Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。

由于我在学习和使用是基于 Servlet Applications 的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications 功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。

Spring Securty 在 Servlet Applications 中的应用

以下部分内容摘自官方文档

Servlet Filter Chain

提到 Servlet Filter Chain 应该都熟悉的吧,它们是一系列由 javax.servlet.Filter 实现类组成的一个链,大致图如下所示:

上图中Client发送Http请求,然后请求经过FilterChain,每个匹配的Filter都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。

Spring Security 的实现简单来说,就是往Servlet Filter Chain加了一个特殊的过滤器来处理认证或授权请求 。

DelegatingFilterProxy

Spring 提供一个javax.servlet.Filter的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。

在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行Filter0doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {

    // Lazily get Filter that was registered as a Spring Bean

    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0

    Filter delegate = getFilterBean(someBeanName);

    // delegate work to the Spring Bean

    delegate.doFilter(request, response);

}

FilterChainProxy

前面说过DelegatingFilterProxy只是一个代理 Filter,并没有真正的功能。

在 Spring Security 中还有一个 FilterChainProxy 类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。

你可能发现了上图中在FilterChainProxy部分还有个 SecurityFilterChain,它是一个接口只有两个方法:

  • matches用于匹配请求
  • getFilters是获取针对匹配请求的所有的 Filters

SecurityFilterChain 接口:

public interface SecurityFilterChain {

   boolean matches(HttpServletRequest request);

   List<Filter> getFilters();

}

SecurityFilterChain

SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对/app/api/**/web/api/**设置不同的认证规则。

总结

前面提到了四个重要的概念:

  • Servlet Filter Chain:Serverl过滤器链
  • DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
  • FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
  • SecurityFilterChain:包含一组Filter

总结下来可以用一张图表示:

根据上面图如Client访问/web/api/login就会匹配到SecurityFilterChain 0并执行其中的 Filters。

匹配过程我看了下FilterChainProxy的源码,大致流程和我理解的差不多,我把代码精简了一下以下:

public class FilterChainProxy extends GenericFilterBean {

	private List<SecurityFilterChain> filterChains;

	@Override

	public void doFilter(ServletRequest request, ServletResponse response,

			FilterChain chain) throws IOException, ServletException {

	    ...

        doFilterInternal(request, response, chain);

	   	...

	}

	private void doFilterInternal(ServletRequest request, ServletResponse response,

			FilterChain chain) throws IOException, ServletException {

	    ...

		List<Filter> filters = getFilters(fwRequest);

        ...

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);

		vfc.doFilter(fwRequest, fwResponse);

	}

	private List<Filter> getFilters(HttpServletRequest request) {

		for (SecurityFilterChain chain : filterChains) {

			if (chain.matches(request)) {

				return chain.getFilters();

			}

		}

		return null;

	}

	private static class VirtualFilterChain implements FilterChain {

		@Override

		public void doFilter(ServletRequest request, ServletResponse response)

				throws IOException, ServletException {

		...

	}

}
  • 首先在FilterChainProxy的doFilter方法会执行doFilterInternal方法
  • doFilterInternal 方法中调用 getFilters 获取过滤器列表
	private List<Filter> getFilters(HttpServletRequest request) {

		for (SecurityFilterChain chain : filterChains) {

			if (chain.matches(request)) {

				return chain.getFilters();

			}

		}

		return null;

	}
  • 在 getFilters 会调用SecurityFilterChain.matches匹配请求
  • 最后将得到的filters放在 VirtualFilterChain 中执行

最后

正常学习Spring Securty中,如有不对之处,谢谢指正。之篇文章主要讲述了 Spring SecurtyServlet Applications 集成部分,个人在学习的时候觉得 Spring Security 中配置是非常难懂,看了几遍还是没有完全理解,有很多 Builder、Configurer 转的头都晕了。。。,准备准备下一篇文章理一理 Spring Security 的配置。

推荐

学习资料分享

12 套 微服务、Spring Boot、Spring Cloud 核心技术资料,这是部分资料目录:

  • Spring Security 认证与授权
  • Spring Boot 项目实战(中小型互联网公司后台服务架构与运维架构)
  • Spring Boot 项目实战(企业权限管理项目))
  • Spring Cloud 微服务架构项目实战(分布式事务解决方案)
  • ...

公众号后台回复arch028获取资料::

最新文章

  1. com.sun.org.apache.xerces.internal.impl.io.MalformedByteSequenceException: Invalid byte 2 of 2-byte UTF-8 sequence报错解决方法
  2. zookeeper 相关学习资料
  3. UESTC 395 Dynamic Query System --Treap
  4. MongoDB搭建Replica Set Shard Cluster步骤
  5. linux安装pylab
  6. Java异常的栈轨迹fillInStackTrace和printStackTrace的用法
  7. Media Player框架
  8. Date.prototype.format,js下的时间格式处理函数
  9. archlinux初次接触遇到的问题
  10. word图片自动编号,前面加章节号
  11. Linux Shell 内建命令:冒号(:)
  12. asp.net core webapi 似乎未安装在 IIS 中承载 .NET Core 项目所需的 AspNetCoreModule。请尝试修复 Visual Studio 以纠正该问题。
  13. 2、Arx二次开发创建第一个应用程序
  14. display属性详解
  15. 一款好看的Sublime Text浅色主题:Ayu大作
  16. 3D屏保程序:汉诺塔
  17. 题解 UVA1184 【Air Raid】
  18. springboot中generator相关配置文件
  19. 项目启动报错:No suitable driver found for jdbc:oracle:thin:@192.168.7.146:1521:oracle
  20. 使用ODBC 数据库 ,运行程序时 出现 “遇到不适当的参数”

热门文章

  1. Redis调用lua生成验证码
  2. 【杂谈】SpringBoot为啥不用配置启动类
  3. SpringBoot 入门:项目属性配置
  4. 《Three.js 入门指南》3.1.1 - 基本几何形状 -圆形(CircleGeometry)
  5. SciPy - 正态性 与 KS 检验
  6. 1044 Shopping in Mars (25分)(二分查找)
  7. Flask 和Django
  8. PTA | 1020. 月饼 (25)
  9. Unity Shader and Effects Cookbook问题记录
  10. javascript入门 之 ztree (十 checkbox选中事件)