二、Spring Boot集成Spring Security之实现原理

二、Spring Security实现原理简介

• 使用WebSecurityConfiguration向Spring容器中注册对象springSecurityFilterChain（类型FilterChainProxy）
  
• 使用SecurityFilterAutoConfiguration向Spring容器中注册对象securityFilterChainRegistration（类型DelegatingFilterProxyRegistrationBean，ServletContextInitializer接口的实现类）
  
• 使用ServletContextInitializer方式向Servlet上下文中注册原生过滤器springSecurityFilterChain（类型DelegatingFilterProxy）
  
• 发送请求时Servlet原生过滤器DelegatingFilterProxy拦截请求，从Spring容器中获取名称为springSecurityFilterChain（类型FilterChainProxy）的被代理的filter对象
  
• 调用Spring容器中的springSecurityFilterChain过滤器对象的doFilter方法
  
  
  • 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    
  • 创建新的过滤器链对象VirtualFilterChain，参数为请求对象，原生的Servlet过滤器链，匹配的securityFilterChain
    
  • 调用VirtualFilterChain对象的doFilter方法
    
  • 先执行securityFilterChain过滤器链，后执行原生的Servlet过滤器链
    
  
  

三、使用WebSecurityConfiguration向Spring容器中注册对象springSecurityFilterChain（类型FilterChainProxy）

1、未配置securityFilterChain过滤器链时使用默认配置用于天生默认securityFilterChain

2、注册securityFilterChain过滤器链构造器

3、构建springSecurityFilterChain对象（类型FilterChainProxy）并注册到Spring容器中

四、向Servlet容器中注册原生Servlet过滤器springSecurityFilterChain（类型DelegatingFilterProxy）

1、初始化DelegatingFilterProxyRegistrationBean对象

• 初始化过程
  
• DelegatingFilterProxyRegistrationBean类图
  
  
  
  

五、使用ServletContextInitializer方式注册DelegatingFilterProxy（模板模式）

• ServletContextInitializer接口onStartup方法（未探究该接口的实现机制，后续探究）
  
• RegistrationBean实现onStartup方法，并调用预留抽象方法register
  
• DynamicRegistrationBean实现register方法，并调用预留抽象方法addRegistration
  
• AbstractFilterRegistrationBean实现addRegistration方法，并调用预留抽象方法getFilter获取过滤器，并将过滤器注册到Servlet上下文中
  
• DelegatingFilterProxyRegistrationBean实现getFilter方法，创建DelegatingFilterProxy对象，并设置targetBeanName为springSecurityFilterChain和通报Spring容器上下文对象；DelegatingFilterProxy对象注册到servlet上下文中，未注册到Spring容器中
  

六、请求处理流程

1、servlet方式请求处理流程

• servlet原生过滤器处理：执行doFilter及之前的代码
  
• servlet处理：执行service方法
  
• servlet原生过滤器处理：执行doFilter之后的代码
  
  
  
  

2、Spring Security方式请求处理流程

• servlet原生过滤器处理：执行chain.doFilter及之前的代码
  
  
  • 执行到Servlet容器中springSecurityFilterChain（类型DelegatingFilterProxy）的doFilter方法
    
  • 从Spring容器中获取名称springSecurityFilterChain（类型FilterChainProxy）对象（第一次请求时执行，后续不在执行）
    
  • 调用springSecurityFilterChain（类型FilterChainProxy）的doFilter方法
    
  • 从配置的securityFilterChain过滤器链中获取匹配的过滤器链
    
  • 以原生的Servlet过滤器链，请求对象，匹配的securityFilterChain为参数创建新的过滤器链对象VirtualFilterChain
    
  • 调用VirtualFilterChain对象的doFilter方法
    
  • 先执行securityFilterChain过滤器链，后执行原生的Servlet过滤器链
    
  
  
• servlet处理：执行service方法
  
• servlet原生过滤器处理：执行chain.doFilter之后的代码
  
  
  • 执行到DelegatingFilterProxy的doFilter之后的方法
    
  • 调用FilterChainProxy的doFilter之后的方法
    
  • 调用VirtualFilterChain对象的doFilter之后的方法
    
  • 执行原生的Servlet过滤器链之后的方法
    
    
    
    
  
  

七、总结

• 向Servlet容器中注册springSecurityFilterChain（类型DelegatingFilterProxy）
  
• DelegatingFilterProxy代理的过滤器是springSecurityFilterChain（类型FilterChainProxy）
  
• springSecurityFilterChain中有securityFilterChain聚集
  
• DelegatingFilterProxy.doFilter方法会调用springSecurityFilterChain.doFilter方法
  
• springSecurityFilterChain.doFilter方法会创建虚拟过滤器VirtualFilterChain，并调用VirtualFilterChain.doFilter方法
  
• VirtualFilterChain.doFilter方法会先执行securityFilterChain，再执行后续的原生过滤器链
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。