Spring Security的过滤器链机制

更新时间：2022年08月09日 17:11:21 作者：阿提说说

过滤器作为 Spring Security 的重中之重，我们需要了解其中的机制，这样我们才能根据业务需求的变化进行定制，今天来探讨一下 Spring Security 中的过滤器链机制

前言

在“码农小胖哥”的文章中提到一个关键的过滤器链SecurityFilterChain，当一个请求 HttpServletRequest 进入 SecurityFilterChain 时，会通过 matches 方法来确定是否满足条件进入过滤器链，进而决定请求应该执行哪些过滤器。下面我们自己来梳理一遍。

请求执行链路

我们以之前的文章为例，使用@Configuration配置了一个SecurityFilterChain Bean，能在Spring Boot 启动的时候创建SecurityFilterChain Bean到Sping。

@Configuration
public class OAuth2LoginConfig 
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests(authorize -> authorize
                        .anyRequest().authenticated()
                )
                .oauth2Login(withDefaults());
        return http.build();
    }

这是官网的配置，说明任何请求都可以通过OAuth2来登录。上面说过任何请求都会经过SecurityFilterChain 的matches方法，因此我们可以在SecurityFilterChain 的唯一实现类DefaultSecurityFilterChain的matches方法中打上断点（图1），这样当进入断点的时候，可以直观的从IDE中看到调用栈，这是调式源码的时候一个非常有用的方法。

在这里插入图片描述

图1

启动应用，请求一个接口localhost:8080/hello,进入端点后的调用栈如图：

在这里插入图片描述

图2

图中箭头所指的DelegatingFilterProxy为Spring提供的一个标准的Servlet Filter代理，在xml的Spring时代，为了能使用Spring Security，需要在web.xml中添加该过滤器，而在Spring Boot中，Spring Boot的自动配置已经帮我们搞定，具体可见SecurityFilterAutoConfiguration。

箭头前面一部分是其他的几个Servlet Filter，我们不做了解。

箭头后面的部分，即DelegatingFilterProxy之后，依次执行了FilterChainProxy和DefaultSecurityFilterChain

FilterChainProxy是一个过滤器链代理类，内部保存了过滤器链列表，而过滤器链内部又具有各种过滤器，如图3。
DefaultSecurityFilterChain是SecurityFilterChain的默认实现

到此为止，我们的第一个问题“请求执行链路”基本已经清晰了，即DelegatingFilterProxy >> FilterChainProxy >> SecurityFilterChain >> Filter

在这里插入图片描述

图3

到此这篇关于Spring Security的过滤器链机制的文章就介绍到这了,更多相关Spring Security过滤器链内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

java实现微博登录、微信登录、qq登录实现代码
这篇文章主要介绍了java实现微博登录、微信登录、qq登录实现代码的相关资料,需要的朋友可以参考下
2016-10-10
mybatis自动建表的实现方法
这篇文章主要介绍了mybatis自动建表的实现方法，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-11-11
Java必备知识之位运算及常见进制解读
从现代计算机中所有的数据二进制的形式存储在设备中。即 0、1 两种状态，计算机对二进制数据进行的运算(+、-、*、/)都是叫位运算，即将符号位共同参与运算的运算
2021-10-10
利用JDBC的PrepareStatement打印真实SQL的方法详解
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程，下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法，需要的朋友可以参考借鉴，下面来一起看看吧。
2017-07-07
Mybatis TypeHandler接口及继承关系示例解析
这篇文章主要为大家介绍了Mybatis TypeHandler接口及继承关系示例解析，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-02-02
JAVA 自定义线程池的最大线程数设置方法
这篇文章主要介绍了JAVA 自定义线程池的最大线程数设置方法，文中示例代码非常详细，供大家参考和学习，感兴趣的朋友可以了解下
2020-06-06
springMVC自定义注解,用AOP来实现日志记录的方法
下面小编就为大家分享一篇springMVC自定义注解,用AOP来实现日志记录的方法，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2018-01-01
Java 详细讲解线程安全与同步附实例与注释
线程安全是多线程编程时的计算机程序代码中的一个概念。在拥有共享数据的多条线程并行执行的程序中，线程安全的代码会通过同步机制保证各个线程都可以正常且正确的执行，不会出现数据污染等意外情况
2022-04-04
深入介绍Spring框架及故障排除
这篇文章主要介绍了深入介绍Spring框架及故障排除，文章围绕主题展开详细的内容介绍，具有一定的参考价值，感兴趣的小伙伴可以参考一下
2022-06-06
浅聊一下Spring中Bean的配置细节
我们知道，当写完一个普通的 Java 类后，想让 Spring IoC 容器在创建类的实例对象时使用构造方法完成实例对象的依赖注入，那么就需要在配置元数据中写好类的 Bean 定义，包括各种标签的属性。所以本文我们来说说这其中的配置细节,需要的朋友可以参考下
2023-07-07