二、Spring Boot集成Spring Security之实现原理

那你为何对我三笑留情2024-10-01 15:18

Spring Boot集成Spring Security之实现原理

一、Spring Security实现原理概要介绍

  1. 使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain
  2. 使用SecurityFilterAutoConfiguration向Spring容器中注册DelegatingFilterProxyRegistrationBean(实现了ServletContextInitializer)类型对象securityFilterChainRegistration
  3. 使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器DelegatingFilterProxy,其名称也是springSecurityFilterChain
  4. 发送请求时Servlet 过滤器DelegatingFilterProxy拦截请求,从Spring容器中获取名称为springSecurityFilterChain的被代理的filter对象
  5. 调用该filter对象的doFilter方法
    1. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    2. 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
    3. 调用VirtualFilterChain对象的doFilter方法
    4. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链

二、使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain

1、未配置securityFilterChain过滤器链时使用默认配置用于生成默认securityFilterChain

2、注册securityFilterChain过滤器链构造器

3、构建FilterChainProxy类型的对象springSecurityFilterChain并注册到Spring容器中

三、使用代理模式和模板模式向Servlet容器中注册委托过滤器代理对象DelegatingFilterProxy

1、初始化DelegatingFilterProxyRegistrationBean对象(上文已介绍)

  • DelegatingFilterProxyRegistrationBean类图

三、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)

  1. ServletContextInitializer接口onStartup方法(未探究该接口的实现机制,后续探究)
  2. RegistrationBean实现onStartup方法,并调用预留抽象方法register
  3. DynamicRegistrationBean实现register方法,并调用预留抽象方法addRegistration
  4. AbstractFilterRegistrationBean实现addRegistration方法,并调用预留抽象方法getFilter获取过滤器,并将过滤器注册到Servlet上下文中
  5. DelegatingFilterProxyRegistrationBean实现getFilter方法,创建DelegatingFilterProxy对象,并设置targetBeanName为springSecurityFilterChain和传递Spring容器上下文对象;DelegatingFilterProxy对象注册到servlet上下文中,未注册到Spring容器中

四、请求处理流程

1、servlet方式请求处理流程

  1. servlet原生过滤器处理:执行doFilter及之前的代码
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行doFilter之后的代码

2、Spring Security方式请求处理流程

  1. servlet原生过滤器处理:执行chain.doFilter及之前的代码
    1. 执行到DelegatingFilterProxy的doFilter方法
    2. 从Spring容器中获取名称springSecurityFilterChain的FilterChainProxy对象(第一次请求时执行,后续不在执行)
    3. 调用FilterChainProxy的doFilter方法
    4. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    5. 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
    6. 调用VirtualFilterChain对象的doFilter方法
    7. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行chain.doFilter之后的代码
    1. 执行到DelegatingFilterProxy的doFilter之后的方法
    2. 调用FilterChainProxy的doFilter之后的方法
    3. 调用VirtualFilterChain对象的doFilter之后的方法
    4. 执行原生的Servlet过滤器链之后的方法

五、总结

  1. 向servlet容器中注册DelegatingFilterProxy
  2. DelegatingFilterProxy代理的过滤器是类型FilterChainProxy名称是springSecurityFilterChain
  3. springSecurityFilterChain中有securityFilterChain集合
  4. DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
  5. springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain,并调用VirtualFilterChain.doFilter方法
  6. VirtualFilterChain.doFilter方法会先执行securityFilterChain,再执行后续的原生过滤器链
相关推荐
BillKu1 小时前
Java + Spring Boot + Mybatis 实现批量插入
java·spring boot·mybatis
YuTaoShao1 小时前
Java八股文——集合「Map篇」
java
有梦想的攻城狮3 小时前
maven中的maven-antrun-plugin插件详解
java·maven·插件·antrun
硅的褶皱7 小时前
对比分析LinkedBlockingQueue和SynchronousQueue
java·并发编程
MoFe17 小时前
【.net core】天地图坐标转换为高德地图坐标(WGS84 坐标转 GCJ02 坐标)
java·前端·.netcore
季鸢8 小时前
Java设计模式之观察者模式详解
java·观察者模式·设计模式
Fanxt_Ja8 小时前
【JVM】三色标记法原理
java·开发语言·jvm·算法
萌新小码农‍8 小时前
Spring框架学习day7--SpringWeb学习(概念与搭建配置)
学习·spring·状态模式
Mr Aokey8 小时前
Spring MVC参数绑定终极手册:单&多参/对象/集合/JSON/文件上传精讲
java·后端·spring
14L9 小时前
互联网大厂Java面试:从Spring Cloud到Kafka的技术考察
spring boot·redis·spring cloud·kafka·jwt·oauth2·java面试
热门推荐
01基于STM32的智能电池管理系统02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04海康Visionmaster-常见问题排查方法-启动阶段05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07VMware虚拟机安装Win7专业版保姆级教程(附镜像包)08DeepSeek各版本说明与优缺点分析09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10柬埔寨语翻译通App,一款真正实现高棉语翻译、语音识别和中柬双语无障碍交流的应用程序。