2. 程式人生 > >springSecurity安全框架的學習和原理解讀

springSecurity安全框架的學習和原理解讀

阿新 發佈:2018-12-29

最近在公司的專案中使用了spring security框架,所以有機會來學習一下,公司的專案是使用springboot搭建 springBoot版本1.59

spring security 版本4.2.3

   (個人理解可能會有偏差,希望有不正確之處,大家能夠指出來,共同探討交流。)

目錄

一、Spring security框架簡介

 1、簡介

 2、框架原理

 3、框架的核心元件

二、自定義安全配置的載入機制

1、前提 基於自身業務需要

2、WebSecurityConfiguration類

3、AbstractSecurityBuilder類

4、舉例說明如何將一個Configurer轉換為filter

三、使用者登入的驗證和授權過程

一、Spring security框架簡介

     1、簡介

           一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方式的安全框架(簡單說是對訪問許可權進行控制嘛),應用的安全性包括使用者認證(Authentication)和使用者授權(Authorization)兩個部分。使用者認證指的是驗證某個使用者是否為系統中的合法主體,也就是說使用者能否訪問該系統。使用者認證一般要求使用者提供使用者名稱和密碼。系統通過校驗使用者名稱和密碼來完成認證過程。使用者授權指的是驗證某個使用者是否有許可權執行某個操作。在一個系統中,不同使用者所具有的許可權是不同的。比如對一個檔案來說,有的使用者只能進行讀取,而有的使用者可以進行修改。一般來說,系統會為不同的使用者分配不同的角色,而每個角色則對應一系列的許可權。   spring security的主要核心功能為 認證和授權,所有的架構也是基於這兩個核心功能去實現的。

     2、框架原理

     眾所周知 想要對對Web資源進行保護,最好的辦法莫過於Filter,要想對方法呼叫進行保護,最好的辦法莫過於AOP。所以springSecurity在我們進行使用者認證以及授予許可權的時候,通過各種各樣的攔截器來控制權限的訪問,從而實現安全。
        如下為其主要過濾器  

  1.         WebAsyncManagerIntegrationFilter 
  2.         SecurityContextPersistenceFilter 
  3.         HeaderWriterFilter 
  4.         CorsFilter 
  5.         LogoutFilter
  6.         RequestCacheAwareFilter
  7.         SecurityContextHolderAwareRequestFilter
  8.         AnonymousAuthenticationFilter
  9.         SessionManagementFilter
  10.         ExceptionTranslationFilter
  11.         FilterSecurityInterceptor
  12.         UsernamePasswordAuthenticationFilter
  13.         BasicAuthenticationFilter

     3、框架的核心元件

  1.       SecurityContextHolder:提供對SecurityContext的訪問
  2.       SecurityContext,:持有Authentication物件和其他可能需要的資訊
  3.       AuthenticationManager 其中可以包含多個AuthenticationProvider
  4.       ProviderManager物件為AuthenticationManager介面的實現類
  5.       AuthenticationProvider 主要用來進行認證操作的類 呼叫其中的authenticate()方法去進行認證操作
  6.       Authentication:Spring Security方式的認證主體
  7.       GrantedAuthority:對認證主題的應用層面的授權,含當前使用者的許可權資訊,通常使用角色表示
  8.      UserDetails:構建Authentication物件必須的資訊,可以自定義,可能需要訪問DB得到
  9.       UserDetailsService:通過username構建UserDetails物件,通過loadUserByUsername根據userName獲取UserDetail物件 (可以在這裡基於自身業務進行自定義的實現  如通過資料庫,xml,快取獲取等)           

    
     

二、自定義安全配置的載入機制

    1、前提 基於自身業務需要

自定義了一個springSecurity安全框架的配置類 繼承WebSecurityConfigurerAdapter,重寫其中的方法configure,但是並不清楚自定義的類是如何被載入並起到作用,這裡一步步通過debug來了解其中的載入原理。

其實在我們實現該類後,在web容器啟動的過程中該類例項物件會被WebSecurityConfiguration類處理。

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    @Autowired
    private CustAuthenticationProvider custAuthenticationProvider;

