Spring Security过滤器链加载执行流程源码分析

news/2024/11/9 15:23:03

Spring Security实现原理
Spring Security 采用 IoC 和 AOP思想,基于 Servlet 过滤器实现的安全框架、为 Web 请求和方法调用提供身份确认和授权处理,还提供与其他库的集成以简化其使用,避免了代码耦合,减少了大量重复代码工作。

在之前 web.xml中,我们是这样写的。

    <!--SpringSecurity核心过滤器链-->
    <!--springSecurityFilterChain名词不能修改-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

在 Spring Boot项目之后,我们引入 Spring Security依赖,什么也没做,启动项目 Spring Security 就会生效,访问请求就进行了拦截。

Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。
那么这个过滤器链是怎么加载和实现拦截的呢?

一、Spring Security过滤器链加载

1、注册名为 springSecurityFilterChain的过滤器

当 Spring Boot 项目启动后,SecurityFilterAutoConfiguration类会加载 DelegatingFilterProxyRegistrationBean注册过滤器,名字为 springSecurityFilterChain。
在这里插入图片描述
注意:springSecurityFilterChain名字是固定写死的。

DelegatingFilterProxyRegistrationBean 注册成功后,该过滤器就被加载了到了注册器中。
注册器注册了所有的过滤器后,会为每个过滤器生成 DelegatingFilterProxy代理对象并注册到 IoC中 。
在这里插入图片描述

2、查看 DelegatingFilterProxy类

我们访问项目,就会进入 DelegatingFilterProxy类的 doFilter方法。

DelegatingFilterProxy类本质也是一个 Filter,其间接实现了 Filter接口,但是在 doFilter中其实调用的从 Spring 容器中获取到的代理 Filter的实现类。

在这里插入图片描述
返回的 FilterChainProxy对象。
由此可知,DelegatingFilterProxy类通过 springSecurityFilterChain这个名称,得到了一个 FilterChainProxy过滤器,最终执行的是这个过滤器的 doFilter方法。

1)验证 springSecurityFilterChain名词不能修改
查看 initDelegate方法。
在这里插入图片描述

3、查看 FilterChainProxy类

FilterChainProxy类本质也是一个 Filter,所以查看 doFilter方法。留意该类里面的属性。

public class FilterChainProxy extends GenericFilterBean {
    private static final Log logger = LogFactory.getLog(FilterChainProxy.class);
    private static final String FILTER_APPLIED =
            FilterChainProxy.class.getName().concat(".APPLIED");
    // 过滤器链
    private List<SecurityFilterChain> filterChains;
    private FilterChainProxy.FilterChainValidator filterChainValidator;
    private HttpFirewall firewall;

在这里插入图片描述

3.1 查看 doFilterInternal方法。

惊不惊喜?15个过滤器都在这里了!
在这里插入图片描述

3.2 查看 getFilters方法。

原来这些过滤器都被封装进 SecurityFilterChain对象中。
在这里插入图片描述

4 查看 SecurityFilterChain接口

SecurityFilterChain类是个接口,实现类也只有一个 DefaultSecurityFilterChain类
DefaultSecurityFilterChain类的构造方法,初始化了 List filters,是通过传参放进去的。
在这里插入图片描述
过滤器链参数是什么时候传入的?

5 查看 SpringBootWebSecurityConfiguration类

创建 Spring Security 过滤器链是交给 Spring boot 自动配置,由 SpringBootWebSecurityConfiguration类创建注入。
在这里插入图片描述
查看 WebSecurityConfigurerAdapter类。
在这里插入图片描述
然后会注入 HttpSecurity对象,HttpSecurity可以理解为 Spring Security 的 http核心配置,存放 Spring Security 中的过滤器链、请求匹配路径等相关认证授权的重要方法。

然后开始创建 Spring Security 过滤器链了,是交给 Spring Boot自动配置,一共有 15个过滤器。
使用 OrderedFilter进行代理,并设置了order属性。
添加完成后,将这些过滤器再封装为 DefaultSecurityFilterChain对象。

最后通过 WebSecurityConfiguration配置加载 springSecurityFilterChain,WebSecurityConfiguration中维护了securityFilterChains属性,会存放过滤器链中所有的过滤器。

