Spring Boot集成Spring Security之实现原理
- [一、Spring Security实现原理概要介绍](#一、Spring Security实现原理概要介绍)
- 二、使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain
- 三、使用代理模式和模板模式向Servlet容器中注册委托过滤器代理对象DelegatingFilterProxy
- 三、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)
- 四、请求处理流程
-
- 1、servlet方式请求处理流程
- [2、Spring Security方式请求处理流程](#2、Spring Security方式请求处理流程)
- 五、总结
一、Spring Security实现原理概要介绍
- 使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain
- 使用SecurityFilterAutoConfiguration向Spring容器中注册DelegatingFilterProxyRegistrationBean(实现了ServletContextInitializer)类型对象securityFilterChainRegistration
- 使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器DelegatingFilterProxy,其名称也是springSecurityFilterChain
- 发送请求时Servlet 过滤器DelegatingFilterProxy拦截请求,从Spring容器中获取名称为springSecurityFilterChain的被代理的filter对象
- 调用该filter对象的doFilter方法
- 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
- 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
- 调用VirtualFilterChain对象的doFilter方法
- 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
二、使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain
1、未配置securityFilterChain过滤器链时使用默认配置用于生成默认securityFilterChain
2、注册securityFilterChain过滤器链构造器
3、构建FilterChainProxy类型的对象springSecurityFilterChain并注册到Spring容器中
三、使用代理模式和模板模式向Servlet容器中注册委托过滤器代理对象DelegatingFilterProxy
1、初始化DelegatingFilterProxyRegistrationBean对象(上文已介绍)
- DelegatingFilterProxyRegistrationBean类图
三、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)
- ServletContextInitializer接口onStartup方法(未探究该接口的实现机制,后续探究)
- RegistrationBean实现onStartup方法,并调用预留抽象方法register
- DynamicRegistrationBean实现register方法,并调用预留抽象方法addRegistration
- AbstractFilterRegistrationBean实现addRegistration方法,并调用预留抽象方法getFilter获取过滤器,并将过滤器注册到Servlet上下文中
- DelegatingFilterProxyRegistrationBean实现getFilter方法,创建DelegatingFilterProxy对象,并设置targetBeanName为springSecurityFilterChain和传递Spring容器上下文对象;DelegatingFilterProxy对象注册到servlet上下文中,未注册到Spring容器中
四、请求处理流程
1、servlet方式请求处理流程
- servlet原生过滤器处理:执行doFilter及之前的代码
- servlet处理:执行service方法
- servlet原生过滤器处理:执行doFilter之后的代码
2、Spring Security方式请求处理流程
- servlet原生过滤器处理:执行chain.doFilter及之前的代码
- 执行到DelegatingFilterProxy的doFilter方法
- 从Spring容器中获取名称springSecurityFilterChain的FilterChainProxy对象(第一次请求时执行,后续不在执行)
- 调用FilterChainProxy的doFilter方法
- 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
- 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
- 调用VirtualFilterChain对象的doFilter方法
- 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
- servlet处理:执行service方法
- servlet原生过滤器处理:执行chain.doFilter之后的代码
- 执行到DelegatingFilterProxy的doFilter之后的方法
- 调用FilterChainProxy的doFilter之后的方法
- 调用VirtualFilterChain对象的doFilter之后的方法
- 执行原生的Servlet过滤器链之后的方法
五、总结
- 向servlet容器中注册DelegatingFilterProxy
- DelegatingFilterProxy代理的过滤器是类型FilterChainProxy名称是springSecurityFilterChain
- springSecurityFilterChain中有securityFilterChain集合
- DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
- springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain,并调用VirtualFilterChain.doFilter方法
- VirtualFilterChain.doFilter方法会先执行securityFilterChain,再执行后续的原生过滤器链