2. 程式人生 > >Spring Security中代理過濾器是通過FilterChain如何工作的

Spring Security中代理過濾器是通過FilterChain如何工作的

阿新 發佈:2019-02-12

我們在搭建Spring Security框架的第一步配置是在專案的web.xml新增代理過濾器,配置如下

  <filter>
  	<filter-name>springSecurityFilterChain</filter-name>
  	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
  	<filter-name>springSecurityFilterChain</filter-name>
  	<url-pattern>/*</url-pattern>
  </filter-mapping>

由此我我們可以得出一個結果,所有的請求都會經過DelegatingFilterProxy,從而實現許可權的控制。讓我們來看一下DelegatingFilterProxy的doFilter方法是如何實現的。 
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		// Lazily initialize the delegate if necessary.
		Filter delegateToUse = this.delegate;
		if (delegateToUse == null) {
			synchronized (this.delegateMonitor) {
				if (this.delegate == null) {
					WebApplicationContext wac = findWebApplicationContext();
					if (wac == null) {
						throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");
					}
					this.delegate = initDelegate(wac);
				}
				delegateToUse = this.delegate;
			}
		}

		// Let the delegate perform the actual doFilter operation.
		invokeDelegate(delegateToUse, request, response, filterChain);
	}

最後呼叫invokeDelegate方法,讓我們來看一下invokeDelegate方法。 
	protected void invokeDelegate(
			Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		delegate.doFilter(request, response, filterChain);
	}

由此可見,請求在進入DelegatingFilterProxy後是實際上由delegate做的處理。那這個delegate是如何來得呢?由上面的 
this.delegate = initDelegate(wac);
可以看出,是通過initDelegate方法得到的。 
	protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
		Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);
		if (isTargetFilterLifecycle()) {
			delegate.init(getFilterConfig());
		}
		return delegate;
	}

由此可見,delegate是在Spring容器的一個名為getTargetBeanName方法返回的字串的bean.而這個方法的返回值就是我們在web.xml配置的<filter-name>的值springSecurityFilterChain。現在我們來探究一下這個bean的出處。

我們在spring的配置檔案中搜索,發現並沒有註冊名為springSecurityFilterChain的bean,可以得出這個bean不是我們通過配置得到的,而是從程式碼層面實現的。

所以我們唯一的切入點就是為Spring的配置檔案新增的Spring Security新增的xsd了。對Spring配置檔案的解析都是通過BeanDefinitionParser來實現的,所以我們發現了一個叫做HttpSecurityBeanDefinitionParser的一個類。

    @SuppressWarnings({"unchecked"})
    public BeanDefinition parse(Element element, ParserContext pc) {
        CompositeComponentDefinition compositeDef =
            new CompositeComponentDefinition(element.getTagName(), pc.extractSource(element));
        pc.pushContainingComponent(compositeDef);

       //此方法就是用來將註冊名為springSecurityFilterChain的bean.
        registerFilterChainProxyIfNecessary(pc, pc.extractSource(element));

        // Obtain the filter chains and add the new chain to it
        BeanDefinition listFactoryBean = pc.getRegistry().getBeanDefinition(BeanIds.FILTER_CHAINS);
        List<BeanReference> filterChains = (List<BeanReference>)
                listFactoryBean.getPropertyValues().getPropertyValue("sourceList").getValue();

        filterChains.add(createFilterChain(element, pc));

        pc.popAndRegisterContainingComponent();
        return null;
    }

    static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {
        if (pc.getRegistry().containsBeanDefinition(BeanIds.FILTER_CHAIN_PROXY)) {
            return;
        }
        // Not already registered, so register the list of filter chains and the FilterChainProxy
        BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);
        listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());
        pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, BeanIds.FILTER_CHAINS));

        BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);
        fcpBldr.getRawBeanDefinition().setSource(source);
        fcpBldr.addConstructorArgReference(BeanIds.FILTER_CHAINS);
        fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class));
        BeanDefinition fcpBean = fcpBldr.getBeanDefinition();
        pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, BeanIds.FILTER_CHAIN_PROXY));
        //此段程式碼註冊一個類進入到Spring的容器中
        pc.getRegistry().registerAlias(BeanIds.FILTER_CHAIN_PROXY, BeanIds.SPRING_SECURITY_FILTER_CHAIN);
    }
這個類就是Spring Security進行過濾鏈初始化配置的的核心類。其中createFilterChain方法就是對Security配置檔案解析以及自定義過濾器、預設過濾器進行新增的核心方法。

相關推薦

Spring Security代理過濾器通過FilterChain如何工作

我們在搭建Spring Security框架的第一步配置是在專案的web.xml新增代理過濾器,配置如下 <filter> <filter-name>springSecurityFilterChain</filter-name>

spring security spring bean組成的過濾器鏈如何初始化的

pring security 中spring bean組成的過濾器鏈如何初始化的 spring security 框架的安全是基於過濾器鏈的,但此filter是被spring容器託管的. 一般我們會在web.xml檔案中配置一個代理過濾器: <filter>

Spring Security 實戰乾貨:圖解Spring Security的Servlet過濾器體系

## 1. 前言 我在[Spring Security 實戰乾貨:內建 Filter 全解析](https://www.felord.cn/spring-security-filters.html)對**Spring Security**的內建過濾器進行了羅列,但是**Spring Security**真

spring security 配置多個 AuthenticationManager

基於spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的時候需要多個authenticationManager來管理來自不同方向的認證管理,比如一個clientAuthenticationManager用來認證client