总结:
Spring boot 通过 DelegatingFilterProxyRegistrationBean注册过滤器,名字为 springSecurityFilterChain,并生成 DelegatingFilterProxy代理对象并注册到 IoC中。最终真正调用 FilterChainProxy过滤器的 doFilter 获取到 Spring Security 过滤器链。

Spring Security的过滤器链在底层是封装在 SecurityFilterChain接口中的。

二、过滤器链的执行流程

1、调用 OncePerRequestFilter过滤器

首先进入的是 OncePerRequestFilter 过滤器。
OncePerRequestFilter是为了确保一次请求中只通过一次filter,而不需要重复的执行。
在这里插入图片描述
会进入 DelegatingFilterProxy代理对象中 invokeDelegate方法,实际真正执行的是 FilterChainProxy过滤器的 doFilter 方法。

2、查看 FilterChainProxy过滤器

查看 FilterChainProxy过滤器中的 doFilterInternal方法。
然后首先进入FilterChainProxy中的 doFilterInternal方法。
doFilterInternal方法中会调用 getFilters方法,会从过滤器链中拿出所有的拦截器。

然后创建一个 VirtualFilterChain对象,一个虚拟的过滤器链,并执行其中的 doFilter 方法。使用过滤器对当前请求进行层层过滤。
在这里插入图片描述

3、查看 FilterSecurityInterceptor过滤器

最后进入到 FilterSecurityInterceptor过滤器中,该过滤器是过滤器链的最后一个过滤器,invoke方法中。

  • 先调用父类的 beforeInvocation方法,
  • 之后调用 filterChain的 doFilter方法,
  • 之后调用父类的 finallyInvocation和afterInvocation方法。

在这里插入图片描述
在 beforeInvocation方法中,如果当前的请求没有通过认证,会抛出 Access is denied异常,这个异常会被ExceptionTranslationFilter过滤器处理。如果抛出的异常是 AuthenticationException,则执行方法sendStartAuthentication方法。
最终调用 EntryPoint的 commence方法,发布异常。

三、Spring Security常见过滤器

1、WebAsyncManagerIntegrationFilter

  • org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter

其主要用于集成 SecurityContext到 Spring异步执行机制中的 WebAsyncManager。

2、SecurityContextPersistenceFilter

  • org.springframework.security.web.context.SecurityContextPersistenceFilter

其主要是使用 SecurityContextRepository在 session中保存或更新一个SecurityContext,并将 SecurityContext给以后的过滤器使用,来为后续 filter建立所需的上下文。
SecurityContext中存储了当前用户的认证以及权限信息。

3、HeaderWriterFilter

  • org.springframework.security.web.header.HeaderWriterFilter

其主要是向请求的 Header中添加相应的信息,可在 http标签内部使用 security:headers来控制。

4、CsrfFilter

  • org.springframework.security.web.csrf.CsrfFilter

csrf又称跨域请求伪造,SpringSecurity会对所有 post请求验证是否包含系统生成的 csrf的 token信息,
如果不包含,则报错。起到防止csrf攻击的效果。

5、LogoutFilter

  • org.springframework.security.web.authentication.logout.LogoutFilter

其主要用于实现用户退出,清除认证信息。默认匹配 URL为 /logout的请求。

6、UsernamePasswordAuthenticationFilter

  • org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

其主要用于认证操作,默认匹配URL为 /login且必须为POST请求。

7、DefaultLoginPageGeneratingFilter

  • org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

如果没有在配置文件中指定认证页面,则由该过滤器生成一个默认认证页面。

8、DefaultLogoutPageGeneratingFilter

  • org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter

由此过滤器可以生产一个默认的退出登录页面

9、BasicAuthenticationFilter

  • org.springframework.security.web.authentication.www.BasicAuthenticationFilter

此过滤器会自动解析 HTTP请求中头部名字为 Authentication,且以 Basic开头的头信息。

10、RequestCacheAwareFilter

  • org.springframework.security.web.savedrequest.RequestCacheAwareFilter

通过HttpSessionRequestCache内部维护了一个 RequestCache,用于缓存 HttpServletRequest。

11、SecurityContextHolderAwareRequestFilter

  • org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

针对 ServletRequest进行了一次包装,使得 request具有更加丰富的 API。

12、AnonymousAuthenticationFilter

  • org.springframework.security.web.authentication.AnonymousAuthenticationFilter

当 SecurityContextHolder中认证信息为空,则会创建一个匿名用户存入到 SecurityContextHolder中。
Spring Security为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。