    // roles admin allow to access /admin/**
    // roles user allow to access /user/**
    // custom 403 access denied handler
    //重寫了其中的configure()方法設定了不同url的不同訪問許可權
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/home", "/about","/img/*").permitAll()
                .antMatchers("/admin/**","/upload/**").hasAnyRole("ADMIN")
                .antMatchers("/order/**").hasAnyRole("USER","ADMIN")
                .antMatchers("/room/**").hasAnyRole("USER","ADMIN")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
                .logout()
                .permitAll()
                .and()
                .exceptionHandling().accessDeniedHandler(accessDeniedHandler);
    }

    // create two users, admin and user
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

//        auth.inMemoryAuthentication()
//                .withUser("user").password("user").roles("USER")
//                .and()
//                .withUser("admin").password("admin").roles("ADMIN");

//        auth.jdbcAuthentication()

        auth.authenticationProvider(custAuthenticationProvider);
    }

  2、WebSecurityConfiguration類

@Configuration
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {
    private WebSecurity webSecurity;
    private Boolean debugEnabled;
    private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;
    private ClassLoader beanClassLoader;
   
   ...省略部分程式碼

    @Bean(
        name = {"springSecurityFilterChain"}
    )
    public Filter springSecurityFilterChain() throws Exception {
        boolean hasConfigurers = this.webSecurityConfigurers != null
         && !this.webSecurityConfigurers.isEmpty();
        if(!hasConfigurers) {
            WebSecurityConfigurerAdapter adapter = (WebSecurityConfigurerAdapter)
            this.objectObjectPostProcessor
              .postProcess(new WebSecurityConfigurerAdapter() {
            });
            this.webSecurity.apply(adapter);
        }

        return (Filter)this.webSecurity.build();
    }

  
    
    /*1、先執行該方法將我們自定義springSecurity配置例項
       (可能還有系統預設的有關安全的配置例項 ) 配置例項中含有我們自定義業務的許可權控制配置資訊
       放入到該物件的list陣列中webSecurityConfigurers中
       使用@Value註解來將例項物件作為形參注入
     */   
 @Autowired(
        required = false
    )
    public void setFilterChainProxySecurityConfigurer(ObjectPostProcessor<Object> 
    objectPostProcessor,
   @Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") 
  List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers) 
throws Exception {
    
    //建立一個webSecurity物件    
    this.webSecurity = (WebSecurity)objectPostProcessor.postProcess(new WebSecurity(objectPostProcessor));
        if(this.debugEnabled != null) {
            this.webSecurity.debug(this.debugEnabled.booleanValue());
        }

        //對所有配置類的例項進行排序
        Collections.sort(webSecurityConfigurers, WebSecurityConfiguration.AnnotationAwareOrderComparator.INSTANCE);
        Integer previousOrder = null;
        Object previousConfig = null;


        //迭代所有配置類的例項 判斷其order必須唯一
        Iterator var5;
        SecurityConfigurer config;
        for(var5 = webSecurityConfigurers.iterator(); var5.hasNext(); previousConfig = config) {
            config = (SecurityConfigurer)var5.next();
            Integer order = Integer.valueOf(WebSecurityConfiguration.AnnotationAwareOrderComparator.lookupOrder(config));
            if(previousOrder != null && previousOrder.equals(order)) {
                throw new IllegalStateException("@Order on WebSecurityConfigurers must be unique. Order of " + order + " was already used on " + previousConfig + ", so it cannot be used on " + config + " too.");
            }

            previousOrder = order;
        }


        //將所有的配置例項新增到建立的webSecutity物件中
        var5 = webSecurityConfigurers.iterator();

        while(var5.hasNext()) {
            config = (SecurityConfigurer)var5.next();
            this.webSecurity.apply(config);
        }
        //將webSercurityConfigures 例項放入該物件的webSecurityConfigurers屬性中
        this.webSecurityConfigurers = webSecurityConfigurers;
    }

   
}

  2.1、 setFilterChainProxySecurityConfigurer()方法

@Value("#{@autowiredWebSecurityConfigurersIgnoreParents.getWebSecurityConfigurers()}") List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers

   該引數webSecurityConfigurers會將所有的配置例項放入該形參中

 

該方法中 主要執行如下

     1、建立webSecurity物件

     2、主要檢驗了配置例項的order順序(order唯一 否則會報錯)

