Spring Security的過濾器鏈機(jī)制

更新時間：2022年08月09日 17:11:21 作者：阿提說說

過濾器作為 ?Spring Security? 的重中之重，我們需要了解其中的機(jī)制，這樣我們才能根據(jù)業(yè)務(wù)需求的變化進(jìn)行定制，今天來探討一下 ?Spring Security? 中的過濾器鏈機(jī)制

前言

在“碼農(nóng)小胖哥”的文章中提到一個關(guān)鍵的過濾器鏈SecurityFilterChain，當(dāng)一個請求 HttpServletRequest 進(jìn)入 SecurityFilterChain 時，會通過 matches 方法來確定是否滿足條件進(jìn)入過濾器鏈，進(jìn)而決定請求應(yīng)該執(zhí)行哪些過濾器。下面我們自己來梳理一遍。

請求執(zhí)行鏈路

我們以之前的文章為例，使用@Configuration配置了一個SecurityFilterChain Bean，能在Spring Boot 啟動的時候創(chuàng)建SecurityFilterChain Bean到Sping。

@Configuration
public class OAuth2LoginConfig 
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests(authorize -> authorize
                        .anyRequest().authenticated()
                )
                .oauth2Login(withDefaults());
        return http.build();
    }

這是官網(wǎng)的配置，說明任何請求都可以通過OAuth2來登錄。上面說過任何請求都會經(jīng)過SecurityFilterChain 的matches方法，因此我們可以在SecurityFilterChain 的唯一實(shí)現(xiàn)類DefaultSecurityFilterChain的matches方法中打上斷點(diǎn)（圖1），這樣當(dāng)進(jìn)入斷點(diǎn)的時候，可以直觀的從IDE中看到調(diào)用棧，這是調(diào)式源碼的時候一個非常有用的方法。

在這里插入圖片描述

圖1

啟動應(yīng)用，請求一個接口localhost:8080/hello,進(jìn)入端點(diǎn)后的調(diào)用棧如圖：

在這里插入圖片描述

圖2

圖中箭頭所指的DelegatingFilterProxy為Spring提供的一個標(biāo)準(zhǔn)的Servlet Filter代理，在xml的Spring時代，為了能使用Spring Security，需要在web.xml中添加該過濾器，而在Spring Boot中，Spring Boot的自動配置已經(jīng)幫我們搞定，具體可見SecurityFilterAutoConfiguration。

箭頭前面一部分是其他的幾個Servlet Filter，我們不做了解。

箭頭后面的部分，即DelegatingFilterProxy之后，依次執(zhí)行了FilterChainProxy和DefaultSecurityFilterChain

FilterChainProxy是一個過濾器鏈代理類，內(nèi)部保存了過濾器鏈列表，而過濾器鏈內(nèi)部又具有各種過濾器，如圖3。
DefaultSecurityFilterChain是SecurityFilterChain的默認(rèn)實(shí)現(xiàn)

到此為止，我們的第一個問題“請求執(zhí)行鏈路”基本已經(jīng)清晰了，即DelegatingFilterProxy >> FilterChainProxy >> SecurityFilterChain >> Filter

在這里插入圖片描述

圖3

到此這篇關(guān)于Spring Security的過濾器鏈機(jī)制的文章就介紹到這了,更多相關(guān)Spring Security過濾器鏈內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

相關(guān)文章

Java多線程編程中易混淆的3個關(guān)鍵字總結(jié)
這篇文章主要介紹了Java多線程編程中易混淆的3個關(guān)鍵字總結(jié),本文總結(jié)了、volatile、ThreadLocal、synchronized等3個關(guān)鍵字,對這幾個容易混淆概念的關(guān)鍵字分別做了講解,需要的朋友可以參考下
2015-03-03
SpringBoot 分布式驗證碼登錄方案示例詳解
為了防止驗證系統(tǒng)被暴力破解,很多系統(tǒng)都增加了驗證碼效驗,比較常見的就是圖片二維碼,業(yè)內(nèi)比較安全的是短信驗證碼,當(dāng)然還有一些拼圖驗證碼,加入人工智能的二維碼等等,我們今天的主題就是前后端分離的圖片二維碼登錄方案,感興趣的朋友一起看看吧
2023-10-10
SpringBoot給類進(jìn)行賦初值的四種方式
這篇文章主要介紹了springboot給類進(jìn)行賦初值的四種方式,并通過代碼示例給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作有一定的幫助,需要的朋友可以參考下
2024-08-08
Spring之@DependsOn注解詳細(xì)解析
這篇文章主要介紹了Spring之@DependsOn注解詳細(xì)解析,@DependsOn注解是Spring中提供的一個指定Spring創(chuàng)建Bean的依賴順序的注解,需要的朋友可以參考下
2024-01-01
Java 函數(shù)式編程要點(diǎn)總結(jié)
函數(shù)式編程并不是Java新提出的概念，其與指令編程相比，強(qiáng)調(diào)函數(shù)的計算比指令的計算更重要；與過程化編程相比，其中函數(shù)的計算可以隨時調(diào)用。Java8新引入函數(shù)式編程方式，大大的提高了編碼效率。本文將對涉及的對象等進(jìn)行統(tǒng)一的學(xué)習(xí)及記錄。
2021-06-06
JDK動態(tài)代理之WeakCache緩存的實(shí)現(xiàn)機(jī)制
這篇文章主要介紹了JDK動態(tài)代理之WeakCache緩存的實(shí)現(xiàn)機(jī)制
2018-02-02
Spring Boot 集成Shiro的多realm實(shí)現(xiàn)以及shiro基本入門教程
這篇文章主要介紹了Spring Boot 集成Shiro的多realm實(shí)現(xiàn)以及shiro基本入門,本文給大家介紹的非常詳細(xì)，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-10-10
Java設(shè)計模式之單例模式簡析
這篇文章主要介紹了Java設(shè)計模式之單例模式簡析,單例模式是常用的設(shè)計模式,在我們的系統(tǒng)乃至在框架中都普遍被用到,單例模式就是使一個類有且只有一個實(shí)例用于外部訪問,這樣大大的節(jié)省了系統(tǒng)的資源,需要的朋友可以參考下
2023-12-12
Spring Cloud實(shí)現(xiàn)微服務(wù)調(diào)用的負(fù)載均衡(詳解)
負(fù)載均衡就是將負(fù)載（工作任務(wù),訪問請求）進(jìn)行分?jǐn)偟蕉鄠€操作單元（服務(wù)器,組件）上進(jìn)行執(zhí)行,根據(jù)負(fù)載均衡發(fā)生位置的不同,一般分為服務(wù)端負(fù)載均衡和客戶端負(fù)載均衡,本文給大家介紹Spring Cloud實(shí)現(xiàn)微服務(wù)調(diào)用的負(fù)載均衡的相關(guān)知識,感興趣的朋友一起看看吧
2024-03-03
Java中動態(tài)規(guī)則的實(shí)現(xiàn)方式示例詳解
這篇文章主要介紹了Java中動態(tài)規(guī)則的實(shí)現(xiàn)方式,本文通過實(shí)例代碼給大家介紹的非常詳細(xì)，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-08-08