Spring Security Web : Web安全过滤器链代理对象 FilterChainProxy

最新推荐文章于 2025-10-19 20:32:34 发布
原创 最新推荐文章于 2025-10-19 20:32:34 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文围绕Spring Security展开,介绍了添加到容器用于安全控制的过滤器,它是代理对象,内部组合多个组件,真正的安全处理逻辑由匹配请求的组件完成。还说明了过滤器由安全构建器构建,构建动作在应用启动安全配置阶段执行,同时给出了相关源代码版本和参考文章。

FilterChainProxySpring Security Web添加到Servlet容器用于安全控制的一个Filter。从Servlet容器的角度来看,Spring Security Web所提供的安全逻辑就是一个Filter,实现类为FilterChainProxy。实际上FilterChainProxy是一个代理对象,FilterChainProxy内部组合了多个SecurityFilterChain,每个SecurityFilterChain组合了一组Filter,这组Filter虽然也实现了Servlet Filter接口,但它们对于整个Servlet容器来讲是不可见的。对于Servlet容器来讲,Spring Secrutiy Web添加进来的用于安全的过滤器就是FilterChainProxy这一个过滤器,真正对请求的安全处理逻辑,最终由匹配该请求的某个SecurityFilterChain中的多个Filter来完成。

Spring Security Web框架中,FilterChainProxyWeb安全构建器WebSecurity构建而来。而该构建动作在应用启动过程中Web安全配置阶段执行,具体可以参考Web安全配置类WebSecurityConfiguration。而WebSecurityConfiguration则又由注解@EnableWebSecurity引起。这个触发关系,可以这么理解 :

@EnableWebSecurity => WebSecurityConfiguration => WebSecurity 构建 => FilterChainProxy

缺省情况下FilterChainProxy安全过滤器的名字总是springSecurityFilterChain

源代码

源代码版本 : Spring Security Web 5.1.4.RELEASE

package org.springframework.security.web;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.StrictHttpFirewall;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.security.web.util.UrlUtils;
import org.springframework.web.filter.DelegatingFilterProxy;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;

public class FilterChainProxy extends GenericFilterBean {
	// ~ Static fields/initializers
	// ======================================================

	private static final Log logger = LogFactory.getLog(FilterChainProxy.class);

	// ~ Instance fields
	// ======================================================

	private final static String FILTER_APPLIED = FilterChainProxy.class.getName().concat(
			".APPLIED");

	private List<SecurityFilterChain> filterChains;

	private FilterChainValidator filterChainValidator = new NullFilterChainValidator();

	private HttpFirewall firewall = new StrictHttpFirewall();

	// ~ Methods
	// =====================================================

	public FilterChainProxy() {
	}

    // 构造函数 :基于一组过滤器链 SecurityFilterChain 构造一个 FilterChainProxy 对象
	public FilterChainProxy(SecurityFilterChain chain) {
		this(Arrays.asList(chain));
	}

    // 构造函数 :基于一组过滤器链 SecurityFilterChain 构造一个 FilterChainProxy 对象
	public FilterChainProxy(List<SecurityFilterChain> filterChains) {
		this.filterChains = filterChains;
	}

	//  InitializingBean 接口定义的当前 bean 的初始化方法
	//  使用 filterChainValidator 验证当前对象
	@Override
	public void afterPropertiesSet() {
		filterChainValidator.validate(this);
	}

    // Filter  接口定义的过滤器主方法 :
    // 如果针对该请求尚未应用该过滤器则应用该过滤器
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
			// 当前过滤器尚未应用
			// 对一个用户请求,会进入该分支
			try {
				// 标记对该请求该过滤器已经应用
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                // 应用该过滤器到请求
				doFilterInternal(request, response, chain);
			}
			finally {
				// 当前请求已经被处理完,现在清除安全上下文
				SecurityContextHolder.clearContext();
                // 请求当前请求中设置的已经被当前过滤器处理过的标志
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
			// 2019-05-19 : 此分支存在的目的尚未明确 
			doFilterInternal(request, response, chain);
		}
	}

    // 应用当前过滤器到请求的具体逻辑实现
	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		// 当前过滤器其实一个组合了多个过滤器链 SecurityFilterChain 的代理对象,
		//  现在找到匹配当前请求的那个 SecurityFilterChain 中的所有安全过滤器
		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			// 如果针对当前请求没有匹配的安全过滤器,则继续执行过滤器链  chain
			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		// 如果针对当前请求有相应的安全过滤器,则将这些安全过滤器组成一个 VirtualFilterChain,
		// 虚拟过滤器链,将各个安全过滤器应用到该 请求上,这些安全过滤器应用完之后,在继续
		// 应用 chain 上的其他过滤器到该请求
		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

