二、Spring Boot集成Spring Security之实现原理

那你为何对我三笑留情2024-10-01 15:18

Spring Boot集成Spring Security之实现原理

一、Spring Security实现原理概要介绍

  1. 使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain
  2. 使用SecurityFilterAutoConfiguration向Spring容器中注册DelegatingFilterProxyRegistrationBean(实现了ServletContextInitializer)类型对象securityFilterChainRegistration
  3. 使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器DelegatingFilterProxy,其名称也是springSecurityFilterChain
  4. 发送请求时Servlet 过滤器DelegatingFilterProxy拦截请求,从Spring容器中获取名称为springSecurityFilterChain的被代理的filter对象
  5. 调用该filter对象的doFilter方法
    1. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    2. 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
    3. 调用VirtualFilterChain对象的doFilter方法
    4. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链

二、使用WebSecurityConfiguration向Spring容器中注册FilterChainProxy类型的对象springSecurityFilterChain

1、未配置securityFilterChain过滤器链时使用默认配置用于生成默认securityFilterChain

2、注册securityFilterChain过滤器链构造器

3、构建FilterChainProxy类型的对象springSecurityFilterChain并注册到Spring容器中

三、使用代理模式和模板模式向Servlet容器中注册委托过滤器代理对象DelegatingFilterProxy

1、初始化DelegatingFilterProxyRegistrationBean对象(上文已介绍)

  • DelegatingFilterProxyRegistrationBean类图

三、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)

  1. ServletContextInitializer接口onStartup方法(未探究该接口的实现机制,后续探究)
  2. RegistrationBean实现onStartup方法,并调用预留抽象方法register
  3. DynamicRegistrationBean实现register方法,并调用预留抽象方法addRegistration
  4. AbstractFilterRegistrationBean实现addRegistration方法,并调用预留抽象方法getFilter获取过滤器,并将过滤器注册到Servlet上下文中
  5. DelegatingFilterProxyRegistrationBean实现getFilter方法,创建DelegatingFilterProxy对象,并设置targetBeanName为springSecurityFilterChain和传递Spring容器上下文对象;DelegatingFilterProxy对象注册到servlet上下文中,未注册到Spring容器中

四、请求处理流程

1、servlet方式请求处理流程

  1. servlet原生过滤器处理:执行doFilter及之前的代码
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行doFilter之后的代码

2、Spring Security方式请求处理流程

  1. servlet原生过滤器处理:执行chain.doFilter及之前的代码
    1. 执行到DelegatingFilterProxy的doFilter方法
    2. 从Spring容器中获取名称springSecurityFilterChain的FilterChainProxy对象(第一次请求时执行,后续不在执行)
    3. 调用FilterChainProxy的doFilter方法
    4. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    5. 将原生的Servlet过滤器链,请求对象,匹配的securityFilterChain创建为新的过滤器链对象VirtualFilterChain
    6. 调用VirtualFilterChain对象的doFilter方法
    7. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行chain.doFilter之后的代码
    1. 执行到DelegatingFilterProxy的doFilter之后的方法
    2. 调用FilterChainProxy的doFilter之后的方法
    3. 调用VirtualFilterChain对象的doFilter之后的方法
    4. 执行原生的Servlet过滤器链之后的方法

五、总结

  1. 向servlet容器中注册DelegatingFilterProxy
  2. DelegatingFilterProxy代理的过滤器是类型FilterChainProxy名称是springSecurityFilterChain
  3. springSecurityFilterChain中有securityFilterChain集合
  4. DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
  5. springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain,并调用VirtualFilterChain.doFilter方法
  6. VirtualFilterChain.doFilter方法会先执行securityFilterChain,再执行后续的原生过滤器链
相关推荐
BD_Marathon5 小时前
【Flink】部署模式
java·数据库·flink
鼠鼠我捏,要死了捏8 小时前
深入解析Java NIO多路复用原理与性能优化实践指南
java·性能优化·nio
ningqw8 小时前
SpringBoot 常用跨域处理方案
java·后端·springboot
superlls8 小时前
(Redis)主从哨兵模式与集群模式
java·开发语言·redis
叫我阿柒啊10 小时前
Java全栈工程师面试实战:从基础到微服务的深度解析
java·redis·微服务·node.js·vue3·全栈开发·电商平台
hqxstudying11 小时前
mybatis过渡到mybatis-plus过程中需要注意的地方
java·tomcat·mybatis
lichkingyang11 小时前
最近遇到的几个JVM问题
java·jvm·算法
ZeroKoop11 小时前
多线程文件下载 - 数组切分,截取文件名称
java
Monly2111 小时前
IDEA:控制台中文乱码
java·ide·intellij-idea
叫我阿柒啊12 小时前
从全栈开发到微服务架构:一次真实的Java面试实录
java·redis·ci/cd·微服务·vue3·springboot·jwt
热门推荐
01UV安装并设置国内源02Cursor 快速入门指南:从安装到核心功能03【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)04如何在Windows/Linux系统上安装adb0520个国内外主流AI绘画工具大汇总(最新免费可用~)06【踩坑笔记】50系显卡适配的 PyTorch 安装07KGG转MP3工具|非KGM文件|解密音频082025最新国内服务器可用docker源仓库地址大全(2025年8月更新)09Claude Code VSCode集成开发指南:AI编程助手完整配置10UnityHub Validation Failed下载编辑器错误,添加模块报错的解决方案