     3、將所有的配置例項存放進入到webSecurity物件中,其中配置例項中含有我們自定義業務的許可權控制配置資訊

 

2.2、springSecurityFilterChain()方法

   呼叫springSecurityFilterChain()方法,這個方法會判斷我們上一個方法中有沒有獲取到webSecurityConfigurers,沒有的話這邊會建立一個WebSecurityConfigurerAdapter例項,並追加到websecurity中。接著呼叫websecurity的build方法。實際呼叫的是websecurity的父類AbstractSecurityBuilder的build方法 ,最終返回一個名稱為springSecurityFilterChain的過濾器鏈。裡面有眾多Filter(springSecurity其實就是依靠很多的Filter來攔截url從而實現許可權的控制的安全框架)

3、AbstractSecurityBuilder類

public abstract class AbstractSecurityBuilder<O> implements SecurityBuilder<O> {
    private AtomicBoolean building = new AtomicBoolean();
    private O object;

  

    //呼叫build方法來返回過濾器鏈,還是呼叫SecurityBuilder的dobuild()方法

    public final O build() throws Exception {
        if(this.building.compareAndSet(false, true)) {
            this.object = this.doBuild();
            return this.object;
        } else {
            throw new AlreadyBuiltException("This object has already been built");
        }
    }

   //...省略部分程式碼
}

  3.1 呼叫子類的doBuild()方法

public abstract class AbstractConfiguredSecurityBuilder<O, B extends SecurityBuilder<O>> extends AbstractSecurityBuilder<O> {
    private final Log logger;
    private final LinkedHashMap<Class<? extends SecurityConfigurer<O, B>>, List<SecurityConfigurer<O, B>>> configurers;
    private final List<SecurityConfigurer<O, B>> configurersAddedInInitializing;
    private final Map<Class<? extends Object>, Object> sharedObjects;
    private final boolean allowConfigurersOfSameType;
    private AbstractConfiguredSecurityBuilder.BuildState buildState;
    private ObjectPostProcessor<Object> objectPostProcessor;


    //doBuild()核心方法 init(),configure(),perFormBuild()
    protected final O doBuild() throws Exception {
        LinkedHashMap var1 = this.configurers;
        synchronized(this.configurers) {
            this.buildState = AbstractConfiguredSecurityBuilder.BuildState.INITIALIZING;
            this.beforeInit();
            this.init();
            this.buildState = AbstractConfiguredSecurityBuilder.BuildState.CONFIGURING;
            this.beforeConfigure();
            this.configure();
            this.buildState = AbstractConfiguredSecurityBuilder.BuildState.BUILDING;
            O result = this.performBuild();
            this.buildState = AbstractConfiguredSecurityBuilder.BuildState.BUILT;
            return result;
        }
    }

    protected abstract O performBuild() throws Exception;
    
    //呼叫init方法 呼叫配置類WebSecurityConfigurerAdapter的init()方法
    private void init() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = this.getConfigurers();
        Iterator var2 = configurers.iterator();

        SecurityConfigurer configurer;
        while(var2.hasNext()) {
            configurer = (SecurityConfigurer)var2.next();
            configurer.init(this);
        }

        var2 = this.configurersAddedInInitializing.iterator();

        while(var2.hasNext()) {
            configurer = (SecurityConfigurer)var2.next();
            configurer.init(this);
        }

    }

    private void configure() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = this.getConfigurers();
        Iterator var2 = configurers.iterator();

        while(var2.hasNext()) {
            SecurityConfigurer<O, B> configurer = (SecurityConfigurer)var2.next();
            configurer.configure(this);
        }

    }

    private Collection<SecurityConfigurer<O, B>> getConfigurers() {
        List<SecurityConfigurer<O, B>> result = new ArrayList();
        Iterator var2 = this.configurers.values().iterator();

        while(var2.hasNext()) {
            List<SecurityConfigurer<O, B>> configs = (List)var2.next();
            result.addAll(configs);
        }

