spring Security源码分析-Sevlet过滤器调用springSecurty过滤器的流程

本文主要是介绍spring Security源码分析-Sevlet过滤器调用springSecurty过滤器的流程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

承接上文

上一节 http://t.csdnimg.cn/ueSAl 最后讲到了过滤器收集完成注入容器,这节我们来讲Security的Filter是怎么被Spring调用的。
在这里插入图片描述
我们先看webSecurity的performBuild方法(),
在这里插入图片描述

也就是说,最终返回的过滤器对象实例有两种情况当我们配置debugEnabled为true返回的是条件配置型过滤器DebugFilter,否则返回代理过滤器FilterChainProxy。

步入正题

执行过滤器会调用FilterChainProxy的doFilter()方法,
在这里插入图片描述
blog.csdnimg.cn/direct/b1b18010acc341dbb08758650aedba99.png)
接着会调用FilterChainProxy的doFilterInternal方法
在这里插入图片描述
创建虚拟过滤器链VirtualFilterChain,VirtualFilterChain是FilterChainProxy的私有静态嵌套类,调用其doFilter方法,nextFilter.doFilter(request, response, this)传入this,为了实现循环回调doFilter方法。
将所有定义的过滤器执行完。
在这里插入图片描述
具体的security过滤器使用流程清楚了,现在我们只需找到FilterChainProxy在那里使用了即可。

SecurityFilterAutoConfiguration这个类发现是springboot集成的自动配置类,所以springboot会自动注入该实例
在这里插入图片描述
这个配置类会注入一个名为securityFilterChainRegistration类型为DelegatingFilterProxyRegistrationBean的bean,首先要springSecurityFilterChain存在
在这里插入图片描述

在这里插入图片描述
不错,springSecurityFilterChain就是WebSecurityConfigurer的springSecurityFilterChain方法返回的FIlter
在这里插入图片描述
DelegatingFilterProxyRegistrationBean构造会保存Filter的名字springSecurityFilterChain作为属性,
在这里插入图片描述
DelegatingFilterProxyRegistrationBean的getFilter方法会创建DelegatingFilterProxy并将springSecurityFilterChain作为参数传入
在这里插入图片描述
从这里我们可以看出 DelegatingFilterProxyRegistrationBean ,DelegatingFilterProxy,FilterChainProxy三者之间的关系。

现在我们首先找出使用DelegatingFilterProxyRegistrationBean 的地方,
通过调试终于找到了线索,在TomcatStarter的onStartup方法()
在这里插入图片描述
initializers集合其中包含ServletWebServerApplicationContext,调用其onStartup方法
在这里插入图片描述
可以看出initializer是lambda表达式,这里的initializer可以理解使用的是 initializer = ServletWebServerApplicationContext.getSelfInitializer()
在这里插入图片描述selfInitialize方法
在这里插入图片描述
这里拓展一下lambda的知识
在这里插入图片描述
所以可以理解为
ServletContextInitializer initializer = (servletContext) -> return servletWebServerApplicationContext.selfInitialize(servletContext);

因此调用initializer.onStartup(servletContext)实际调用的是ServletWebServerApplicationContext的selfInitialize方法。
在这里插入图片描述
查看getServletContextInitializerBeans()
在这里插入图片描述
查看ServletContextInitializerBeans构造函数
在这里插入图片描述
接着看addServletContextInitializerBeans方法
在这里插入图片描述
接着看addServletContextInitializerBean方法
在这里插入图片描述
这里注意

String source = ((DelegatingFilterProxyRegistrationBean) initializer).getTargetBeanName();

前面在生成DelegatingFilterProxyRegistrationBean的时候targetBeanName传的是我们FilterChainProxy的bean名称springSecurityFilterChain
接着看addServletContextInitializerBean方法
在这里插入图片描述
调用this.initializers将DelegatingFilterProxyRegistrationBean实例放入ServletContextInitializerBeans实例的initializers集合属性中,ServletContextInitializerBeans是继承于AbstractCollection,并且实现了迭代器
在这里插入图片描述
sortedList和initializers有什么关系呢?我们再回到ServletContextInitializerBeans实例的ServletContextInitializerBeans方法
在这里插入图片描述
他是先将DelegatingFilterProxyRegistrationBean放入initializers,然后再排序赋值给sortedList。
好的回到ServletWebServerApplicationContextd的selfInitialize方法在这里插入图片描述

for (ServletContextInitializer beans : getServletContextInitializerBeans()) {beans.onStartup(servletContext);}

因此上述代码迭代的是sortedList
查看beans.onStartup(servletContext);这里的onStartup是属于RegistrationBean类
在这里插入图片描述
继续查看register(description, servletContext);这里的register方法属于DynamicRegistrationBean类
在这里插入图片描述
继续看D registration = addRegistration(description, servletContext);这里的 addRegistration方法属于AbstractFilterRegistrationBean类
在这里插入图片描述Filter filter = getFilter();
Filter filter = getFilter();是否熟悉,不错他就是DelegatingFilterProxyRegistrationBean的getFilter方法
在这里插入图片描述
在这里插入图片描述DelegatingFilterProxy是实现Filter接口,被注册到servletContext容器,都需就走Spring过滤器执行流程
在这里插入图片描述
因此会调用DelegatingFilterProxy的doFilter方法
在这里插入图片描述
我们需要关心在这里插入图片描述delegateToUse = initDelegate(wac);
在这里插入图片描述
还记得DelegatingFilterProxyRegistrationBean调用getFilter()构造DelegatingFilterProxy时传入的名称就是我们FilterChainProxy的bean名称springSecurityFilterChain,
因此

