qidao123.com技术社区-IT企服评测·应用市场
标题:
二、Spring Boot集成Spring Security之实现原理
[打印本页]
作者:
篮之新喜
时间:
2024-10-11 17:34
标题:
二、Spring Boot集成Spring Security之实现原理
二、Spring Security实现原理简介
使用WebSecurityConfiguration向Spring容器中注册对象springSecurityFilterChain(类型FilterChainProxy)
使用SecurityFilterAutoConfiguration向Spring容器中注册对象securityFilterChainRegistration(类型DelegatingFilterProxyRegistrationBean,ServletContextInitializer接口的实现类)
使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器springSecurityFilterChain(类型DelegatingFilterProxy)
发送请求时Servlet原生过滤器DelegatingFilterProxy拦截请求,从Spring容器中获取名称为springSecurityFilterChain(类型FilterChainProxy)的被代理的filter对象
调用Spring容器中的springSecurityFilterChain过滤器对象的doFilter方法
从配置的securityFilterChain过滤器链中获取匹配的过滤器链
创建新的过滤器链对象VirtualFilterChain,参数为请求对象,原生的Servlet过滤器链,匹配的securityFilterChain
调用VirtualFilterChain对象的doFilter方法
先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
三、使用WebSecurityConfiguration向Spring容器中注册对象springSecurityFilterChain(类型FilterChainProxy)
1、未配置securityFilterChain过滤器链时使用默认配置用于天生默认securityFilterChain
2、注册securityFilterChain过滤器链构造器
3、构建springSecurityFilterChain对象(类型FilterChainProxy)并注册到Spring容器中
四、向Servlet容器中注册原生Servlet过滤器springSecurityFilterChain(类型DelegatingFilterProxy)
1、初始化DelegatingFilterProxyRegistrationBean对象
初始化过程
DelegatingFilterProxyRegistrationBean类图
五、使用ServletContextInitializer方式注册DelegatingFilterProxy(模板模式)
ServletContextInitializer接口onStartup方法(未探究该接口的实现机制,后续探究)
RegistrationBean实现onStartup方法,并调用预留抽象方法register
DynamicRegistrationBean实现register方法,并调用预留抽象方法addRegistration
AbstractFilterRegistrationBean实现addRegistration方法,并调用预留抽象方法getFilter获取过滤器,并将过滤器注册到Servlet上下文中
DelegatingFilterProxyRegistrationBean实现getFilter方法,创建DelegatingFilterProxy对象,并设置targetBeanName为springSecurityFilterChain和通报Spring容器上下文对象;DelegatingFilterProxy对象注册到servlet上下文中,未注册到Spring容器中
六、请求处理流程
1、servlet方式请求处理流程
servlet原生过滤器处理:执行doFilter及之前的代码
servlet处理:执行service方法
servlet原生过滤器处理:执行doFilter之后的代码
2、Spring Security方式请求处理流程
servlet原生过滤器处理:执行chain.doFilter及之前的代码
执行到Servlet容器中springSecurityFilterChain(类型DelegatingFilterProxy)的doFilter方法
从Spring容器中获取名称springSecurityFilterChain(类型FilterChainProxy)对象(第一次请求时执行,后续不在执行)
调用springSecurityFilterChain(类型FilterChainProxy)的doFilter方法
从配置的securityFilterChain过滤器链中获取匹配的过滤器链
以原生的Servlet过滤器链,请求对象,匹配的securityFilterChain为参数创建新的过滤器链对象VirtualFilterChain
调用VirtualFilterChain对象的doFilter方法
先执行securityFilterChain过滤器链,后执行原生的Servlet过滤器链
servlet处理:执行service方法
servlet原生过滤器处理:执行chain.doFilter之后的代码
执行到DelegatingFilterProxy的doFilter之后的方法
调用FilterChainProxy的doFilter之后的方法
调用VirtualFilterChain对象的doFilter之后的方法
执行原生的Servlet过滤器链之后的方法
七、总结
向Servlet容器中注册springSecurityFilterChain(类型DelegatingFilterProxy)
DelegatingFilterProxy代理的过滤器是springSecurityFilterChain(类型FilterChainProxy)
springSecurityFilterChain中有securityFilterChain聚集
DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain,并调用VirtualFilterChain.doFilter方法
VirtualFilterChain.doFilter方法会先执行securityFilterChain,再执行后续的原生过滤器链
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 qidao123.com技术社区-IT企服评测·应用市场 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