        return result;
    }

    //...省略部分程式碼
}

3.2 先呼叫本類的init()方法

build過程主要分三步,init->configure->peformBuild 

  • 1  init方法做了兩件事,一個就是呼叫getHttp()方法獲取一個http例項,並通過web.addSecurityFilterChainBuilder方法把獲取到的例項賦值給WebSecurity的securityFilterChainBuilders屬性,這個屬性在我們執行build的時候會用到,第二個就是為WebSecurity追加了一個postBuildAction,在build都完成後從http中拿出FilterSecurityInterceptor物件並賦值給WebSecurity。 
  • 2  getHttp()方法,這個方法在當我們使用預設配置時(大多數情況下)會為我們追加各種SecurityConfigurer的具體實現類到httpSecurity中,如exceptionHandling()方法會追加一個ExceptionHandlingConfigurer,sessionManagement()方法會追加一個SessionManagementConfigurer,securityContext()方法會追加一個SecurityContextConfigurer物件,這些SecurityConfigurer的具體實現類最終會為我們配置各種具體的filter。
  • 3 另外getHttp()方法的最後會呼叫configure(http),這個方法也是我們繼承WebSecurityConfigurerAdapter類後最可能會重寫的方法 。
  • 4 configure(HttpSecurity http)方法,預設的configure(HttpSecurity http)方法繼續向httpSecurity類中追加SecurityConfigurer的具體實現類,如authorizeRequests()方法追加一個ExpressionUrlAuthorizationConfigurer,formLogin()方法追加一個FormLoginConfigurer。 其中ExpressionUrlAuthorizationConfigurer這個實現類比較重要,因為他會給我們建立一個非常重要的物件FilterSecurityInterceptor物件,FormLoginConfigurer物件比較簡單,但是也會為我們提供一個在安全認證過程中經常用到會用的一個Filter:UsernamePasswordAuthenticationFilter。 

以上三個方法就是WebSecurityConfigurerAdapter類中init方法的主要邏輯,

public abstract class WebSecurityConfigurerAdapter implements 
   WebSecurityConfigurer<WebSecurity> {

    public void init(final WebSecurity web) throws Exception {
        final HttpSecurity http = this.getHttp();
        web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
            public void run() {
                FilterSecurityInterceptor securityInterceptor = (FilterSecurityInterceptor)http.getSharedObject(FilterSecurityInterceptor.class);
                web.securityInterceptor(securityInterceptor);
            }
        });
    }


 protected final HttpSecurity getHttp() throws Exception {
        if(this.http != null) {
            return this.http;
        } else {
            DefaultAuthenticationEventPublisher eventPublisher = (DefaultAuthenticationEventPublisher)this.objectPostProcessor.postProcess(new DefaultAuthenticationEventPublisher());
       

//新增認證的事件的釋出者
this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
//獲取AuthenticationManager物件其中一至多個進行認證處理的物件例項,後面會進行講解          
AuthenticationManager authenticationManager = this.authenticationManager();
            this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
            Map<Class<? extends Object>, Object> sharedObjects = this.createSharedObjects();
            this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
            if(!this.disableDefaults) {
                ((HttpSecurity)((DefaultLoginPageConfigurer)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)this.http.csrf().and()).addFilter(new WebAsyncManagerIntegrationFilter()).exceptionHandling().and()).headers().and()).sessionManagement().and()).securityContext().and()).requestCache().and()).anonymous().and()).servletApi().and()).apply(new DefaultLoginPageConfigurer())).and()).logout();
                ClassLoader classLoader = this.context.getClassLoader();
                List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
                Iterator var6 = defaultHttpConfigurers.iterator();

                while(var6.hasNext()) {
                    AbstractHttpConfigurer configurer = (AbstractHttpConfigurer)var6.next();
                    this.http.apply(configurer);
                }
            }

            //最終呼叫我們的繼承的WebSecurityConfigurerAdapter中重寫的configure()
            //將我們業務相關的許可權配置規則資訊進行初始化操作
            this.configure(this.http);
            return this.http;
        }
    }


 protected AuthenticationManager authenticationManager() throws Exception {
        if(!this.authenticationManagerInitialized) {
            this.configure(this.localConfigureAuthenticationBldr);
            if(this.disableLocalConfigureAuthenticationBldr) {
                this.authenticationManager = this.authenticationConfiguration.getAuthenticationManager();
            } else {
                this.authenticationManager = (AuthenticationManager)this.localConfigureAuthenticationBldr.build();
            }

            this.authenticationManagerInitialized = true;
        }

        return this.authenticationManager;
    }



}

3.3、第二步configure

  • configure方法最終也呼叫到了WebSecurityConfigurerAdapter的configure(WebSecurity web)方法,預設實現中這個是一個空方法,具體應用中也經常重寫這個方法來實現特定需求。 

