SpringBoot整合Spring Security过滤器链加载执行流程源码分析(最新推荐)

更新时间：2023年02月23日 14:42:21 作者：IT-熊猫

Spring Boot 对于 Spring Security 提供了自动化配置方案，可以使用更少的配置来使用 Spring Security，这篇文章主要介绍了SpringBoot整合Spring Security过滤器链加载执行流程源码分析,需要的朋友可以参考下

1.引言

在 Spring Boot项目之中，我们引入 Spring Security依赖，什么也没做，启动项目 Spring Security 就会生效，访问请求就进行了拦截。

Spring Boot 对于 Spring Security 提供了自动化配置方案，可以使用更少的配置来使用 Spring Security。

那么这个过滤器链是怎么加载和实现拦截的呢？

2.Spring Security过滤器链加载

2.1.注册名为 springSecurityFilterChain的过滤器

当 Spring Boot 项目启动后，SecurityFilterAutoConfiguration类会加载 DelegatingFilterProxyRegistrationBean注册过滤器，名字为 springSecurityFilterChain。

注意：springSecurityFilterChain名字是固定写死的。

DelegatingFilterProxyRegistrationBean 注册成功后，该过滤器就被加载了到了注册器中。然后调用getFilter()方法生成 DelegatingFilterProxy代理对象并注册到 IOC中。

3、查看 DelegatingFilterProxy类

我们访问项目，就会进入 DelegatingFilterProxy类的 doFilter方法。

DelegatingFilterProxy类本质也是一个 Filter，其间接实现了 Filter接口，但是在 doFilter中其实调用的从 Spring 容器中获取到的代理 Filter的实现类。

返回的 FilterChainProxy对象。

由此可知，DelegatingFilterProxy类通过 springSecurityFilterChain这个名称，得到了一个 FilterChainProxy过滤器，最终执行的是这个过滤器的 doFilter方法。

验证 springSecurityFilterChain名词不能修改
查看 initDelegate方法。

4.查看 FilterChainProxy类

FilterChainProxy类本质也是一个 Filter，所以查看 doFilter方法。留意该类里面的属性。

public class FilterChainProxy extends GenericFilterBean {
    private static final Log logger = LogFactory.getLog(FilterChainProxy.class);
    private static final String FILTER_APPLIED =
            FilterChainProxy.class.getName().concat(".APPLIED");
    // 过滤器链
    private List<SecurityFilterChain> filterChains;
    private FilterChainProxy.FilterChainValidator filterChainValidator;
    private HttpFirewall firewall;

4.1 查看 doFilterInternal方法

惊不惊喜？15个过滤器都在这里了！

4.2 查看 getFilters方法

原来这些过滤器都被封装进 SecurityFilterChain对象中。

5 查看 SecurityFilterChain接口

SecurityFilterChain类是个接口，实现类也只有一个 DefaultSecurityFilterChain类。
DefaultSecurityFilterChain类的构造方法，初始化了 List filters，是通过传参放进去的。

过滤器链参数是什么时候传入的？

6. 查看 SpringBootWebSecurityConfiguration类

创建 Spring Security 过滤器链是交给 Spring boot 自动配置，由 SpringBootWebSecurityConfiguration类创建注入。

查看 WebSecurityConfigurerAdapter类。

然后会注入 HttpSecurity对象，HttpSecurity可以理解为 Spring Security 的 http核心配置，存放 Spring Security 中的过滤器链、请求匹配路径等相关认证授权的重要方法。

然后开始创建 Spring Security 过滤器链了，是交给 Spring Boot自动配置，一共有 15个过滤器。
使用 OrderedFilter进行代理，并设置了order属性。
添加完成后，将这些过滤器再封装为 DefaultSecurityFilterChain对象。

最后通过 WebSecurityConfiguration配置加载 springSecurityFilterChain，WebSecurityConfiguration中维护了securityFilterChains属性，会存放过滤器链中所有的过滤器。

总结：

Spring boot 通过 DelegatingFilterProxyRegistrationBean注册过滤器，名字为 springSecurityFilterChain，并生成 DelegatingFilterProxy代理对象并注册到 IoC中。最终真正调用 FilterChainProxy过滤器的 doFilter 获取到 Spring Security 过滤器链。

Spring Security的过滤器链在底层是封装在 SecurityFilterChain接口中的。

到此这篇关于SpringBoot整合Spring Security过滤器链加载执行流程源码分析的文章就介绍到这了,更多相关SpringBoot整合Spring Security过滤器链内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Java ThreadPoolExecutor的参数深入理解
这篇文章主要介绍了Java ThreadPoolExecutor的参数深入理解的相关资料,需要的朋友可以参考下
2017-03-03
nacos如何修改默认的用户名密码
这篇文章主要介绍了nacos如何修改默认的用户名密码问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2024-01-01
jackson反序列化时如何忽略不需要的字段
这篇文章主要介绍了jackson反序列化时如何忽略不需要的字段，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-03-03
Spring之Environment类的使用方式
这篇文章主要介绍了Spring之Environment类的使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-11-11
基于visualvm监控类实现过程详解
这篇文章主要介绍了基于visualvm监控类实现过程详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-09-09
浅谈java中的局部变量和全局变量
这篇文章主要涉及了java中的局部变量和全局变量,就二者的含义、生存时间和创建位置作了介绍，需要的朋友可以参考下。
2017-09-09
JavaSwing BorderLayout 边界布局的实现代码
这篇文章主要介绍了JavaSwing BorderLayout 边界布局的实现代码，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-12-12
Java的非对称加密(RSA、数字签名、数字证书)详解
这篇文章主要介绍了Java的非对称加密(RSA、数字签名、数字证书)详解,非对称加密：加密、解密使用不同的两把密钥,这两把密钥成对,一般通信开始时通过非对称加密将对称加密的密钥发送给另一方,然后双方通过对称加密来进行沟通,需要的朋友可以参考下
2024-01-01
详解JAVA 字节流和字符流
这篇文章主要介绍了JAVA 字节流和字符流的的相关资料，文中讲解非常的细致，代码帮助大家更好的理解和学习，感兴趣的朋友可以了解下
2020-06-06
解决springmvc整合Mybatis的Log4j日志输出问题
这篇文章主要介绍了解决springmvc整合Mybatis的Log4j日志输出问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07