Spring Security異常上拋機制及對於轉型處理的一些感悟

在使用Spring Security的過程中,我們會發現框架內部按照錯誤及問題出現的場景,劃分出了許許多多的異常,但是在業務呼叫時一般都會向外拋一個統一的異常出來,為什麼要這樣做呢,以及對於丟擲來的異常,我們又該如何分場景進行差異化的處理呢,今天來跟我一起看看吧。  一個登陸場景下的外層程式碼

spring securitycsrf的處理

spring boot 與spring security進行整合的時候需要考慮csrf的問題。但是,有時候csrf會攔截所有的post請求,此時應該怎麼辦,,,     首先,我們在header.html中新增一下程式碼(此處的header.html可以理解為每個頁面的頭部,為了整合方便

spring securityCSRF設定不針對某些請求過濾

在spring security 4中,CSRF預設開啟:  Java程式碼   <http>       ...       <csrf />   </http>   但如果某些URL不想加入CSRF,可以使用下面的辦法下載: 實

Spring Security使用AJAX向後臺傳送資料

工作中遇到的問題,這裡記錄下,也希望能夠幫助同學們少走彎路 為了快速幫助快速解決問題,我決定首先呈現問題的表現,再進行分析 環境:spring 4.2.3   spring security 4.1.3 表現: 2016-10-26 22:44:02 [http-apr-9

[Spring Security] 表單登入通過配置自定義登入頁面,以及自定義認證成功/失敗處理機制

1.目錄結構2.配置自定義登入頁通過配置SecurityProperties,MyProperties,SecurityCoreConfig來讀取resources資料夾下application.properties中相關配置項。SecurityProperties:pack

Spring Security Message亂碼問題

Spring   Security  框架將所有的錯誤資訊都定義成了異常,並且提供了國際化的資原始檔。這 個資原始檔在 spring-security-core-xxx.jar 檔案中。使用國際化輸出

SpringSpring-Boot、Spring-Security對CORS(跨域資源共享)的支援

       出於安全原因,瀏覽器禁止AJAX呼叫當前域之外的域的資源。跨源資源共享(CORS)是由大多數瀏覽器實現的W3C規範,允許您指定哪些型別的跨域請求是被授權的,而不是基於IFRAME或JSONP的不安全且功能較差的工作區。      Spring MVC Hand

Spring Securityhtml頁面設置hasRole無效的問題

權限 不支持 new min 發現 測試 -a sdn .get Spring Security中html頁面設置hasRole無效的問題 一、前言 學了幾天的spring Security,偶然發現的hasRole和hasAnyAuth

淺談spring security的許可權控制

當我們在OAuth登陸後,獲取了登陸的令牌,使用該令牌,我們就有了訪問一些受OAuth保護的介面的能力。具體可以看本人的這兩篇部落

第四課:通過配置文件獲取對象(Spring框架的IOC和DI的底層就是基於這樣的機制)

ted const dex generate stat clas name 必須 nbsp 首先在D盤創建一個文件hero.txt,內容為:com.hero.Hero(此處必須是Hero的完整路徑) 接下來是Hero類 package com.hero; publi

企業分布式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot使用Spring Security進行安全控制

spring ron public 控制 應用 app ebs cloud 來源 準備工作 首先,構建一個簡單的Web工程,以用於後續添加安全控制,也可以用之前Chapter3-1-2做為基礎工程。若對如何使用Spring Boot構建Web應用,可以先閱讀《Spring

Spring Boot使用Spring Security實現權限控制

unicode then add sta spa 攔截器 nco throw views Spring Boot框架我們前面已經介紹了很多了,相信看了前面的博客的小夥伴對Spring Boot應該有一個大致的了解了吧,如果有小夥伴對Spring Boot尚不熟悉

java代理,靜態代理,動態代理以及spring aop代理方式,實現原理統一彙總 SpringAOP的兩種代理方式(Java動態代理和CGLIB代理

若代理類在程式執行前就已經存在,那麼這種代理方式被成為 靜態代理 ,這種情況下的代理類通常都是我們在Java程式碼中定義的。 通常情況下, 靜態代理中的代理類和委託類會實現同一介面或是派生自相同的父類。 一、概述1. 什麼是代理我們大家都知道微商代理,簡單地說就是代替廠家賣商品,廠家“委託”代理為

spring專案 通過自定義applicationContext工具類獲取到applicationContext上下文物件

spring專案在伺服器啟動的時候 spring容器中就已經被建立好了各種物件,在我們需要使用的時候可以進行呼叫. 工具類程式碼如下 import org.springframework.beans.BeansException; import org.springframewo

Spring裡的aop實現方式和原始碼分析 java代理,靜態代理,動態代理以及spring aop代理方式,實現原理統一彙總

使用"橫切"技術,AOP把軟體系統分為兩個部分:核心關注點和橫切關注點。業務處理的主要流程是核心關注點,與之關係不大的部分是橫切關注點。橫切關注點的一個特點是,他們經常發生在核心關注點的多處,而各處基本相似,比如許可權認證、日誌、事務。AOP的作用在於分離系統中的各種關注點,將核心關注點和橫切關注點分離開來。

spring bootsecurity安全退出如何跳轉指定頁面,iframe與安全器相容性問題

分享一下這這次專案中自己學到的一些東西(還沒學完,技術很菜,寫的有問題希望大家指出來,希望大家可以一起學習,一起努力)       在WebSecurityConfig中配置:        http.log