3.4、第三步 peformBuild

  • 具體的實現邏輯在WebSecurity類中 
  • 這個方法中最主要的任務就是遍歷securityFilterChainBuilders屬性中的SecurityBuilder物件,並呼叫他的build方法。 
    這個securityFilterChainBuilders屬性我們前面也有提到過,就是在WebSecurityConfigurerAdapter類的init方法中獲取http後賦值給了WebSecurity。因此這個地方就是呼叫httpSecurity的build方法。
  •  httpSecurity的build方式向其中追加一個個過濾器

public final class WebSecurity extends AbstractConfiguredSecurityBuilder<Filter, WebSecurity> implements SecurityBuilder<Filter>, ApplicationContextAware {
    
  ...省略部分程式碼

    //呼叫該方法通過securityFilterChainBuilder.build()方法來建立securityFilter過濾器
    //並新增到securityFilterChains物件中,包裝成FilterChainProxy 返回
    protected Filter performBuild() throws Exception {
        Assert.state(!this.securityFilterChainBuilders.isEmpty(), "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. More advanced users can invoke " + WebSecurity.class.getSimpleName() + ".addSecurityFilterChainBuilder directly");
        int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
        List<SecurityFilterChain> securityFilterChains = new ArrayList(chainSize);
        Iterator var3 = this.ignoredRequests.iterator();

        while(var3.hasNext()) {
            RequestMatcher ignoredRequest = (RequestMatcher)var3.next();
            securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest, new Filter[0]));
        }

        var3 = this.securityFilterChainBuilders.iterator();

        while(var3.hasNext()) {
            SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder = (SecurityBuilder)var3.next();
            securityFilterChains.add(securityFilterChainBuilder.build());
        }

        FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
        if(this.httpFirewall != null) {
            filterChainProxy.setFirewall(this.httpFirewall);
        }

        filterChainProxy.afterPropertiesSet();
        Filter result = filterChainProxy;
        if(this.debugEnabled) {
            this.logger.warn("\n\n********************************************************************\n**********        Security debugging is enabled.       *************\n**********    This may include sensitive information.  *************\n**********      Do not use in a production system!     *************\n********************************************************************\n\n");
            result = new DebugFilter(filterChainProxy);
        }

        this.postBuildAction.run();
        return (Filter)result;
    }

   
}

 4、舉例說明如何將一個Configurer轉換為filter

ExpressionUrlAuthorizationConfigurer的繼承關係 
ExpressionUrlAuthorizationConfigurer->AbstractInterceptUrlConfigurer->AbstractHttpConfigurer->SecurityConfigurerAdapter->SecurityConfigurer 
對應的init方法在SecurityConfigurerAdapter類中,是個空實現,什麼也沒有做,configure方法在SecurityConfigurerAdapter類中也有一個空實現,在AbstractInterceptUrlConfigurer類中進行了重寫 

Abstractintercepturlconfigurer.java程式碼 

@Override  
    public void configure(H http) throws Exception {  
        FilterInvocationSecurityMetadataSource metadataSource = createMetadataSource(http);  
        if (metadataSource == null) {  
            return;  
        }  
        FilterSecurityInterceptor securityInterceptor = createFilterSecurityInterceptor(  
                http, metadataSource, http.getSharedObject(AuthenticationManager.class));  
        if (filterSecurityInterceptorOncePerRequest != null) {  
            securityInterceptor  
                    .setObserveOncePerRequest(filterSecurityInterceptorOncePerRequest);  
        }  
        securityInterceptor = postProcess(securityInterceptor);  
        http.addFilter(securityInterceptor);  
        http.setSharedObject(FilterSecurityInterceptor.class, securityInterceptor);  
    }  
...  
private AccessDecisionManager createDefaultAccessDecisionManager(H http) {  
        AffirmativeBased result = new AffirmativeBased(getDecisionVoters(http));  
        return postProcess(result);  
    }  
...  
private FilterSecurityInterceptor createFilterSecurityInterceptor(H http,  
            FilterInvocationSecurityMetadataSource metadataSource,  
            AuthenticationManager authenticationManager) throws Exception {  
        FilterSecurityInterceptor securityInterceptor = new FilterSecurityInterceptor();  
        securityInterceptor.setSecurityMetadataSource(metadataSource);  
        securityInterceptor.setAccessDecisionManager(getAccessDecisionManager(http));  
        securityInterceptor.setAuthenticationManager(authenticationManager);  
        securityInterceptor.afterPropertiesSet();  
        return securityInterceptor;  
    }  