Filter delegate = wac.getBean(targetBeanName, Filter.class);

拿到的就是FilterChainProxy实例,
在这里插入图片描述继续看invokeDelegate(delegateToUse, request, response, filterChain);
在这里插入图片描述
delegate传入的是FilterChainProxy,因此这里的doFilter方法属于FilterChainProxy类

在这里插入图片描述
继续看doFilterInternal方法

在这里插入图片描述
继续看vfc.doFilter(fwRequest, fwResponse);
在这里插入图片描述
就到了我们刚开始的代码位置。

大致流程就是:
1.将webSecurity从httpSecurity中收集的security的过滤器封装成beab名称为springSecurityFilterChain的FilterChainProxy对象,注入spring容器
2.DelegatingFilterProxyRegistrationBean调用getFilter()方法,构造DelegatingFilterProxy实例,DelegatingFilterProxy类继承Filter,因此会被注入到servlet容器,
3.sevlet过滤器拦截执行DelegatingFilterProxy过滤器的doFilter方法,通过springSecurityFilterChain名称查找FilterChainProxy实例进行循环调用,执行Security的过滤器
4.Security的过滤器执行完成,调用chain.doFilter(fwRequest, fwResponse)继续执行serlvet的下一个过滤器

这篇关于spring Security源码分析-Sevlet过滤器调用springSecurty过滤器的流程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/610322

相关文章

Spring Security常见问题及解决方案

《SpringSecurity常见问题及解决方案》SpringSecurity是Spring生态的安全框架,提供认证、授权及攻击防护,支持JWT、OAuth2集成,适用于保护Spring应用,需配置... 目录Spring Security 简介Spring Security 核心概念1. ​Securit

SpringBoot+EasyPOI轻松实现Excel和Word导出PDF

《SpringBoot+EasyPOI轻松实现Excel和Word导出PDF》在企业级开发中,将Excel和Word文档导出为PDF是常见需求,本文将结合​​EasyPOI和​​Aspose系列工具实... 目录一、环境准备与依赖配置1.1 方案选型1.2 依赖配置(商业库方案)二、Excel 导出 PDF

SpringBoot改造MCP服务器的详细说明(StreamableHTTP 类型)

《SpringBoot改造MCP服务器的详细说明(StreamableHTTP类型)》本文介绍了SpringBoot如何实现MCPStreamableHTTP服务器,并且使用CherryStudio... 目录SpringBoot改造MCP服务器(StreamableHTTP)1 项目说明2 使用说明2.1

spring中的@MapperScan注解属性解析

《spring中的@MapperScan注解属性解析》@MapperScan是Spring集成MyBatis时自动扫描Mapper接口的注解,简化配置并支持多数据源,通过属性控制扫描路径和过滤条件,利... 目录一、核心功能与作用二、注解属性解析三、底层实现原理四、使用场景与最佳实践五、注意事项与常见问题六

Spring的RedisTemplate的json反序列泛型丢失问题解决

《Spring的RedisTemplate的json反序列泛型丢失问题解决》本文主要介绍了SpringRedisTemplate中使用JSON序列化时泛型信息丢失的问题及其提出三种解决方案,可以根据性... 目录背景解决方案方案一方案二方案三总结背景在使用RedisTemplate操作redis时我们针对

Java中Arrays类和Collections类常用方法示例详解

《Java中Arrays类和Collections类常用方法示例详解》本文总结了Java中Arrays和Collections类的常用方法,涵盖数组填充、排序、搜索、复制、列表转换等操作,帮助开发者高... 目录Arrays.fill()相关用法Arrays.toString()Arrays.sort()A

Spring Boot Maven 插件如何构建可执行 JAR 的核心配置

《SpringBootMaven插件如何构建可执行JAR的核心配置》SpringBoot核心Maven插件,用于生成可执行JAR/WAR,内置服务器简化部署,支持热部署、多环境配置及依赖管理... 目录前言一、插件的核心功能与目标1.1 插件的定位1.2 插件的 Goals(目标)1.3 插件定位1.4 核

如何使用Lombok进行spring 注入

《如何使用Lombok进行spring注入》本文介绍如何用Lombok简化Spring注入,推荐优先使用setter注入,通过注解自动生成getter/setter及构造器,减少冗余代码,提升开发效... Lombok为了开发环境简化代码,好处不用多说。spring 注入方式为2种,构造器注入和setter

使用zip4j实现Java中的ZIP文件加密压缩的操作方法

《使用zip4j实现Java中的ZIP文件加密压缩的操作方法》本文介绍如何通过Maven集成zip4j1.3.2库创建带密码保护的ZIP文件,涵盖依赖配置、代码示例及加密原理,确保数据安全性,感兴趣的... 目录1. zip4j库介绍和版本1.1 zip4j库概述1.2 zip4j的版本演变1.3 zip4

Java堆转储文件之1.6G大文件处理完整指南

《Java堆转储文件之1.6G大文件处理完整指南》堆转储文件是优化、分析内存消耗的重要工具,:本文主要介绍Java堆转储文件之1.6G大文件处理的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言文件为什么这么大?如何处理这个文件?分析文件内容(推荐)删除文件(如果不需要)查看错误来源如何避