spring Security源码分析-Sevlet过滤器调用springSecurty过滤器的流程

本文主要是介绍spring Security源码分析-Sevlet过滤器调用springSecurty过滤器的流程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

承接上文

上一节 http://t.csdnimg.cn/ueSAl 最后讲到了过滤器收集完成注入容器,这节我们来讲Security的Filter是怎么被Spring调用的。
在这里插入图片描述
我们先看webSecurity的performBuild方法(),
在这里插入图片描述

也就是说,最终返回的过滤器对象实例有两种情况当我们配置debugEnabled为true返回的是条件配置型过滤器DebugFilter,否则返回代理过滤器FilterChainProxy。

步入正题

执行过滤器会调用FilterChainProxy的doFilter()方法,
在这里插入图片描述
blog.csdnimg.cn/direct/b1b18010acc341dbb08758650aedba99.png)
接着会调用FilterChainProxy的doFilterInternal方法
在这里插入图片描述
创建虚拟过滤器链VirtualFilterChain,VirtualFilterChain是FilterChainProxy的私有静态嵌套类,调用其doFilter方法,nextFilter.doFilter(request, response, this)传入this,为了实现循环回调doFilter方法。
将所有定义的过滤器执行完。
在这里插入图片描述
具体的security过滤器使用流程清楚了,现在我们只需找到FilterChainProxy在那里使用了即可。

SecurityFilterAutoConfiguration这个类发现是springboot集成的自动配置类,所以springboot会自动注入该实例
在这里插入图片描述
这个配置类会注入一个名为securityFilterChainRegistration类型为DelegatingFilterProxyRegistrationBean的bean,首先要springSecurityFilterChain存在
在这里插入图片描述

在这里插入图片描述
不错,springSecurityFilterChain就是WebSecurityConfigurer的springSecurityFilterChain方法返回的FIlter
在这里插入图片描述
DelegatingFilterProxyRegistrationBean构造会保存Filter的名字springSecurityFilterChain作为属性,
在这里插入图片描述
DelegatingFilterProxyRegistrationBean的getFilter方法会创建DelegatingFilterProxy并将springSecurityFilterChain作为参数传入
在这里插入图片描述
从这里我们可以看出 DelegatingFilterProxyRegistrationBean ,DelegatingFilterProxy,FilterChainProxy三者之间的关系。

现在我们首先找出使用DelegatingFilterProxyRegistrationBean 的地方,
通过调试终于找到了线索,在TomcatStarter的onStartup方法()
在这里插入图片描述
initializers集合其中包含ServletWebServerApplicationContext,调用其onStartup方法
在这里插入图片描述
可以看出initializer是lambda表达式,这里的initializer可以理解使用的是 initializer = ServletWebServerApplicationContext.getSelfInitializer()
在这里插入图片描述selfInitialize方法
在这里插入图片描述
这里拓展一下lambda的知识
在这里插入图片描述
所以可以理解为
ServletContextInitializer initializer = (servletContext) -> return servletWebServerApplicationContext.selfInitialize(servletContext);

因此调用initializer.onStartup(servletContext)实际调用的是ServletWebServerApplicationContext的selfInitialize方法。
在这里插入图片描述
查看getServletContextInitializerBeans()
在这里插入图片描述
查看ServletContextInitializerBeans构造函数
在这里插入图片描述
接着看addServletContextInitializerBeans方法
在这里插入图片描述
接着看addServletContextInitializerBean方法
在这里插入图片描述
这里注意

String source = ((DelegatingFilterProxyRegistrationBean) initializer).getTargetBeanName();

前面在生成DelegatingFilterProxyRegistrationBean的时候targetBeanName传的是我们FilterChainProxy的bean名称springSecurityFilterChain
接着看addServletContextInitializerBean方法
在这里插入图片描述
调用this.initializers将DelegatingFilterProxyRegistrationBean实例放入ServletContextInitializerBeans实例的initializers集合属性中,ServletContextInitializerBeans是继承于AbstractCollection,并且实现了迭代器
在这里插入图片描述
sortedList和initializers有什么关系呢?我们再回到ServletContextInitializerBeans实例的ServletContextInitializerBeans方法
在这里插入图片描述
他是先将DelegatingFilterProxyRegistrationBean放入initializers,然后再排序赋值给sortedList。
好的回到ServletWebServerApplicationContextd的selfInitialize方法在这里插入图片描述

for (ServletContextInitializer beans : getServletContextInitializerBeans()) {beans.onStartup(servletContext);}

因此上述代码迭代的是sortedList
查看beans.onStartup(servletContext);这里的onStartup是属于RegistrationBean类
在这里插入图片描述
继续查看register(description, servletContext);这里的register方法属于DynamicRegistrationBean类
在这里插入图片描述
继续看D registration = addRegistration(description, servletContext);这里的 addRegistration方法属于AbstractFilterRegistrationBean类
在这里插入图片描述Filter filter = getFilter();
Filter filter = getFilter();是否熟悉,不错他就是DelegatingFilterProxyRegistrationBean的getFilter方法
在这里插入图片描述
在这里插入图片描述DelegatingFilterProxy是实现Filter接口,被注册到servletContext容器,都需就走Spring过滤器执行流程
在这里插入图片描述
因此会调用DelegatingFilterProxy的doFilter方法
在这里插入图片描述
我们需要关心在这里插入图片描述delegateToUse = initDelegate(wac);
在这里插入图片描述
还记得DelegatingFilterProxyRegistrationBean调用getFilter()构造DelegatingFilterProxy时传入的名称就是我们FilterChainProxy的bean名称springSecurityFilterChain,
因此