	/**
	 * Returns the first filter chain matching the supplied URL.
	 * 返回匹配指定请求的过滤器链中的过滤器,如果没有匹配的过滤器链则返回null
	 * @param request the request to match
	 * @return an ordered array of Filters defining the filter chain
	 */
	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}

	/**
	 * Convenience method, mainly for testing.
	 *
	 * @param url the URL
	 * @return matching filter list
	 */
	public List<Filter> getFilters(String url) {
		return getFilters(firewall.getFirewalledRequest((new FilterInvocation(url, "GET")
				.getRequest())));
	}

	/**
	 * @return the list of SecurityFilterChains which will be matched against and
	 * applied to incoming requests.
	 */
	public List<SecurityFilterChain> getFilterChains() {
		return Collections.unmodifiableList(filterChains);
	}

	/**
	 * Used (internally) to specify a validation strategy for the filters in each
	 * configured chain.
	 *
	 * @param filterChainValidator the validator instance which will be invoked on during
	 * initialization to check the FilterChainProxy instance.
	 */
	public void setFilterChainValidator(FilterChainValidator filterChainValidator) {
		this.filterChainValidator = filterChainValidator;
	}

	/**
	 * Sets the "firewall" implementation which will be used to validate and wrap (or
	 * potentially reject) the incoming requests. The default implementation should be
	 * satisfactory for most requirements.
	 *
	 * @param firewall
	 */
	public void setFirewall(HttpFirewall firewall) {
		this.firewall = firewall;
	}

	@Override
	public String toString() {
		StringBuilder sb = new StringBuilder();
		sb.append("FilterChainProxy[");
		sb.append("Filter Chains: ");
		sb.append(filterChains);
		sb.append("]");

		return sb.toString();
	}

	// ~ Inner Classes 内部类
	// =====================================================

	/**
	 * Internal FilterChain implementation that is used to pass a request through
	 * the additional internal list of filters which match the request.
	 * 一个内部类实现,用于将一组内部管理的过滤器应用到指定请求 firewalledRequest 上,应用完
	 * 这组过滤器之后,继续执行传入的过滤器链 chain
	 */
	private static class VirtualFilterChain implements FilterChain {
		private final FilterChain originalChain;
		private final List<Filter> additionalFilters;
		private final FirewalledRequest firewalledRequest;
		private final int size;
		private int currentPosition = 0;

		private VirtualFilterChain(FirewalledRequest firewalledRequest,
				FilterChain chain, List<Filter> additionalFilters) {
			this.originalChain = chain;
			this.additionalFilters = additionalFilters;
			this.size = additionalFilters.size();
			this.firewalledRequest = firewalledRequest;
		}

		@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
			if (currentPosition == size) {
				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
						+ " reached end of additional filter chain; proceeding with original chain");
				}

				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();

				originalChain.doFilter(request, response);
			}
			else {
				currentPosition++;

				Filter nextFilter = additionalFilters.get(currentPosition - 1);

				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " at position " + currentPosition + " of " + size
							+ " in additional filter chain; firing Filter: '"
							+ nextFilter.getClass().getSimpleName() + "'");
				}

				nextFilter.doFilter(request, response, this);
			}
		}
	}

	public interface FilterChainValidator {
		void validate(FilterChainProxy filterChainProxy);
	}

	private static class NullFilterChainValidator implements FilterChainValidator {
		@Override
		public void validate(FilterChainProxy filterChainProxy) {
		}
	}

}

相关文章

Spring Security Config : WebSecurityConfiguration Web 安全配置
Spring Boot 自动配置 : SecurityAutoConfiguration
Spring Security Web : SecurityFilterChain 安全过滤器概念模型

