快捷導(dǎo)航

Spring Security的過濾器鏈機(jī)制

更新時(shí)間：2022年08月09日 17:11:21 作者：阿提說說

過濾器作為 ?Spring Security? 的重中之重，我們需要了解其中的機(jī)制，這樣我們才能根據(jù)業(yè)務(wù)需求的變化進(jìn)行定制，今天來(lái)探討一下 ?Spring Security? 中的過濾器鏈機(jī)制

前言

在“碼農(nóng)小胖哥”的文章中提到一個(gè)關(guān)鍵的過濾器鏈SecurityFilterChain，當(dāng)一個(gè)請(qǐng)求 HttpServletRequest 進(jìn)入 SecurityFilterChain 時(shí)，會(huì)通過 matches 方法來(lái)確定是否滿足條件進(jìn)入過濾器鏈，進(jìn)而決定請(qǐng)求應(yīng)該執(zhí)行哪些過濾器。下面我們自己來(lái)梳理一遍。

請(qǐng)求執(zhí)行鏈路

我們以之前的文章為例，使用@Configuration配置了一個(gè)SecurityFilterChain Bean，能在Spring Boot 啟動(dòng)的時(shí)候創(chuàng)建SecurityFilterChain Bean到Sping。

@Configuration
public class OAuth2LoginConfig 
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests(authorize -> authorize
                        .anyRequest().authenticated()
                )
                .oauth2Login(withDefaults());
        return http.build();
    }

這是官網(wǎng)的配置，說明任何請(qǐng)求都可以通過OAuth2來(lái)登錄。上面說過任何請(qǐng)求都會(huì)經(jīng)過SecurityFilterChain 的matches方法，因此我們可以在SecurityFilterChain 的唯一實(shí)現(xiàn)類DefaultSecurityFilterChain的matches方法中打上斷點(diǎn)（圖1），這樣當(dāng)進(jìn)入斷點(diǎn)的時(shí)候，可以直觀的從IDE中看到調(diào)用棧，這是調(diào)式源碼的時(shí)候一個(gè)非常有用的方法。

在這里插入圖片描述

圖1

啟動(dòng)應(yīng)用，請(qǐng)求一個(gè)接口localhost:8080/hello,進(jìn)入端點(diǎn)后的調(diào)用棧如圖：

在這里插入圖片描述

圖2

圖中箭頭所指的DelegatingFilterProxy為Spring提供的一個(gè)標(biāo)準(zhǔn)的Servlet Filter代理，在xml的Spring時(shí)代，為了能使用Spring Security，需要在web.xml中添加該過濾器，而在Spring Boot中，Spring Boot的自動(dòng)配置已經(jīng)幫我們搞定，具體可見SecurityFilterAutoConfiguration。

箭頭前面一部分是其他的幾個(gè)Servlet Filter，我們不做了解。

箭頭后面的部分，即DelegatingFilterProxy之后，依次執(zhí)行了FilterChainProxy和DefaultSecurityFilterChain

FilterChainProxy是一個(gè)過濾器鏈代理類，內(nèi)部保存了過濾器鏈列表，而過濾器鏈內(nèi)部又具有各種過濾器，如圖3。
DefaultSecurityFilterChain是SecurityFilterChain的默認(rèn)實(shí)現(xiàn)

到此為止，我們的第一個(gè)問題“請(qǐng)求執(zhí)行鏈路”基本已經(jīng)清晰了，即DelegatingFilterProxy >> FilterChainProxy >> SecurityFilterChain >> Filter

在這里插入圖片描述