器處理。如果拋出的異常是 AuthenticationException,則執(zhí)行方法sendStartAuthentication方法。
最終調(diào)用 EntryPoint的 commence方法,發(fā)布異常。

三、Spring Security常見過濾器

1、WebAsyncManagerIntegrationFilter

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter

其主要用于集成 SecurityContext到 Spring異步執(zhí)行機制中的 WebAsyncManager。

2、SecurityContextPersistenceFilter

org.springframework.security.web.context.SecurityContextPersistenceFilter

其主要是使用 SecurityContextRepository在 session中保存或更新一個SecurityContext,并將 SecurityContext給以后的過濾器使用,來為后續(xù) filter建立所需的上下文。
SecurityContext中存儲了當前用戶的認證以及權(quán)限信息。

3、HeaderWriterFilter

org.springframework.security.web.header.HeaderWriterFilter

其主要是向請求的 Header中添加相應的信息,可在 http標簽內(nèi)部使用 security:headers來控制。

4、CsrfFilter

org.springframework.security.web.csrf.CsrfFilter

csrf又稱跨域請求偽造,SpringSecurity會對所有 post請求驗證是否包含系統(tǒng)生成的 csrf的 token信息,
如果不包含,則報錯。起到防止csrf攻擊的效果。

5、LogoutFilter

org.springframework.security.web.authentication.logout.LogoutFilter

其主要用于實現(xiàn)用戶退出,清除認證信息。默認匹配 URL為 /logout的請求。

6、UsernamePasswordAuthenticationFilter

org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

其主要用于認證操作,默認匹配URL為 /login且必須為POST請求。

7、DefaultLoginPageGeneratingFilter

org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

如果沒有在配置文件中指定認證頁面,則由該過濾器生成一個默認認證頁面。

8、DefaultLogoutPageGeneratingFilter

org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter

由此過濾器可以生產(chǎn)一個默認的退出登錄頁面

9、BasicAuthenticationFilter

org.springframework.security.web.authentication.www.BasicAuthenticationFilter

此過濾器會自動解析 HTTP請求中頭部名字為 Authentication,且以 Basic開頭的頭信息。

10、RequestCacheAwareFilter

org.springframework.security.web.savedrequest.RequestCacheAwareFilter

通過HttpSessionRequestCache內(nèi)部維護了一個 RequestCache,用于緩存 HttpServletRequest。

11、SecurityContextHolderAwareRequestFilter

org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

針對 ServletRequest進行了一次包裝,使得 request具有更加豐富的 API。

12、AnonymousAuthenticationFilter

org.springframework.security.web.authentication.AnonymousAuthenticationFilter

當 SecurityContextHolder中認證信息為空,則會創(chuàng)建一個匿名用戶存入到 SecurityContextHolder中。
Spring Security為了兼容未登錄的訪問,也走了一套認證流程,只不過是一個匿名的身份。

13、SessionManagementFilter

org.springframework.security.web.session.SessionManagementFilter

其主要用于限制同一用戶開啟多個會話的數(shù)量。

14、ExceptionTranslationFilter

org.springframework.security.web.access.ExceptionTranslationFilter

異常轉(zhuǎn)換過濾器位于整個 springSecurityFilterChain的后方,用來轉(zhuǎn)換整個鏈路中出現(xiàn)的異常。ExceptionTranslationFilter過濾器會攔截處理 AccessDeniedException和 AuthenticationException并添加到HTTP響應中。

15、FilterSecurityInterceptor

org.springframework.security.web.access.intercept.FilterSecurityInterceptor

獲取所配置資源訪問的授權(quán)信息,根據(jù) SecurityContextHolder中存儲的用戶信息來決定其是否有權(quán)限。

到此這篇關(guān)于Spring Security過濾器鏈加載執(zhí)行流程源碼分析的文章就介紹到這了,更多相關(guān)Spring Security過濾器鏈內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • spring cloud gateway 全局過濾器的實現(xiàn)

    spring cloud gateway 全局過濾器的實現(xiàn)

