2. 程式人生 > >spring security:DelegatingFilterProxy和FilterChainProxy之間的關係

spring security:DelegatingFilterProxy和FilterChainProxy之間的關係

阿新 發佈:2019-02-01

本文主要解答的是為什麼在web.xml中配置了

<filter>
     <filter-name>springSecurityFilterChain</filter-name>
     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</fiter>
DelegatingFilterProxy代理的Filter就會是定義在spring容器中的FilterChainProxy類的bean

DelegatingFilterProxy類是一個spring類,位於org.springframework.web.jar包下,這個類本身是和spring security無關。該類繼承於抽象類GenericFilterBean,間接地實現了javax.servlet.Filter介面,Servlet容器在啟動時,首先會呼叫Filter的init方法,GenericFilterBean的作用主要是可以把Filter的初始化引數自動地set到繼承與GenericFilterBean類的Filter中區。其原始碼如下:

public final void init(FilterConfig filterConfig) throws ServletException {
		Assert.notNull(filterConfig, "FilterConfig must not be null");
		if (logger.isDebugEnabled()) {
			logger.debug("Initializing filter '" + filterConfig.getFilterName() + "'");
		}

		this.filterConfig = filterConfig;

		// Set bean properties from init parameters.
		try {
			PropertyValues pvs = new FilterConfigPropertyValues(filterConfig, this.requiredProperties);
			BeanWrapper bw = PropertyAccessorFactory.forBeanPropertyAccess(this);
			ResourceLoader resourceLoader = new ServletContextResourceLoader(filterConfig.getServletContext());
			bw.registerCustomEditor(Resource.class, new ResourceEditor(resourceLoader, this.environment));
			initBeanWrapper(bw);
			bw.setPropertyValues(pvs, true);
		}
		catch (BeansException ex) {
			String msg = "Failed to set bean properties on filter '" +
				filterConfig.getFilterName() + "': " + ex.getMessage();
			logger.error(msg, ex);
			throw new NestedServletException(msg, ex);
		}

		// Let subclasses do whatever initialization they like.
		initFilterBean();

		if (logger.isDebugEnabled()) {
			logger.debug("Filter '" + filterConfig.getFilterName() + "' configured successfully");
		}
	}
在該方法中呼叫了initFilterBean()方法,該方法是GenericFilterBean類特地留給子類擴充套件使用的。其實現在DelegatingFilterProxy中
protected void initFilterBean() throws ServletException {
		synchronized (this.delegateMonitor) {
			if (this.delegate == null) {
				// If no target bean name specified, use filter name.
				if (this.targetBeanName == null) {
					this.targetBeanName = getFilterName();
				}
				// Fetch Spring root application context and initialize the delegate early,
				// if possible. If the root application context will be started after this
				// filter proxy, we'll have to resort to lazy initialization.
				WebApplicationContext wac = findWebApplicationContext();
				if (wac != null) {
					this.delegate = initDelegate(wac);
				}
			}
		}
	}
可以看出上述程式碼首先看Filter是否提供了targetBeanName初始化引數,如果沒有提供則直接使用filter的name作為beanName,產生beanName後,由於我們在web.xml中的filter的name是springSecurityFilterChain。
<filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

FilterChainProxy從Spring IOC容器中取出bean的程式碼是initDelegate方法。
protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
		Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);
		if (isTargetFilterLifecycle()) {
			delegate.init(getFilterConfig());
		}
		return delegate;
	}

