Spring Security如何在Servlet中執行
Spring Security 是一個強大的認證和授權框架,它的使用方式也非常簡單,但是要想真正理解它就需要花一時間來學習了,最近在學習 Spring Security 時有一些新的理解,特意記錄下來防止知識忘記的太快,畢竟好記性不如爛筆關,也給即將準備學習 Spring Security 的同志做一個參考。
由於我在學習和使用是基於 Servlet Applications 的,所以文中的大部分都與 Servlet 相關,當然 Spring Security 還支援 Reactive Applications 功能上都是一樣,在架構上會有一些差別,有興趣的同學可以自行檢視官方文件。
Spring Securty 在 Servlet Applications 中的應用
以下部分內容摘自官方文件
Servlet Filter Chain
提到 Servlet Filter Chain 應該都熟悉的吧,它們是一系列由 javax.servlet.Filter 實現類組成的一個鏈,大致圖如下所示:
上圖中Client傳送Http請求,然後請求經過FilterChain,每個匹配的Filter都有機會處理request和response物件,最終請求會到達servlet(如何filter中沒有特殊處理的情況下)。
Spring Security 的實現簡單來說,就是往Servlet Filter Chain加了一個特殊的過濾器來處理認證或授權請求 。
DelegatingFilterProxy
Spring 提供一個javax.servlet.Filter的實現類 DelegatingFilterProxy,它的主要功能跟它的名稱一樣,通過代理模式委託給一個Spring管理的Bean來完成相應的功能。
在上圖中,DelegatingFilterProxy 會在 ApplicationContext 中查詢 Filter0 並執行Filter0的doFilter方法:
public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain) {
// Lazily get Filter that was registered as a Spring Bean
// For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
Filter delegate = getFilterBean(someBeanName);
// delegate work to the Spring Bean
delegate.doFilter(request,response);
}FilterChainProxy
前面說過DelegatingFilterProxy只是一個代理 Filter,並沒有真正的功能。
在 Spring Security 中還有一個 FilterChainProxy 類,它是 Spring Security 中非常重要的入口(斷點打在這準沒錯),它負責匹配請求、執行 Filter 等功能。
你可能發現了上圖中在FilterChainProxy部分還有個 SecurityFilterChain,它是一個介面只有兩個方法:
- matches用於匹配請求
- getFilters是獲取針對匹配請求的所有的 Filters
SecurityFilterChain 介面:
public interface SecurityFilterChain {
boolean matches(HttpServletRequest request);
List<Filter> getFilters();
}
SecurityFilterChain
SecurityFilterChain 裡面包含很多個 Filter,不同的 Filter 完成不同的功能,如登陸認證、退出登陸、設定SecurityContext等,在Spring Security 中可以有多個 SecurityFilterChain 每個 SecurityFilterChain 負責不同的請求地址,如可以針對/app/api/**與/web/api/**設定不同的認證規則。
總結
前面提到了四個重要的概念:
- Servlet Filter Chain:Serverl過濾器鏈
- DelegatingFilterProxy:Spring Filter代理類,將功能委託給 FilterChainProxy
- FilterChainProxy:匹配請求,執行 SecurityFilterChain 中的過濾器
- SecurityFilterChain:包含一組Filter
總結下來可以用一張圖表示:
根據上面圖如Client訪問/web/api/login就會匹配到SecurityFilterChain 0並執行其中的 Filters。
匹配過程我看了下FilterChainProxy的原始碼,大致流程和我理解的差不多,我把程式碼精簡了一下以下:
public class FilterChainProxy extends GenericFilterBean {
private List<SecurityFilterChain> filterChains;
@Override
public void doFilter(ServletRequest request,FilterChain chain) throws IOException,ServletException {
...
doFilterInternal(request,response,chain);
...
}
private void doFilterInternal(ServletRequest request,ServletException {
...
List<Filter> filters = getFilters(fwRequest);
...
VirtualFilterChain vfc = new VirtualFilterChain(fwRequest,chain,filters);
vfc.doFilter(fwRequest,fwResponse);
}
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
private static class VirtualFilterChain implements FilterChain {
@Override
public void doFilter(ServletRequest request,ServletResponse response)
throws IOException,ServletException {
...
}
}
首先在FilterChainProxy的doFilter方法會執行doFilterInternal方法
doFilterInternal 方法中呼叫 getFilters 獲取過濾器列表
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
在 getFilters 會呼叫SecurityFilterChain.matches匹配請求
最後將得到的filters放在 VirtualFilterChain 中執行最後
這篇文章主要講述了 Spring Securty 與 Servlet Applications 整合部分
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。