Spring Security过滤器链体系的实例详解

更新时间：2022年02月11日 08:38:04 作者：码农小胖哥

这篇文章主要介绍了Spring Security过滤器链体系,通过思维导图可以很好的帮助大家理解配置类的相关知识，结合实例代码给大家介绍的非常详细，需要的朋友可以参考下

以下摘自胖哥分享的 2022开工福利教程。

在学习Spring Security的时候你有没有下面这两个疑问：

Spring Security的登录是怎么配置的？
Spring Security的访问控制是什么机制？

SpringBootWebSecurityConfiguration

上面两个疑问的答案就在配置类SpringBootWebSecurityConfiguration中。你可以按照下面这个思维导图去理解这个自动配置：

SpringBootWebSecurityConfiguration为Spring Boot应用提供了一套默认的Spring Security配置。

@Bean
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
		http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();
		return http.build();
	}

这里的配置为：所有的请求都必须是认证用户发起的，同时开启表单登录功能以及Http Basic Authentication认证功能。我们访问/foo/bar时需要登录认证并且能够进行表单登录就是这个配置起作用了。这个是我们日常开发需要自定义的，在HttpSecurity相关的文章中胖哥也进行了讲解。这个SecurityFilterChain到底是什么呢？

SecurityFilterChain

从上面看得出HttpSecurity就是一个构建类，它的使命就是构建出一个SecurityFilterChain：

public interface SecurityFilterChain {
   //  当前请求是否匹配
	boolean matches(HttpServletRequest request);
    // 一揽子过滤器组成的有序过滤器链
	List<Filter> getFilters();
}

当一个请求HttpServletRequest进入SecurityFilterChain时，会通过matches方法来确定是否满足条件进入过滤器链。就好比你是VIP走的是VIP通道，享受的是VIP的一系列待遇；你是普通用户，就走普通用户的通道并享受普通用户的待遇。

不管用户是哪种角色，都走的是一个过滤器链，一个应用中存在1-n个SecurityFilterChain。那谁来管理多个SecurityFilterChain呢？

记住这个公式HttpSecurity ->SecurityFilterChain。

FilterChainProxy

FilterChainProxy是一个GenericFilterBean（即使Servlet Filter又是Spring Bean），它管理了所有注入Spring IoC容器的SecurityFilterChain。在我刚接触Spring Security的时候是这样配置FilterChainProxy的：

 <bean id="myfilterChainProxy" class="org.springframework.security.web.FilterChainProxy">
        <constructor-arg>
            <util:list>
                <security:filter-chain pattern="/do/not/filter*" filters="none"/>
                <security:filter-chain pattern="/**" filters="filter1,filter2,filter3"/>
            </util:list>
        </constructor-arg>
    </bean>

根据不同的请求路径匹配走不同的SecurityFilterChain。下面是示意图：

后面还会对接触这个类，现在你只需要明白上面这个图就行了。

请注意：在同一过滤器链中不建议有多个FilterChainProxy实例，而且不应将其作为单纯的过滤器使用，它只应该承担管理SecurityFilterChain的功能。

DelegatingFilterProxy

Servlet 容器和Spring IoC容器之间的Filter生命周期并不匹配。为了让Spring IoC容器管理Filter的生命周期，FilterChainProxy便交由Spring Web下的DelegatingFilterProxy来代理。而且FilterChainProxy不会在添加到应用程序上下文的任何过滤器Bean上调用标准Servlet过滤器生命周期方法，FilterChainProxy的生命周期方法会委托给DelegatingFilterProxy来执行。而DelegatingFilterProxy作为Spring IoC和Servlet的连接器存在。

简单总结

上面的三个概念非常重要，涉及到Spring Security的整个过滤器链体系。但是作为初学者来说，能看懂多少就看懂多少，不要纠结哪些没有理解，因为目前学习阶段的层次达不到是非常正常的。但是等你学完了Spring Security之后，这几个概念一定要搞明白。

到此这篇关于Spring Security过滤器链体系的文章就介绍到这了,更多相关Spring Security过滤器链体系内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

java中使用Files.readLines()处理文本中行数据方式
这篇文章主要介绍了java中使用Files.readLines()处理文本中行数据方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-12-12
JAVA多线程进阶方式(Runnable接口的讲解和运用)
这篇文章主要介绍了JAVA多线程进阶方式(Runnable接口的讲解和运用),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-01-01
关于Java 中的 Lambda 表达式
这篇文章主要介绍了关于Java 中的 Lambda 表达式，Lambda 表达式是 Java 涉足函数式编程的过程。它接受参数并将其应用于表达式或代码块，下面一起进入文章查看详细内容
2021-11-11
基于Mybatis实现CRUD操作过程解析(xml方式)
这篇文章主要介绍了基于Mybatis实现CRUD操作过程解析(xml方式),文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-11-11
Java同步函数代码详解
这篇文章主要介绍了Java线程中的同步函数的相关内容，涉及了实例代码，需要的朋友，可以参考下。
2017-10-10
MyBatis-Plus 中 typeHandler 的使用实例详解
本文介绍了在MyBatis-Plus中如何使用typeHandler处理json格式字段和自定义typeHandler,通过使用JacksonTypeHandler,可以简单实现将实体类字段转换为json格式存储,感兴趣的朋友跟随小编一起看看吧
2024-10-10
Java 14 发布了,你还会使用Lombok?
2020年3月17日发布，Java正式发布了JDK 14 ，目前已经可以开放下载。在JDK 14中，共有16个新特性，本文主要来介绍其中的一个特性：JEP 359: Records,需要的朋友可以参考下
2020-04-04
Java 实战范例之精美网上音乐平台的实现
读万卷书不如行万里路，只学书上的理论是远远不够的，只有在实战中才能获得能力的提升，本篇文章手把手带你用java+vue+Springboot+ssm+mysql+maven+redis实现一个前后端分离的精美网上音乐平台,大家可以在过程中查缺补漏，提升水平
2021-11-11
SpringBoot如何在普通类加载Spring容器
这篇文章主要介绍了SpringBoot如何在普通类加载Spring容器,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-04-04
springboot下添加日志模块和设置日志文件输出的方法
日志的使用将通过SLF4J来使用,SLF4J是一个为Java应用提供简单日志记录的接口,在Spring框架中,SLF4J常常用于处理框架本身以及应用程序的日志记录,本文给大家介绍springboot下添加日志模块和设置日志文件输出的相关知识,感兴趣的朋友一起看看吧
2023-12-12