脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Spring Security Servlet

Spring Security如何在Servlet中执行

 更新时间:2020年04月28日 15:14:32   作者:架构文摘  
这篇文章主要介绍了Spring Security如何在Servlet中执行,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。

由于我在学习和使用是基于 Servlet Applications 的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications 功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。

Spring Securty 在 Servlet Applications 中的应用

以下部分内容摘自官方文档

Servlet Filter Chain

提到 Servlet Filter Chain 应该都熟悉的吧,它们是一系列由 javax.servlet.Filter 实现类组成的一个链,大致图如下所示:

上图中Client发送Http请求,然后请求经过FilterChain,每个匹配的Filter都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。

Spring Security 的实现简单来说,就是往Servlet Filter Chain加了一个特殊的过滤器来处理认证或授权请求 。

DelegatingFilterProxy

Spring 提供一个javax.servlet.Filter的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。

在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行Filter0的doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
  // Lazily get Filter that was registered as a Spring Bean
  // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
  Filter delegate = getFilterBean(someBeanName);
  // delegate work to the Spring Bean
  delegate.doFilter(request, response);
}

FilterChainProxy

前面说过DelegatingFilterProxy只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy 类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。

你可能发现了上图中在FilterChainProxy部分还有个 SecurityFilterChain,它是一个接口只有两个方法:

  • matches用于匹配请求
  • getFilters是获取针对匹配请求的所有的 Filters

SecurityFilterChain 接口:

public interface SecurityFilterChain {
  boolean matches(HttpServletRequest request);
  List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对/app/api/**与/web/api/**设置不同的认证规则。

总结

前面提到了四个重要的概念:

  • Servlet Filter Chain:Serverl过滤器链
  • DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
  • FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
  • SecurityFilterChain:包含一组Filter

总结下来可以用一张图表示:

根据上面图如Client访问/web/api/login就会匹配到SecurityFilterChain 0并执行其中的 Filters。

匹配过程我看了下FilterChainProxy的源码,大致流程和我理解的差不多,我把代码精简了一下以下:

public class FilterChainProxy extends GenericFilterBean {
	private List<SecurityFilterChain> filterChains;
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	  ...
    doFilterInternal(request, response, chain);
	  	...
	}
	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	  ...
		List<Filter> filters = getFilters(fwRequest);
    ...
		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}
	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}
 
	private static class VirtualFilterChain implements FilterChain {
	
		@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
		
		...
	}
}

首先在FilterChainProxy的doFilter方法会执行doFilterInternal方法

doFilterInternal 方法中调用 getFilters 获取过滤器列表

	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}
		return null;
	}

在 getFilters 会调用SecurityFilterChain.matches匹配请求

最后将得到的filters放在 VirtualFilterChain 中执行最后

这篇文章主要讲述了 Spring Securty 与 Servlet Applications 集成部分

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • MybatisPlus字段自动填充失效,填充值为null的解决方案

    MybatisPlus字段自动填充失效,填充值为null的解决方案

    这篇文章主要介绍了MybatisPlus字段自动填充失效,填充值为null的解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-01-01
  • SpringBoot集成POI导出Execl表格之统一工具类

    SpringBoot集成POI导出Execl表格之统一工具类

    这篇文章主要为大家详细介绍了SpringBoot集成POI导出Execl表格之统一工具类,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-09-09
  • 基于Gradle搭建Spring 5.3.13-release源码阅读环境的详细流程

    基于Gradle搭建Spring 5.3.13-release源码阅读环境的详细流程

    这篇文章主要介绍了基于Gradle搭建Spring 5.3.13-release源码阅读环境,首先安装jdk、gradle等一系列必要操作,本文通过实例代码相结合给大家讲解的非常详细,需要的朋友可以参考下
    2022-04-04
  • Java数据结构之红黑树的原理及实现

    Java数据结构之红黑树的原理及实现

    红黑树是一种特殊的二叉查找树,每个结点都要储存位表示结点的颜色,或红或黑。本文将通过示例为大家详细讲讲红黑树的原理及Java实现,感兴趣的可以了解一下
    2022-09-09
  • SpringBoot中RabbitMQ集群的搭建详解

    SpringBoot中RabbitMQ集群的搭建详解

    单个的 RabbitMQ 肯定无法实现高可用,要想高可用,还得上集群。这篇文章主要介绍了SpringBoot中RabbitMQ集群的两种模式的搭建:普通集群搭建和镜像集群搭建,需要的朋友可以参考一下
    2021-12-12
  • SpringBoot2.动态@Value的实现方式

    SpringBoot2.动态@Value的实现方式

    这篇文章主要介绍了SpringBoot2.动态@Value的实现方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-07-07
  • 浅谈Storm在zookeeper上的目录结构

    浅谈Storm在zookeeper上的目录结构

    这篇文章主要介绍了浅谈Storm在zookeeper上的目录结构的相关内容,涉及storm使用zookeeper的操作以及详细结构图,具有一定参考价值,需要的朋友可以了解下。
    2017-10-10
  • SpringBoot项目改为SpringCloud项目使用nacos作为注册中心的方法

    SpringBoot项目改为SpringCloud项目使用nacos作为注册中心的方法

    本文主要介绍了SpringBoot项目改为SpringCloud项目使用nacos作为注册中心,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-04-04
  • java编码IDEA主题推荐

    java编码IDEA主题推荐

    在这篇文章中,我精选了几个比较是和 Java 编码的 IDEA 主题供小伙伴们选择。另外,我自己用的是 One Dark theme 这款,有需要的朋友可以借鉴参考下,希望大家喜欢
    2022-01-01
  • SpringBoot实现WEB的常用功能案例详解

    SpringBoot实现WEB的常用功能案例详解

    这篇文章主要介绍了SpringBoot实现WEB的常用功能,本文将对Spring Boot实现Web开发中涉及的三大组件Servlet、Filter、Listener以及文件上传下载功能以及打包部署进行实现,需要的朋友可以参考下
    2022-04-04

最新评论