Spring Security的过滤器链机制

推荐阅读

前言

在“码农小胖哥”的文章中提到一个关键的过滤器链SecurityFilterChain，当一个请求 HttpServletRequest 进入 SecurityFilterChain 时，会通过 matches 方法来确定是否满足条件进入过滤器链，进而决定请求应该执行哪些过滤器。下面我们自己来梳理一遍。

请求执行链路

我们以之前的文章为例，使用@Configuration配置了一个SecurityFilterChain Bean，能在Spring Boot 启动的时候创建SecurityFilterChain Bean到Sping。

@Configuration
public class OAuth2LoginConfig 
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests(authorize -> authorize
                        .anyRequest().authenticated()
                )
                .oauth2Login(withDefaults());
        return http.build();
    }

这是官网的配置，说明任何请求都可以通过OAuth2来登录。上面说过任何请求都会经过SecurityFilterChain 的matches方法，因此我们可以在SecurityFilterChain 的唯一实现类DefaultSecurityFilterChain的matches方法中打上断点（图1），这样当进入断点的时候，可以直观的从IDE中看到调用栈，这是调式源码的时候一个非常有用的方法。

图1

启动应用，请求一个接口localhost:8080/hello,进入端点后的调用栈如图：

图2

图中箭头所指的DelegatingFilterProxy为Spring提供的一个标准的Servlet Filter代理，在xml的Spring时代，为了能使用Spring Security，需要在web.xml中添加该过滤器，而在Spring Boot中，Spring Boot的自动配置已经帮我们搞定，具体可见SecurityFilterAutoConfiguration。

箭头前面一部分是其他的几个Servlet Filter，我们不做了解。

箭头后面的部分，即DelegatingFilterProxy之后，依次执行了FilterChainProxy和DefaultSecurityFilterChain

FilterChainProxy是一个过滤器链代理类，内部保存了过滤器链列表，而过滤器链内部又具有各种过滤器，如图3。
DefaultSecurityFilterChain是SecurityFilterChain的默认实现

到此为止，我们的第一个问题“请求执行链路”基本已经清晰了，即DelegatingFilterProxy >> FilterChainProxy >> SecurityFilterChain >> Filter

图3

到此这篇关于Spring Security的过滤器链机制的文章就介绍到这了,更多相关Spring Security过滤器链内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

最新评论