Spring Security 是如何在 Servlet 应用中执行的?
2021-02-06 13:16
标签:erp 公众号 build limit vat 核心 nsis 框架 没有 Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。 由于我在学习和使用是基于 以下部分内容摘自官方文档 提到 上图中Client发送Http请求,然后请求经过 Spring Security 的实现简单来说,就是往 Spring 提供一个 在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 前面说过 你可能发现了上图中在 SecurityFilterChain 接口: SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对 前面提到了四个重要的概念: 总结下来可以用一张图表示: 根据上面图如 匹配过程我看了下 正常学习Spring Securty中,如有不对之处,谢谢指正。之篇文章主要讲述了 12 套 微服务、Spring Boot、Spring Cloud 核心技术资料,这是部分资料目录: 公众号后台回复 Spring Security 是如何在 Servlet 应用中执行的? 标签:erp 公众号 build limit vat 核心 nsis 框架 没有 原文地址:https://www.cnblogs.com/xwgblog/p/12782001.htmlServlet Applications
的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications
功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。Spring Securty 在
Servlet Applications
中的应用Servlet Filter Chain
Servlet Filter Chain
应该都熟悉的吧,它们是一系列由 javax.servlet.Filter
实现类组成的一个链,大致图如下所示:FilterChain
,每个匹配的Filter
都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。Servlet Filter Chain
加了一个特殊的过滤器来处理认证或授权请求 。DelegatingFilterProxy
javax.servlet.Filter
的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。Filter0
并执行Filter0
的doFilter
方法:public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
// Lazily get Filter that was registered as a Spring Bean
// For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
Filter delegate = getFilterBean(someBeanName);
// delegate work to the Spring Bean
delegate.doFilter(request, response);
}
FilterChainProxy
DelegatingFilterProxy
只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy
类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。FilterChainProxy
部分还有个 SecurityFilterChain
,它是一个接口只有两个方法:
matches
用于匹配请求getFilters
是获取针对匹配请求的所有的 Filterspublic interface SecurityFilterChain {
boolean matches(HttpServletRequest request);
List
SecurityFilterChain
/app/api/**
与/web/api/**
设置不同的认证规则。总结
Client
访问/web/api/login
就会匹配到SecurityFilterChain 0
并执行其中的 Filters。FilterChainProxy
的源码,大致流程和我理解的差不多,我把代码精简了一下以下:public class FilterChainProxy extends GenericFilterBean {
private List
FilterChainProxy
的doFilter方法会执行doFilterInternal
方法getFilters
获取过滤器列表 private List
SecurityFilterChain.matches
匹配请求VirtualFilterChain
中执行最后
Spring Securty
与 Servlet Applications
集成部分,个人在学习的时候觉得 Spring Security 中配置是非常难懂,看了几遍还是没有完全理解,有很多 Builder、Configurer 转的头都晕了。。。,准备准备下一篇文章理一理 Spring Security 的配置。推荐
学习资料分享
arch028
获取资料::
文章标题:Spring Security 是如何在 Servlet 应用中执行的?
文章链接:http://soscw.com/essay/51738.html