二、Spring Boot集成Spring Security之实现原理

那你为何对我三笑留情2024-10-01 15:18

Spring Boot集成Spring Security之实现原理

一、Spring Security实现原理概要介绍

  1. 使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain
  2. 使用SecurityFilterAutoConfiguration向Spring容器中注册DelegatingFilterProxyRegistrationBean(实现了ServletContextInitializer)类型对象securityFilterChainRegistration
  3. 使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器DelegatingFilterProxy,其名称也是springSecurityFilterChain
  4. 发送请求时Servlet 过滤器DelegatingFilterProxy拦截请求,从Spring容器中获取名称为springSecurityFilterChain的被代理的filter对象
  5. 调用该filter对象的doFilter方法
    1. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    2. 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
    3. 调用VirtualFilterChain对象的doFilter方法
    4. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链

二、使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain

1、未配置securityFilterChain过滤器链时使用默认配置用于生成默认securityFilterChain

2、注册securityFilterChain过滤器链构造器

3、构建FilterChainProxy类型的对象springSecurityFilterChain并注册到Spring容器中

三、使用代理模式和模板模式向Servlet容器中注册委托过滤器代理对象DelegatingFilterProxy

1、初始化DelegatingFilterProxyRegistrationBean对象(上文已介绍)

  • DelegatingFilterProxyRegistrationBean类图

三、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)

  1. ServletContextInitializer接口onStartup方法(未探究该接口的实现机制,后续探究)
  2. RegistrationBean实现onStartup方法,并调用预留抽象方法register
  3. DynamicRegistrationBean实现register方法,并调用预留抽象方法addRegistration
  4. AbstractFilterRegistrationBean实现addRegistration方法,并调用预留抽象方法getFilter获取过滤器,并将过滤器注册到Servlet上下文中
  5. DelegatingFilterProxyRegistrationBean实现getFilter方法,创建DelegatingFilterProxy对象,并设置targetBeanName为springSecurityFilterChain和传递Spring容器上下文对象;DelegatingFilterProxy对象注册到servlet上下文中,未注册到Spring容器中

四、请求处理流程

1、servlet方式请求处理流程

  1. servlet原生过滤器处理:执行doFilter及之前的代码
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行doFilter之后的代码

2、Spring Security方式请求处理流程

  1. servlet原生过滤器处理:执行chain.doFilter及之前的代码
    1. 执行到DelegatingFilterProxy的doFilter方法
    2. 从Spring容器中获取名称springSecurityFilterChain的FilterChainProxy对象(第一次请求时执行,后续不在执行)
    3. 调用FilterChainProxy的doFilter方法
    4. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    5. 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
    6. 调用VirtualFilterChain对象的doFilter方法
    7. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行chain.doFilter之后的代码
    1. 执行到DelegatingFilterProxy的doFilter之后的方法
    2. 调用FilterChainProxy的doFilter之后的方法
    3. 调用VirtualFilterChain对象的doFilter之后的方法
    4. 执行原生的Servlet过滤器链之后的方法

五、总结

  1. 向servlet容器中注册DelegatingFilterProxy
  2. DelegatingFilterProxy代理的过滤器是类型FilterChainProxy名称是springSecurityFilterChain
  3. springSecurityFilterChain中有securityFilterChain集合
  4. DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
  5. springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain,并调用VirtualFilterChain.doFilter方法
  6. VirtualFilterChain.doFilter方法会先执行securityFilterChain,再执行后续的原生过滤器链
相关推荐
XiaoLeisj2 小时前
【JavaEE初阶 — 多线程】单例模式 & 指令重排序问题
java·开发语言·java-ee
paopaokaka_luck2 小时前
【360】基于springboot的志愿服务管理系统
java·spring boot·后端·spring·毕业设计
dayouziei2 小时前
java的类加载机制的学习
java·学习
Yaml44 小时前
Spring Boot 与 Vue 共筑二手书籍交易卓越平台
java·spring boot·后端·mysql·spring·vue·二手书籍
小小小妮子~4 小时前
Spring Boot详解:从入门到精通
java·spring boot·后端
hong1616884 小时前
Spring Boot中实现多数据源连接和切换的方案
java·spring boot·后端
aloha_7894 小时前
从零记录搭建一个干净的mybatis环境
java·笔记·spring·spring cloud·maven·mybatis·springboot
记录成长java5 小时前
ServletContext,Cookie,HttpSession的使用
java·开发语言·servlet
睡觉谁叫~~~5 小时前
一文解秘Rust如何与Java互操作
java·开发语言·后端·rust
程序媛小果5 小时前
基于java+SpringBoot+Vue的旅游管理系统设计与实现
java·vue.js·spring boot
热门推荐
01【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总02(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04【AIGC】重塑未来的科技巨轮05全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)06【经验分享】Ubuntu22.04安装微信(linux官方版)07基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测08Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO09RAG 实践- Ollama+RagFlow 部署本地知识库10红米手机使用google play