    全局過濾器作用于所有的路由,不需要單獨配置,我們可以用它來實現(xiàn)很多統(tǒng)一化處理的業(yè)務需求,這篇文章主要介紹了spring cloud gateway 全局過濾器的實現(xiàn),小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2019-03-03
  • 淺析Java?BigDecimal為什么可以不丟失精度

    淺析Java?BigDecimal為什么可以不丟失精度

    在金融領(lǐng)域,為了保證數(shù)據(jù)的精度,往往會使用BigDecimal,所以這篇文章主要來和大家探討下為什么BigDecimal可以保證精度不丟失,感興趣的可以了解下
    2024-03-03
  • 關(guān)于Java創(chuàng)建線程的2種方式以及對比

    關(guān)于Java創(chuàng)建線程的2種方式以及對比

    這篇文章主要給大家介紹了關(guān)于Java創(chuàng)建線程的2種方式以及對比的相關(guān)資料,文中通過實例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
    2022-01-01
  • Java中常用的代碼匯總

    Java中常用的代碼匯總

    本文給大家分享了20個常用的java代碼,都是別人項目中使用過的代碼,這里推薦給大家,有需要的小伙伴可以參考下。
    2015-05-05
  • SpringBoot3.0集成MybatisPlus的實現(xiàn)方法

    SpringBoot3.0集成MybatisPlus的實現(xiàn)方法

    本文主要介紹了SpringBoot3.0集成MybatisPlus的實現(xiàn)方法,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2024-08-08
  • Java concurrency之CountDownLatch原理和示例_動力節(jié)點Java學院整理

    Java concurrency之CountDownLatch原理和示例_動力節(jié)點Java學院整理

    CountDownLatch是一個同步輔助類,在完成一組正在其他線程中執(zhí)行的操作之前,它允許一個或多個線程一直等待。 下面通過本文給大家分享Java concurrency之CountDownLatch原理和示例,需要的的朋友參考下吧
    2017-06-06
  • springboot項目接入第三方qq郵箱驗證登錄的全過程

    springboot項目接入第三方qq郵箱驗證登錄的全過程

    互聯(lián)網(wǎng)發(fā)展到現(xiàn)在,相必大家都知道發(fā)送郵件應該是網(wǎng)站的必備功能之一,下面這篇文章主要給大家介紹了關(guān)于springboot項目接入第三方qq郵箱驗證登錄的相關(guān)資料,文中通過代碼介紹的非常詳細,需要的朋友可以參考下
    2024-04-04
  • 一文帶你掌握Java8強大的StreamAPI

    一文帶你掌握Java8強大的StreamAPI

    Java8API添加了一個新的抽象稱為流Stream,可以讓你以一種聲明的方式處理數(shù)據(jù)。Stream 使用一種類似用SQL 語句從數(shù)據(jù)庫查詢數(shù)據(jù)的直觀方式來提供一種對 Java 集合運算和表達的高階抽象。Stream API可以極大提高Java程序員的生產(chǎn)力,讓程序員寫出高效率、干凈、簡潔的代碼
    2021-10-10
  • 詳解IDEA的快捷鍵及智能提示

    詳解IDEA的快捷鍵及智能提示

    這篇文章主要介紹了詳解IDEA的快捷鍵及智能提示,文中有非常詳細的快捷鍵及智能提示的說明,對正在使用IDEA的小伙伴們有很好的幫助,需要的朋友可以參考下
    2021-05-05
  • Java線程池框架核心代碼解析

    Java線程池框架核心代碼解析

    這篇文章主要針對Java線程池框架核心代碼進行詳細解析,分析Java線程池框架的實現(xiàn)ThreadPoolExecutor,感興趣的小伙伴們可以參考一下
    2016-07-07

最新評論