4.1、 在這個類的configure中建立了一個FilterSecurityInterceptor,並且也可以明確看到spring security預設給我們建立的AccessDecisionManager是AffirmativeBased。 

4.2、.最後再看下HttpSecurity類執行build的最後一步 performBuild,這個方法就是在HttpSecurity中實現的 

Httpsecurity.java程式碼 

@Override  
    protected DefaultSecurityFilterChain performBuild() throws Exception {  
        Collections.sort(filters, comparator);  
        return new DefaultSecurityFilterChain(requestMatcher, filters);  
    }  


可以看到,這個類只是把我們追加到HttpSecurity中的security進行了排序,用的排序類是FilterComparator,從而保證我們的filter按照正確的順序執行。接著將filters構建成filterChian返回。在前面WebSecurity的performBuild方法中,這個返回值會被包裝成FilterChainProxy,並作為WebSecurity的build方法的放回值。從而以springSecurityFilterChain這個名稱註冊到springContext中(在WebSecurityConfiguration中做的) 

4.3.在WebSecurity的performBuild方法的最後一步還執行了一個postBuildAction.run,這個方法也是spring security給我們提供的一個hooks,可以在build完成後再做一些事情,比如我們在WebSecurityConfigurerAdapter類的init方法中我們利用這個hook在構建完成後將FilterSecurityInterceptor賦值給了webSecurity類的filterSecurityInterceptor屬性

 

三、使用者登入的驗證和授權過程

      1、使用者一次完整的登入驗證和授權,是一個請求經過 層層攔截器從而實現許可權控制,整個web端配置為DelegatingFilterProxy(springSecurity的委託過濾其代理類 ),它並不實現真正的過濾,而是所有過濾器鏈的代理類,真正執行攔截處理的是由spring 容器管理的個個filter bean組成的filterChain.

呼叫實際的FilterChainProxy 的doFilterInternal()方法 去獲取所有的攔截器並進行過濾處理如下是DelegatingFilterProxy的doFilter()方法

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        Filter delegateToUse = this.delegate;
        if(delegateToUse == null) {
            Object var5 = this.delegateMonitor;
            synchronized(this.delegateMonitor) {
                delegateToUse = this.delegate;
                if(delegateToUse == null) {
                    WebApplicationContext wac = this.findWebApplicationContext();
                    if(wac == null) {
                        throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener or DispatcherServlet registered?");
                    }

                    delegateToUse = this.initDelegate(wac);
                }

                this.delegate = delegateToUse;
            }
        }

//呼叫實際的FilterChainProxy 的doFilterInternal()方法 去獲取所有的攔截器並進行過濾處理
        this.invokeDelegate(delegateToUse, request, response, filterChain);
    }

呼叫實際的FilterChainProxy 的doFilter()方法 去獲取所有的攔截器並進行過濾處理。

2、FilterChainProxy類

    最終呼叫FilterChainProxy 的doFilterInternal()方法,獲取所有的過濾器例項

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
        if(clearContext) {
            try {
                request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                //doFilter 呼叫doFilterInternal方法
                this.doFilterInternal(request, response, chain);
            } finally {
                SecurityContextHolder.clearContext();
                request.removeAttribute(FILTER_APPLIED);
            }
        } else {
            this.doFilterInternal(request, response, chain);
        }

