Spring Security 源码详解

王林-wlin2023-09-21 13:14

Spring Security 源码详解

这里主要介绍 SpringSecurity 的整体流程,方便以后查阅!!!

一、Spring Security过滤器链加载

1、注册 springSecurityFilterChain 过滤器

当 Spring Boot 项目启动后,SecurityFilterAutoConfiguration类会加载 DelegatingFilterProxyRegistrationBean 注册过滤器,名字为 springSecurityFilterChain。

2、查看DelegatingFilterProxyRegistrationBean

DelegatingFilterProxyRegistrationBean 注册成功后,该过滤器就被加载了到了注册器中。

注册器注册了所有的过滤器后,会为每个过滤器生成 DelegatingFilterProxy代理对象并注册到 IoC中 。

3、查看 DelegatingFilterProxy类

1.我们访问项目,就会进入 DelegatingFilterProxy类的 doFilter方法。

2.DelegatingFilterProxy 类本质也是一个 Filter,其间接实现了 Filter接口,但是在 doFilter中其实调用的从 Spring 容器中获取到的代理 Filter的实现类。

3.返回的 FilterChainProxy 对象。由此可知,DelegatingFilterProxy 类通过 springSecurityFilterChain 这个名称,得到了一个 FilterChainProxy过滤器,最终执行的是这个过滤器的 doFilter方法。

首先,进入DelegatingFilterProxy类的 doFilter方法

其次,调用 DelegatingFilterProxy类的 invokeDelegate 方法

然后,调用 FilterChainProxy 类的 doFilter 方法

4、查看 FilterChainProxy类

FilterChainProxy 类本质也是一个 Filter,所以查看 doFilter方法。留意该类里面的属性。

// 过滤器链 private List filterChains;
点击进入doFilter()方法,在进入到 doFilterInternal(request, response, chain) 方法,所有的过滤器:List filters = getFilters(fwRequest)

查看 getFilters方法,原来这些过滤器都被封装进 SecurityFilterChain对象中。

5、查看 SecurityFilterChain接口

SecurityFilterChain 类是个接口,实现类也只有一个 DefaultSecurityFilterChain 类。

DefaultSecurityFilterChain 类的构造方法,初始化了 List filters,是通过传参放进去的。

6、查看 SpringBootWebSecurityConfiguration类

过滤器链参数是什么时候传入的?

创建 Spring Security 过滤器链是交给 Spring boot 自动配置,由 SpringBootWebSecurityConfiguration 类创建注入。

7、查看 WebSecurityConfigurerAdapter类。

注入 HttpSecurity 对象,HttpSecurity可以理解为 Spring Security 的 http核心配置,存放 Spring Security 中的过滤器链、请求匹配路径等相关认证授权的重要方法。

初始化方法 init

getHttp 方法

然后,开始创建 Spring Security 过滤器链了,是交给 Spring Boot自动配置,使用 OrderedFilter 进行代理,并设置了order属性。添加完成 后,将这些过滤器再封装为 DefaultSecurityFilterChain对象。
最后,通过 WebSecurityConfiguration配置加载 springSecurityFilterChain,WebSecurityConfiguration中维护了securityFilterChains属性,会存放过滤器链中所有的过滤器。

8、总结

1、Spring boot 通过 DelegatingFilterProxyRegistrationBean 注册过滤器,名为 springSecurityFilterChain,并生成 DelegatingFilterProxy代理对象并注册到 IOC中。

2、最终真正调用 FilterChainProxy 过滤器的 doFilter 获取到 Spring Security 过滤器链。

3、Spring Security 的过滤器链在底层是封装在 SecurityFilterChain 接口中的。

关注林哥,持续更新哦!!!★,°:.☆( ̄▽ ̄)/$:.°★ 。

相关推荐
想学习java初学者1 小时前
SpringBoot整合Vertx-Mqtt多租户(优化版)
java·spring boot·后端
AC赳赳老秦2 小时前
政企内网落地:OpenClaw 离线环境深度适配方案,无外网场景下本地化模型对接与全功能使用
java·大数据·运维·python·自动化·deepseek·openclaw
weixin_449173652 小时前
在 Java 中,‌线程安全的 List‌ 主要有以下几种实现方式,它们的效率取决于具体的使用场景(尤其是读写比例):
java·线程安全的list
砚底藏山河2 小时前
股票数据API接口:如何获取股票历历史分时KDJ数据
java·python·maven
Csvn2 小时前
Python 性能优化与 Profiling 工具
后端·python
不减20斤不改头像3 小时前
手机一句话开发贪吃蛇!TRAE SOLO 移动端 AI 编程实测
前端·后端
明月_清风3 小时前
K8s 从入门到上手:核心概念+常用工具全解析
后端·kubernetes
随风,奔跑3 小时前
Nginx
服务器·后端·nginx·web
MegaDataFlowers3 小时前
运行若依项目
java
lulu12165440784 小时前
JetBrains IDE 终极AI编程方案:CC GUI插件让Claude Code和Codex丝滑运行
java·ide·人工智能·python·ai编程
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03零基础教你claude code 接入 deepseek V404要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法05CC-Switch & Claude 基于 Linux 服务器安装使用指南06Dirtyfrag漏洞:我花了一下午搞清楚这个Linux内核提权漏洞到底在搞什么07Windows端Codex接入第三方模型(DeekSeek,BaiLian)08【AI】2026 年具身智能模型和世界模型总结09裂开!ChatGPT 居然开始要手机号验证,附详细解决方法10Linux 核弹级高危漏洞 CVE-2026-31431 完整修复指南