在這個方法中,getTargetBeanName()返回的是值為springSecurityFilterChain,下面的內容是關鍵

wac.getBean(getTargetBeanName(), Filter.class)
wac.getBean(getTargetBeanName(),Filter.class)->AbstractApplicationContext.getBean(name,requiredType)->AbstractBeanFactory中的transformedBeanName(name)->canonicalName(BeanFactoryUtils.transformedBeanName(name))
在canonicalName方法中將springSecurityFilterChain給轉換成了org.springframework.security.filterChainProxy。這是因為SecuritynamespaceHandler在解析security名稱空間的時候在HttpSecurityBeanDefinitionParser中的registerFilterChainProxyIfNecessary方法中呼叫了ParserContext.getRegistry().registerAlias("org.springframework.security.filterChainProxy","springSecurityFilterChain")將他們的對應關係寫入到了SimpleAliasRegistry中的aliasMap中去了,而canonicalName方法使用springSecurityFilterChain為key去aliasMap中取,所以得到是org.springframework.security.filterChainProxy
這裡根據springSecurityFilterChain的bean name直接獲取FilterChainProxy的例項。可是springSecurityFilterChain這個bean在哪裡定義的呢?此時似乎忽略了spring security的bean配置檔案了。
<?xml version="1.0" encoding="UTF-8"?>  
    <beans:beans xmlns="http://www.springframework.org/schema/security"  
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
           xmlns:beans="http://www.springframework.org/schema/beans"  
           xsi:schemaLocation="  
          http://www.springframework.org/schema/beans  
          http://www.springframework.org/schema/beans/spring-beans.xsd  
          http://www.springframework.org/schema/security  
          http://www.springframework.org/schema/security/   
                  spring-security-3.0.xsd">  
      <http auto-config="true">  
        <intercept-url pattern="/*" access="ROLE_USER"/>  
      </http>  
      <authentication-manager alias="authenticationManager">  
        <authentication-provider>  
          <user-service>  
            <user authorities="ROLE_USER" name="guest" password="guest"/>  
          </user-service>  
        </authentication-provider>  
      </authentication-manager>   
    </beans:beans>

這是最簡單的配置,同時也解開了springSecurityFilterChain這個bean沒有定義的疑問。這裡主要利用了spring的自定義標籤。首先spring security的標籤解析部分的原始碼包為:spring-security-config.jar中
spring security的標籤解析由org.springframework.security.config.SecurityNamespaceHandler來處理。該類實現介面:NamespaceHandler,spring中自定義標籤都要實現該介面,該介面有三個方法init、parse、decorate,其中init用於自定義標籤的初始化,parse用於解析標籤,decorate用於裝飾。
SecurityNamespaceHandler類的init方法完成了標籤解析類的註冊工作
public void init() {
        loadParsers();
    }

    @SuppressWarnings("deprecation")
    private void loadParsers() {
        // Parsers
        parsers.put(Elements.LDAP_PROVIDER, new LdapProviderBeanDefinitionParser());
        parsers.put(Elements.LDAP_SERVER, new LdapServerBeanDefinitionParser());
        parsers.put(Elements.LDAP_USER_SERVICE, new LdapUserServiceBeanDefinitionParser());
        parsers.put(Elements.USER_SERVICE, new UserServiceBeanDefinitionParser());
        parsers.put(Elements.JDBC_USER_SERVICE, new JdbcUserServiceBeanDefinitionParser());
        parsers.put(Elements.AUTHENTICATION_PROVIDER, new AuthenticationProviderBeanDefinitionParser());
        parsers.put(Elements.GLOBAL_METHOD_SECURITY, new GlobalMethodSecurityBeanDefinitionParser());
        parsers.put(Elements.AUTHENTICATION_MANAGER, new AuthenticationManagerBeanDefinitionParser());//authentication-manager的標籤解析類註冊
        parsers.put(Elements.METHOD_SECURITY_METADATA_SOURCE, new MethodSecurityMetadataSourceBeanDefinitionParser());

        // Only load the web-namespace parsers if the web classes are available
        if(ClassUtils.isPresent(FILTER_CHAIN_PROXY_CLASSNAME, getClass().getClassLoader())) {
            parsers.put(Elements.DEBUG, new DebugBeanDefinitionParser());
            parsers.put(Elements.HTTP, new HttpSecurityBeanDefinitionParser());//http的標籤解析類註冊
            parsers.put(Elements.HTTP_FIREWALL, new HttpFirewallBeanDefinitionParser());
            parsers.put(Elements.FILTER_INVOCATION_DEFINITION_SOURCE, new FilterInvocationSecurityMetadataSourceParser());
            parsers.put(Elements.FILTER_SECURITY_METADATA_SOURCE, new FilterInvocationSecurityMetadataSourceParser());
            parsers.put(Elements.FILTER_CHAIN, new FilterChainBeanDefinitionParser());
            filterChainMapBDD = new FilterChainMapBeanDefinitionDecorator();
        }
    }
HttpSecurityBeanDefinitionParser的parse方法原始碼為:
public BeanDefinition parse(Element element, ParserContext pc) {
        CompositeComponentDefinition compositeDef =
                new CompositeComponentDefinition(element.getTagName(), pc.extractSource(element));
       ......                                                                                                                                 
registerFilterChainProxyIfNecessary(pc,pc.extractSource(element));
......
}
static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {
	logger.debug("\n registerFilterChainProxyIfNecessary----"+pc.getRegistry()+"\n source=="+source);
	if (pc.getRegistry().containsBeanDefinition(BeanIds.FILTER_CHAIN_PROXY)) {
		return;
	}
	// Not already registered, so register the list of filter chains and the FilterChainProxy
	BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);

	listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());

	 pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, BeanIds.FILTER_CHAINS));

	BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);
	fcpBldr.getRawBeanDefinition().setSource(source);

	fcpBldr.addConstructorArgReference(BeanIds.FILTER_CHAINS);

	fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class));

	BeanDefinition fcpBean = fcpBldr.getBeanDefinition();

	pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, BeanIds.FILTER_CHAIN_PROXY));

	pc.getRegistry().registerAlias(BeanIds.FILTER_CHAIN_PROXY, BeanIds.SPRING_SECURITY_FILTER_CHAIN);
//BeanIds.FILTER_CHAIN_PROXY->org.springframework.security.filterChainProxy
//BeanIds.SPRING_SECURITY_FILTER_CHAIN->springSecurityFilterChain
}
這裡需要說明的是BeanDefinitionBuilder類,該類能夠動態建立spring的bean,並通過ParserContext完成bean的註冊,而不需要在xml中進行配置。
此時FilterChainProxy例項化過程已經完成。
下面再看一下DelegatingFilterProxy類的doFilter方法
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
 
        // Lazily initialize the delegate if necessary.
        Filter delegateToUse = null;
        synchronized (this.delegateMonitor) {
            if (this.delegate == null) {
                WebApplicationContext wac = findWebApplicationContext();
                if (wac == null) {
                    throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");
                }
                this.delegate = initDelegate(wac);
            }
            delegateToUse = this.delegate;
        }
 
        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegateToUse, request, response, filterChain);
    }
真正要關注invokeDelegate(delegateToUse, request, response, filterChain);這句程式碼,在下面可以看出DelegatingFilterProxy類實際是用其delegate屬性即org.springframework.security.FilterChainProxy例項的doFilter方法來響應請求。
protected void invokeDelegate(
            Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
 
        delegate.doFilter(request, response, filterChain);
    }

以上就是DelegatingFilterProxy類的一些內部執行機制,其實主要作用就是一個代理模式的應用,可以把servlet 容器中的filter同spring容器中的bean關聯起來。

參考:http://www.aichengxu.com/java/1143729.htm

另外關於

Http標籤的解析——HttpSecurityBeanDefinitionParser

可參考http://www.tuicool.com/articles/vU3m6r

相關推薦

spring securityDelegatingFilterProxyFilterChainProxy之間關係

本文主要解答的是為什麼在web.xml中配置了<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.

Spring MVC3在controller檢視之間傳遞引數的方法

一, 從controller往檢視傳遞值,controller—->檢視 1)簡單型別,如int, String,直接寫在controller方法的引數裡,是無法傳遞到檢視頁面上的(經測試) 2)可以用Map,其鍵值可以在頁面上用EL表示式${鍵值名}

Spring Boot 2.X(十八)整合 Spring Security-登入認證許可權控制

前言 在企業專案開發中,對系統的安全和許可權控制往往是必需的,常見的安全框架有 Spring Security、Apache Shiro 等。本文主要簡單介紹一下 Spring Security,再通過 Spring Boot 整合開一個簡單的示例。 Spring Security 什麼是 Spring Se

Spring原始碼解析之 Spring Security啟動細節工作模式

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Spring Security 案例實現執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Spring Security 是 Spring 社群的一個頂級專案,也是 Spring Boot 官方推薦使用的安全框架。除了常規的認證(Au

Spring Security 梳理 - DelegatingFilterProxy

可能你會覺得奇怪,我們在web應用中使用Spring Security時只在web.xml檔案中定義瞭如下這樣一個Filter,為什麼你會說是一系列的Filter呢?    <filter>      

【轉】Android開發ServiceThread的關係

不少Android初學者都可能會有這樣的疑惑,Service和Thread到底有什麼關係呢?什麼時候應該用Service,什麼時候又應該用Thread?答案可能會有點讓你吃驚,因為Service和Thread之間沒有任何關係! 之所以有不少人會把它們聯絡起來,主要就是因為Service的後臺概念。Threa

