二、Spring Boot集成Spring Security之实现原理

已于 2024-11-15 13:48:19 修改
阅读量1k 收藏 20
点赞数 22
分类专栏: 技术研究 # Spring Security 文章标签: spring spring boot java spring security 后端
于 2024-09-30 14:38:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dhbfjh/article/details/142639236
版权

文章目录

往期回顾:Spring Boot集成Spring Security专栏及各章节快捷入口

前言

本文介绍Spring Security实现原理,配合以下内容观看效果更佳!!!

一、Spring Security实现原理简介

  1. 使用WebSecurityConfiguration向Spring容器中注册对象springSecurityFilterChain(类型FilterChainProxy)
  2. 使用SecurityFilterAutoConfiguration向Spring容器中注册对象securityFilterChainRegistration(类型DelegatingFilterProxyRegistrationBean,ServletContextInitializer接口的实现类)
  3. 使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器springSecurityFilterChain(类型DelegatingFilterProxy)
  4. 发送请求时Servlet原生过滤器DelegatingFilterProxy拦截请求,从Spring容器中获取名称为springSecurityFilterChain(类型FilterChainProxy)的被代理的filter对象
  5. 调用Spring容器中的springSecurityFilterChain过滤器对象的doFilter方法
    1. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    2. 创建新的过滤器链对象VirtualFilterChain,参数为请求对象,原生的Servlet过滤器链,匹配的securityFilterChain
    3. 调用VirtualFilterChain对象的doFilter方法
    4. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链

二、使用WebSecurityConfiguration向Spring容器中注册对象springSecurityFilterChain(类型FilterChainProxy)

1、未配置securityFilterChain过滤器链时使用默认配置用于生成默认securityFilterChain

image-20241011160355553

2、注册securityFilterChain过滤器链构造器

image-20241011160444583

3、构建springSecurityFilterChain对象(类型FilterChainProxy)并注册到Spring容器中

image-20241011161604992

三、向Servlet容器中注册原生Servlet过滤器springSecurityFilterChain(类型DelegatingFilterProxy)

1、初始化DelegatingFilterProxyRegistrationBean对象

四、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)

  1. ServletContextInitializer接口onStartup方法(未探究该接口的实现机制,后续探究)
  2. RegistrationBean实现onStartup方法,并调用预留抽象方法register
  3. DynamicRegistrationBean实现register方法,并调用预留抽象方法addRegistration
  4. AbstractFilterRegistrationBean实现addRegistration方法,并调用预留抽象方法getFilter获取过滤器,并将过滤器注册到Servlet上下文中
  5. DelegatingFilterProxyRegistrationBean实现getFilter方法,创建DelegatingFilterProxy对象,并设置targetBeanName为springSecurityFilterChain和传递Spring容器上下文对象;DelegatingFilterProxy对象注册到servlet上下文中,未注册到Spring容器中

五、请求处理流程

1、servlet方式请求处理流程

  1. servlet原生过滤器处理:执行doFilter及之前的代码
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行doFilter之后的代码
    filterchain

2、Spring Security方式请求处理流程

  1. servlet原生过滤器处理:执行chain.doFilter及之前的代码
    1. 执行到Servlet容器中springSecurityFilterChain(类型DelegatingFilterProxy)的doFilter方法
    2. 从Spring容器中获取名称springSecurityFilterChain(类型FilterChainProxy)对象(第一次请求时执行,后续不在执行)
    3. 调用springSecurityFilterChain(类型FilterChainProxy)的doFilter方法
    4. 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    5. 以原生的Servlet过滤器链,请求对象,匹配的securityFilterChain为参数创建新的过滤器链对象VirtualFilterChain
    6. 调用VirtualFilterChain对象的doFilter方法
    7. 先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
  2. servlet处理:执行service方法
  3. servlet原生过滤器处理:执行chain.doFilter之后的代码
    1. 执行到DelegatingFilterProxy的doFilter之后的方法
    2. 调用FilterChainProxy的doFilter之后的方法
    3. 调用VirtualFilterChain对象的doFilter之后的方法
    4. 执行原生的Servlet过滤器链之后的方法
      delegatingfilterproxy

六、总结

  1. 向Servlet容器中注册springSecurityFilterChain(类型DelegatingFilterProxy)
  2. DelegatingFilterProxy代理的过滤器是springSecurityFilterChain(类型FilterChainProxy)
  3. springSecurityFilterChain中有securityFilterChain集合
  4. DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
  5. springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain,并调用VirtualFilterChain.doFilter方法
  6. VirtualFilterChain.doFilter方法会先执行securityFilterChain,再执行后续的原生过滤器链
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

那你为何对我三笑留情

感谢支持,沉淀自己,帮助他人!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值