    }

    private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FirewalledRequest fwRequest = this.firewall.getFirewalledRequest((HttpServletRequest)request);
        HttpServletResponse fwResponse = this.firewall.getFirewalledResponse((HttpServletResponse)response);
         //過去所有的過濾器
        List<Filter> filters = this.getFilters((HttpServletRequest)fwRequest);
        if(filters != null && filters.size() != 0) {
            FilterChainProxy.VirtualFilterChain vfc = new FilterChainProxy.VirtualFilterChain(fwRequest, chain, filters);
            vfc.doFilter(fwRequest, fwResponse);
        } else {
            if(logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(fwRequest) + (filters == null?" has no matching filters":" has an empty filter list"));
            }

            fwRequest.reset();
            chain.doFilter(fwRequest, fwResponse);
        }
    }


  private List<Filter> getFilters(HttpServletRequest request) {
       //遍歷所有的matcher類 如果支援就繼續獲取
        Iterator var2 = this.filterChains.iterator();

        SecurityFilterChain chain;
        do {
            if(!var2.hasNext()) {
                return null;
            }

            chain = (SecurityFilterChain)var2.next();
        } while(!chain.matches(request));
        //後去匹配中的所有過濾器
        return chain.getFilters();
    }

如上 其實是獲取到本次請求的所有filter 並安裝指定順序進行執行doFilter()方法

這是筆者本次業務請求所要執行的所有過濾器 

  1.     WebAsyncManagerIntegrationFilter
  2.      SecurityContextPersistenceFilter
  3.      HeaderWriterFilter     
  4.      LogoutFilter
  5.      UsernamePasswordAuthenticationFilter
  6.      RequestCacheAwareFilter
  7.      SecurityContextHolderAwareRequestFilter
  8.      AnonymousAuthenticationFilter
  9.      SessionManagementFilter
  10.      ExceptionTranslationFilter
  11.      FilterSecurityInterceptor

關於springSecutity攔截器的介紹請參考如下連結地址

https://blog.csdn.net/dushiwodecuo/article/details/78913113

http://blog.didispace.com/xjf-spring-security-4/

https://www.cnblogs.com/HHR-SUN/p/7095720.html

https://blog.csdn.net/zheng963/article/details/50427320

https://blog.csdn.net/m0_37834471/article/details/81142246

https://www.cnblogs.com/mingluosunshan/p/5485259.html

 

相關推薦

springSecurity安全框架學習原理解讀

最近在公司的專案中使用了spring security框架,所以有機會來學習一下,公司的專案是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3    (個人理解可能會有偏差,希望有

SpringSecurity安全框架Bcrypt加密

SpringSecurity開發步驟 Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉I

shiro安全框架學習筆記

   現在才發現原來安全其實是比較有趣的一個話題。  由於之前已經練過了spring-security的相關內容。所以這裡的shiro只是作為一個知識補充,用作對比學習理解。   由於這個框架相較而言內容比較多一點,所以希望學習的相對詳細一點。&nb

TKmybatis的框架介紹原理分析及Mybatis新特性

tkmybatis是在mybatis框架的基礎上提供了很多工具,讓開發更加高效,下面來看看這個框架的基本使用,後面會對相關原始碼進行分析,感興趣的同學可以看一下,挺不錯的一個工具實現對員工表的增刪改查的程式碼 java的dao層介面public interface Worke

PHP再學習4—— slim框架學習使用

0.前言    slim是一個簡單而又強大的PHP5框架,可以用來建立RESTful的web應用。可以藉助slim框架設計一個簡化版的yeelink平臺。RESTFul架構對物聯網非常重要,通過Slim的學習也加深對RESTFul框架和相關技術的理解。【PHP學習筆記——索引

安全框架ShiroSpring Security比較

Shiro 首先Shiro較之 Spring Security,Shiro在保持強大功能的同時,還在簡單性和靈活性方面擁有巨大優勢。 Shiro是一個強大而靈活的開源安全框架,能夠非常清晰的處理認證、授權、管理會話以及密碼加密。如下是它所具有的特點: 易於理解的 Ja

TKmybatis的框架介紹原理分析及Mybatis新特性演示

tkmybatis是在mybatis框架的基礎上提供了很多工具,讓開發更加高效,下面來看看這個框架的基本使用,後面會對相關原始碼進行分析,感興趣的同學可以看一下,挺不錯的一個工具 實現對員工表的增刪改查的程式碼 java的dao層介面 public i