ScalMasterworker之間的通訊

Scala程式設計實戰 課程目標 1.1. 目標:熟練使用Scala編寫程式 專案概述 2.1. 需求 目前大多數的分散式架構底層通訊都是通過RPC實現的,RPC框架非常多,比如前我們學過的Hadoop專案的RPC通訊框架,但是Hadoop在設計之初就

android小知識ArrayList陣列之間的轉換

List----->陣列開發中不免碰到List與陣列型別之間的相互轉換,舉一個簡單的例子: package test.test1; import java.util.ArrayList; import java.util.List; public class Test { /** * @param ar

SOS, 請教XMLstruct之間相互轉換的問題

現在配置基本都像XML方向轉變。那麼, 1、以前是按struct大小直接寫入檔案的,反過來,就直接按struct大小讀入struct就可以了,簡潔; 2、轉XML後,涉及到struct到xml節點之間的相互轉換,這個非常多的重複程式碼。而且太繁瑣,舉個例子,假設一個配置struct有100個欄位,

[SSM]Spring MVC3在controller檢視之間傳遞引數的方法

Spring MVC3在controller和檢視之間傳遞引數的方法: 一, 從controller往檢視傳遞值, controller—->檢視 1)簡單型別,如int, String,直接寫在controller方法的引數裡,是無法傳遞到檢視頁面上

spring security對使用者名稱密碼的校驗過程

AuthenticationManager呼叫Provider,provider呼叫userDetaisService來根據username獲取真實的資料庫資訊。 而在usernamePasswordAuthenticationFilter中來呼叫的是Authentica

Java類之間關係

類和類之間關係包括了 is a,has a, use a三種關係 is a包括了 繼承,實現關係 has a包括了 組合,聚合,關聯關係 use a包括了 依賴關係 繼承:子是父的關係,狗是動物 [Java] 純文字檢視 複製程式碼 ? 1 2 publicclass Animal{}

java抽象類介面繼承之間關係

有時候,我們可能想要構造一個很抽象的父類物件,它可能僅僅代表一個分類或抽象概念,它的例項沒有任何意義,因此不希望它能被例項化。例如:有一個父類“ 水果(Fruit)”,它有幾個子類“蘋果(Apple)”、“橘子(Orange)”、“香蕉(Banana)”等。水果在這裡僅僅只是作為一個分類,顯然水果的例項沒有

Linux命令中rsynccp之間的區別

rsync:只拷貝那些更新的檔案; cp -u:也可以實現類似效果; 兩者都基本可以滿足備份的需求; 只是一般情況下,用rsync做這類備份之類的事情,更多見; 在備份的操作中,拷貝,過期檔案的刪除是經常要做的事情。 拷貝也有本機拷貝,拷貝到別的伺服器等。常用

ROSOpenv之間的影象轉換(Python)

描述:本教程介紹如何使用cv_bridge將ROS影象轉換為OpenCV影象,反之亦然,從而實現ROS和OpenCV的互動。 包括一個示例節點,可用作您自己節點的模板。1.概念    ROS以其自己的sensor_msgs/Image訊息格式釋出影象,但許多使用者會希望將影象

朱曄你聊Spring系列S1E10強大且複雜的Spring Security(含OAuth2三角色+三模式完整例子)

Spring Security功能多,元件抽象程度高,配置方式多樣,導致了Spring Security強大且複雜的特性。Spring Security的學習成本幾乎是Spring家族中最高的,Spring Security的精良設計值得我們學習,但是結合實際複雜的業務場景,我們不但需要理解Spring Se

PythonUnicodeUTF-8之間關係

一、Unicode和UTF-8 參考網址:https://blog.csdn.net/xiaolei1021/article/details/52093706/ 例項: 開啟"記事本"程式Notepad.exe,新建一個文字檔案,內容就是一個"嚴"字,依次採用ANSI,Unicode

3.spring自動裝配/Bean之間關係/作用域/外部檔案/spel/

1.自動裝配/手動裝配 xml配置檔案裡的bean自動裝配 Spring IOC 容器裡可以自動的裝配Bean,需要做的僅僅是在<bean>的autowire屬性裡面指定自動裝配模式 ->byType(根據型別自動進行裝配):若IOC容器裡需要有多個與目標Bean型別一樣的Bean,在這種

深入Spring BootClassLoader的繼承關係影響

前言 對spring boot本身啟動原理的分析,請參考:http://hengyunabc.github.io/spring-boot-application-start-analysis/ Spring boot裡的ClassLoader繼承關係 可以執行下面提供的demo,分別在不同的場景下執行,可以知