SpringSecurity6 | 委派筛选器代理和过滤器代理
分享思想,留下痕迹。
11-07 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们简单回顾了一下关于Servlet原生过滤器以及简单认识了SpringSecurity中的一些过滤器。但是底层SpringSecurity是如何维护这些过滤器,并通过这些过滤器是如果拦截我们的客户端请求的,我们都还只是停留在表层,今天就让我们去深入了解一下我们今天得主角—委派筛选器代理 DelegatingFilterProxy。好了,话不多说让我们开始吧😎😎😎。Spring 提供了一个名为 DelegatingFilterProxy的Filter。
SpringspringSecurity5版本以上中SecurityFilterChain概述
wosixiaokeai的博客
07-11 892
定义是Spring Security Web模块中的一个接口,它定义了一组安全过滤器,这些过滤器用于处理HTTP请求,并根据配置执行相应的安全逻辑。作用:当一个HTTP请求到达Spring应用程序时,它会被中配置的过滤器依次处理。每个过滤器根据其职责对请求进行处理,如验证认证信息、检查用户权限等。如果请求在某个过滤器中被认为是合法且符合安全要求的,它将继续传递至下一个过滤器或最终达到控制器;如果请求被某个过滤器拦截(如认证失败),则不再继续传递,而是直接返回响应。
SpringSecurity------WebSecurity创建FilterChainProxy
豢龙先生
12-24 382
SpringSecurity------FilterChainProxy的创建过程一级目录二级目录三级目录 一级目录 二级目录 三级目录
Spring Security】安全过滤
最新发布
m0_72516377的博客
10-19 583
Spring Security通过安全过滤实现认证与授权机制,核心是一条Servlet过滤器。请求进入时,DelegatingFilterProxy将过滤任务转交给FilterChainProxy,后者根据URL匹配对应的SecurityFilterChain并执行15+内置过滤器(如WebAsyncManagerIntegrationFilter处理异步安全上下文,SecurityContextHolderFilter管理认证信息生命周期)。每条可配置不同安全策略,过滤器依次处理认证、授权、CSRF
SpringsecurityFilterChainProxy
weixin_33895516的博客
11-10 529
2019独角兽企业重金招聘Python工程师标准>>> ...
深入浅出SpringSecurity和OAuth2(二)—— 安全过滤器FilterChainProxy
你要悄悄的拔尖,然后惊艳所有人
07-28 2566
文章目录前言正文1. FilterChainProxy什么时候注入Spring容器中的2. springSecurityFilterChain()方法的作用3. 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth
Spring Security3源码分析-FilterChainProxy初始化
wei_ya_wen的专栏
05-10 1322
很久没有更新博客了,最近对Spring Security做了比较深入的研究。  spring security的教程网上很多:  http://lengyun3566.iteye.com/category/153689  http://wenku.baidu.com/view/b0c0dc0b79563c1ec5da7179.html  以上教程足够应付在实际项目中使用spring s
全面解析Spring Security 过滤器的机制和特性
08-18
Spring SecurityFilterChainProxy 可以代理多条过滤器,并根据不同的 URI 匹配策略进行分发。但是,每个请求每次只能被分发到一条过滤器。每条过滤实际上就是一个 SecurityFilterChain。 在 Spring ...
SpringSecurity】详细核心类与过滤器流程讲解和封装通用组件实战
xiaoxualg的博客
03-20 1504
Spring Security 是一个功能强大且高度可定制的认证和访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证和授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)和授予的权限。表示授予用户的特定权限,通常分为:Spring
Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
m0_75236543的博客
04-16 1696
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
security-oauth2(FilterChainProxy过滤器代理的加载过程)
qq_33421961的博客
11-12 1039
token的解析,是靠过滤器中的过滤器来实现的,本章内容主要讲述了过滤器的加载过程 WebSecurityConfiguration配置类(源码核心配置类) 1 setFilterChainProxySecurityConfigurer()方法 @Configuration public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware { @Autowired(required = false).
SpringSecurity FilterChainProxy 是什么
weixin_45428910的博客
10-27 530
SpringSecurity FilterChainProxy 是什么
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 2264
Security Filter ChainSpring SecurityWeb模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
FilterChainProxy
凌晨12点,说出你的知心话
01-06 497
public void afterPropertiesSet() { filterChainValidator.validate(this); } 启动的时候会校验过滤器。当然默认实现是空的,即不会校验什么。但是框架也提供了一个default的实现类,可以通过set方法注入。 public class DefaultFilterChainValidator implements Filt...
5、spring security拦截器之FilterChainProxy
u012153127的博客
06-24 728
FilterChainProxy是一个拦截器路代理,它会递归去调用里面的拦截器。 @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { boolean clearContext = request.getAttribute(FILTER_APPLIED) == n
深入浅出Spring Security(二):FilterChainProxy的创建过程
LoveSummer
02-05 1460
上篇回顾 框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain,类型是FilterChainProxy WebSecurity和HttpSecurity都是建造者 WebSecurity构建目标是FilterChainProxy对象 HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。 @EnableWebSecurity注解,导入了WebSecurityConfiguration类 WebSecur
Spring Security Web 5.1.2 源码解析 -- 安全相关Filter清单
Details Inside Spring
12-02 3432
名称 简介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter 为整个请求处理过程所需的安全上下文的准备和清理 HeaderWriterFilter TODO CsrfFilter TODO LogoutFilter 检查是否用户请求了退出当前登录 UsernamePass...
spring security的过滤器
LCY133的博客
03-28 1201
请求按过滤器的顺序依次通过每个过滤器,每个过滤器可选择处理请求或传递给下一个过滤器。理解过滤器的组成和执行逻辑,是调试安全问题和实现复杂安全需求的关键。:当某个过滤器处理完请求并直接返回响应时,后续过滤器不再执行。Spring Security 的安全功能通过一系列。捕获异常 → 触发登录页跳转或返回 403。Spring Security 的过滤器通过。最终验证权限 → 若未授权则抛出。提取凭证并认证 → 存储。
Spring Security 多过滤的使用
huan的学习记录
07-14 1077
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值