Esper學習原理分析

   最近一直有同事跟我說目前開發的資料流平臺僅僅只是把資料推送過來作用不大。希望最好能夠連資料分析也一起做了,告訴他們結果就好。這樣的需求一般交給資料分析組去做就好了,不過了解了一下現在只有離線分析,最快也只能半小時統計一次,實時分析這塊還沒有實現。      去搜了下

tensorflow實踐(二) 基本原理學習框架使用

Tensorflow 是google大腦小組的工程師們開發的用於機器學習和深度神經網路方面的研究,它通過一個數據流圖來進行計算。[本文是對Tensorflow社群資料進行學習和實踐,其中文社群還是很

中國銀聯mPOS通用技術安全分析規範解讀

這一 英文 評估 目的 應用 集成 領域 業界 針對 mPOS是近年出現並得到迅速發展的一種新型受理產品,不少機構和生產企業進行了各種形式的試點。因為mPOS引入了手機、平板電腦等通用智能移動設備。並通過互聯網進行信息傳輸。因此其安全特點與傳統銀行卡受理

JavaSE中Collection集合框架學習筆記(2)——拒絕重復內容的Set支持隊列操作的Queue

%d eof 是否 face 出錯 can 3.2 lean als 前言:俗話說“金三銀四銅五”,不知道我要在這段時間找工作會不會很艱難。不管了,工作三年之後就當給自己放個暑假。 面試當中Collection(集合)是基礎重點.我在網上看了

JavaSE中線程與並行API框架學習筆記——線程為什麽會不安全

pub 學習 學校 技術 顯示 iter tle 另一個 生命周期 前言:休整一個多月之後,終於開始投簡歷了。這段時間休息了一陣子,又病了幾天,真正用來復習準備的時間其實並不多。說實話,心裏不是非常有底氣。 這可能是學生時代遺留的思維慣性——總想著做好萬全準備才去做事。

selenium + python自動化測試unittest框架學習(一)selenium原理及應用

自動化 網上 下載安裝 src .cn 基礎 client cnblogs pytho unittest框架的學習得益於蟲師的《selenium+python自動化實踐》這一書,該書講得很詳細,大家可以去看下,我也只學到一點點用於工作中,閑暇時記錄下自己所學才能更加印象深刻

深度學習web安全最新文章一覽

html www. https new 安全 free web ews segment 先囤幾篇文章: 1、https://www.cdxy.me/?p=773 2、https://segmentfault.com/a/1190000009052376 3、https://

安全學習筆記】SSL、TLS拒絕服務攻擊補充概念

security+ 信息安全 SSL/TLS拒絕服務攻擊 thc-ssl-doc SSL協商加密對性能開銷增加,大量握手請求

安全學習筆記】SSH遠程端口轉發動態端口轉發以及X協議轉發

security+ 信息安全 SSH遠程端口轉發 由於ACL等原因,SSH與應用連接建立方向相反 本地端口轉發 - SSH客戶端+應用客戶端位於FW一端 - SSH服務器+應用服

安全學習筆記】SSH隧道SSH本地端口轉發

security+ 信息安全 SSH隧道 SSH支持雙向通信隧道 - 將其他TCP端口的通信通過SSH連接來轉發 - 用SSH作為傳輸層協議,對流量自動加解密

安全學習筆記】初識sql註入漏洞原理

信息安全 sql security+ 網站沒有對輸入的字符進行過濾,導致輸入的字符影響到網站數據的查詢。編程 數學邏輯思維 and or xor 且 或 否 或:有一個真就是真 且:有一個假就為假 否:相反怎麽找是否有註入漏洞? 第一個找符合參數鏈接的網站

安全學習筆記】windows系統域工作組的區別

信息安全 局域網 security+認證 局域網(Local AreaNetwork, LAN),又稱內網,是指在某一區域內由多臺計算機互聯成的計算機組。 局域網可以實現文件管理、應用軟件共享、打印機共享、掃描儀共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。局域網嚴格意義上是封閉型

安全學習筆記】XSS-簡介、跨站腳本檢測常見的攻擊利用手段

信息安全 security+ xss XSS攻擊WEB客戶端客戶端腳本語言 彈窗警告、廣告 Javascript 在瀏覽器中執行XSS(cross-site scripting) 通過WEB站點漏洞,向客戶端交付惡意腳本代碼,實現對客戶端的攻擊目的 註入客戶端腳本代碼