13、SessionManagementFilter

  • org.springframework.security.web.session.SessionManagementFilter

其主要用于限制同一用户开启多个会话的数量。

14、ExceptionTranslationFilter

  • org.springframework.security.web.access.ExceptionTranslationFilter

异常转换过滤器位于整个 springSecurityFilterChain的后方,用来转换整个链路中出现的异常。ExceptionTranslationFilter过滤器会拦截处理 AccessDeniedException和 AuthenticationException并添加到HTTP响应中。

15、FilterSecurityInterceptor

  • org.springframework.security.web.access.intercept.FilterSecurityInterceptor

获取所配置资源访问的授权信息,根据 SecurityContextHolder中存储的用户信息来决定其是否有权
限。

– 求知若饥,虚心若愚。


http://www.niftyadmin.cn/n/2257468.html

相关文章

Spring Security使用数据库登录认证授权

一、搭建项目环境 1、创建 RBAC五张表 RBAC&#xff0c;即基于角色的权限访问控制&#xff08;Role-Based Access Control&#xff09;&#xff0c;就是用户通过角色与权限进行关联。 在这种模型中&#xff0c;用户与角色之间&#xff0c;角色与权限之间&#xff0c;一般者是…

榆熙电商:为什么说拼多多品牌内容营销迎来新的发展契机?

做拼多多电商的朋友都知道&#xff0c;开一家好店需要做推广&#xff0c;为店铺积累流量和口碑。现在拼多多上营销推广方式五花八门&#xff0c;拼多多商家如何找到适合自己的营销方式呢&#xff1f;内容制胜的运营思路是现阶段最常见的玩法&#xff0c;商家想要产品出圈&#…

Spring Security登录认证源码分析

Security是基于过滤器链实现认证授权的&#xff0c;它支持不同的认证机制&#xff0c;这里我们用户名密码认证机制。 Spring Security 提供了以下内置机制来从 读取用户名和密码&#xff1a; Form LoginBasic AuthenticationDigest Authentication 用户名密码存储机制&#…

成都榆熙:店铺流量受限主要原因有哪些?

店铺流量是商家们都很看重的东西&#xff0c;有的商家发现店铺出现了流量下降的情况&#xff0c;甚至是店铺出现了流量限制的情况&#xff0c;那么如果遇到这些情况&#xff0c;商家们该怎么面对呢&#xff1f;和成都榆熙小编一起来了解一下吧。 一、怎样预防店铺流量下降的情…

Lombok【汇总】

目录【官网】【使用篇】【注意事项】【Maven依赖】【SpringBoot】【常用注解】【推荐写法】【推荐好文】【官网】 https://github.com/rzwitserloot/lombok 【使用篇】 【注意事项】 在使用Lombok时&#xff0c;你的编辑器可能会报错&#xff0c;这时请在你的IDE中安装Lombo…

PDD商家如何提取热门关键词?

在拼多多平台新颖、独特的新型电商模式的吸引下&#xff0c;选择在拼多多开店的朋友越来越多了。面临不同于其他传统电商创业平台的特殊模式&#xff0c;难以借鉴其他平台运营思路&#xff0c;在拼多多开店的商家很容易陷入运营困境。今天成都榆熙小编就跟大家聊一聊拼多多新店…

全局异常处理总结

目录WEB.XMLSpring全局异常&#xff0c;Controller增强方式&#xff08; Advising Controllers&#xff09;Spirng全局异常&#xff0c;配置方式Sping全局异常&#xff0c;自定义异常类和异常解析Errors and REST推荐文章WEB.XML 就是指定error-code和page到指定地址&#xff…

成都榆熙电子商务有限公司:店铺违规后可以补救吗?

既然选择了在拼多多开店&#xff0c;那么商家们就要遵守平台的规则&#xff0c;但是有的商家因为自己的一些错误操作导致店铺受到处罚&#xff0c;那么商家们经常会遇到哪些违规情况呢&#xff1f;可以补救吗&#xff1f;想要了解的小伙伴一起和榆熙电商小编来看看吧。 一、收…