Filter delegate = wac.getBean(targetBeanName, Filter.class);

拿到的就是FilterChainProxy实例,
在这里插入图片描述继续看invokeDelegate(delegateToUse, request, response, filterChain);
在这里插入图片描述
delegate传入的是FilterChainProxy,因此这里的doFilter方法属于FilterChainProxy类

在这里插入图片描述
继续看doFilterInternal方法

在这里插入图片描述
继续看vfc.doFilter(fwRequest, fwResponse);
在这里插入图片描述
就到了我们刚开始的代码位置。

大致流程就是:
1.将webSecurity从httpSecurity中收集的security的过滤器封装成beab名称为springSecurityFilterChain的FilterChainProxy对象,注入spring容器
2.DelegatingFilterProxyRegistrationBean调用getFilter()方法,构造DelegatingFilterProxy实例,DelegatingFilterProxy类继承Filter,因此会被注入到servlet容器,
3.sevlet过滤器拦截执行DelegatingFilterProxy过滤器的doFilter方法,通过springSecurityFilterChain名称查找FilterChainProxy实例进行循环调用,执行Security的过滤器
4.Security的过滤器执行完成,调用chain.doFilter(fwRequest, fwResponse)继续执行serlvet的下一个过滤器

这篇关于spring Security源码分析-Sevlet过滤器调用springSecurty过滤器的流程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/610322

相关文章

Spring Boot集成Druid实现数据源管理与监控的详细步骤

《SpringBoot集成Druid实现数据源管理与监控的详细步骤》本文介绍如何在SpringBoot项目中集成Druid数据库连接池,包括环境搭建、Maven依赖配置、SpringBoot配置文件... 目录1. 引言1.1 环境准备1.2 Druid介绍2. 配置Druid连接池3. 查看Druid监控

Java中读取YAML文件配置信息常见问题及解决方法

《Java中读取YAML文件配置信息常见问题及解决方法》:本文主要介绍Java中读取YAML文件配置信息常见问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录1 使用Spring Boot的@ConfigurationProperties2. 使用@Valu

创建Java keystore文件的完整指南及详细步骤

《创建Javakeystore文件的完整指南及详细步骤》本文详解Java中keystore的创建与配置,涵盖私钥管理、自签名与CA证书生成、SSL/TLS应用,强调安全存储及验证机制,确保通信加密和... 目录1. 秘密键(私钥)的理解与管理私钥的定义与重要性私钥的管理策略私钥的生成与存储2. 证书的创建与

浅析Spring如何控制Bean的加载顺序

《浅析Spring如何控制Bean的加载顺序》在大多数情况下,我们不需要手动控制Bean的加载顺序,因为Spring的IoC容器足够智能,但在某些特殊场景下,这种隐式的依赖关系可能不存在,下面我们就来... 目录核心原则:依赖驱动加载手动控制 Bean 加载顺序的方法方法 1:使用@DependsOn(最直

SpringBoot中如何使用Assert进行断言校验

《SpringBoot中如何使用Assert进行断言校验》Java提供了内置的assert机制,而Spring框架也提供了更强大的Assert工具类来帮助开发者进行参数校验和状态检查,下... 目录前言一、Java 原生assert简介1.1 使用方式1.2 示例代码1.3 优缺点分析二、Spring Fr

Android kotlin中 Channel 和 Flow 的区别和选择使用场景分析

《Androidkotlin中Channel和Flow的区别和选择使用场景分析》Kotlin协程中,Flow是冷数据流,按需触发,适合响应式数据处理;Channel是热数据流,持续发送,支持... 目录一、基本概念界定FlowChannel二、核心特性对比数据生产触发条件生产与消费的关系背压处理机制生命周期

java使用protobuf-maven-plugin的插件编译proto文件详解

《java使用protobuf-maven-plugin的插件编译proto文件详解》:本文主要介绍java使用protobuf-maven-plugin的插件编译proto文件,具有很好的参考价... 目录protobuf文件作为数据传输和存储的协议主要介绍在Java使用maven编译proto文件的插件

Java中的数组与集合基本用法详解

《Java中的数组与集合基本用法详解》本文介绍了Java数组和集合框架的基础知识,数组部分涵盖了一维、二维及多维数组的声明、初始化、访问与遍历方法,以及Arrays类的常用操作,对Java数组与集合相... 目录一、Java数组基础1.1 数组结构概述1.2 一维数组1.2.1 声明与初始化1.2.2 访问

Javaee多线程之进程和线程之间的区别和联系(最新整理)

《Javaee多线程之进程和线程之间的区别和联系(最新整理)》进程是资源分配单位,线程是调度执行单位,共享资源更高效,创建线程五种方式:继承Thread、Runnable接口、匿名类、lambda,r... 目录进程和线程进程线程进程和线程的区别创建线程的五种写法继承Thread,重写run实现Runnab

Java 方法重载Overload常见误区及注意事项

《Java方法重载Overload常见误区及注意事项》Java方法重载允许同一类中同名方法通过参数类型、数量、顺序差异实现功能扩展,提升代码灵活性,核心条件为参数列表不同,不涉及返回类型、访问修饰符... 目录Java 方法重载(Overload)详解一、方法重载的核心条件二、构成方法重载的具体情况三、不构