Spring Security 是如何在 Servlet 应用中执行的?
Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。
由于我在学习和使用是基于 Servlet Applications
的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications
功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。
Spring Securty 在 Servlet Applications
中的应用
以下部分内容摘自官方文档
Servlet Filter Chain
提到 Servlet Filter Chain
应该都熟悉的吧,它们是一系列由 javax.servlet.Filter
实现类组成的一个链,大致图如下所示:
上图中Client发送Http请求,然后请求经过FilterChain
,每个匹配的Filter
都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。
Spring Security 的实现简单来说,就是往Servlet Filter Chain
加了一个特殊的过滤器来处理认证或授权请求 。
DelegatingFilterProxy
Spring 提供一个javax.servlet.Filter
的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。
在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0
并执行Filter0
的doFilter
方法:
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
// Lazily get Filter that was registered as a Spring Bean
// For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
Filter delegate = getFilterBean(someBeanName);
// delegate work to the Spring Bean
delegate.doFilter(request, response);
}
FilterChainProxy
前面说过DelegatingFilterProxy
只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy
类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。
你可能发现了上图中在FilterChainProxy
部分还有个 SecurityFilterChain
,它是一个接口只有两个方法:
matches
用于匹配请求getFilters
是获取针对匹配请求的所有的 Filters
SecurityFilterChain 接口:
public interface SecurityFilterChain {
boolean matches(HttpServletRequest request);
List<Filter> getFilters();
}
SecurityFilterChain
SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对/app/api/**
与/web/api/**
设置不同的认证规则。
总结
前面提到了四个重要的概念:
- Servlet Filter Chain:Serverl过滤器链
- DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
- FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
- SecurityFilterChain:包含一组Filter
总结下来可以用一张图表示:
根据上面图如Client
访问/web/api/login
就会匹配到SecurityFilterChain 0
并执行其中的 Filters。
匹配过程我看了下FilterChainProxy
的源码,大致流程和我理解的差不多,我把代码精简了一下以下:
public class FilterChainProxy extends GenericFilterBean {
private List<SecurityFilterChain> filterChains;
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
doFilterInternal(request, response, chain);
...
}
private void doFilterInternal(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
List<Filter> filters = getFilters(fwRequest);
...
VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
vfc.doFilter(fwRequest, fwResponse);
}
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
private static class VirtualFilterChain implements FilterChain {
@Override
public void doFilter(ServletRequest request, ServletResponse response)
throws IOException, ServletException {
...
}
}
- 首先在
FilterChainProxy
的doFilter方法会执行doFilterInternal
方法 - doFilterInternal 方法中调用
getFilters
获取过滤器列表
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
- 在 getFilters 会调用
SecurityFilterChain.matches
匹配请求 - 最后将得到的filters放在
VirtualFilterChain
中执行
最后
正常学习Spring Securty中,如有不对之处,谢谢指正。之篇文章主要讲述了 Spring Securty
与 Servlet Applications
集成部分,个人在学习的时候觉得 Spring Security 中配置是非常难懂,看了几遍还是没有完全理解,有很多 Builder、Configurer 转的头都晕了。。。,准备准备下一篇文章理一理 Spring Security 的配置。
推荐
- 微服务下的数据一致性的几种实现方式
- 深入探秘 Netty、Kafka 中的零拷贝技术!
- SaaS(软件即服务) 的架构设计
- 一步一步带你入门MySQL中的索引
- Spring Boot + Redis 限流实践
学习资料分享
12 套 微服务、Spring Boot、Spring Cloud 核心技术资料,这是部分资料目录:
- Spring Security 认证与授权
- Spring Boot 项目实战(中小型互联网公司后台服务架构与运维架构)
- Spring Boot 项目实战(企业权限管理项目))
- Spring Cloud 微服务架构项目实战(分布式事务解决方案)
- ...
公众号后台回复arch028
获取资料::
Spring Security 是如何在 Servlet 应用中执行的?的更多相关文章
- Spring Security:如何在Postman中优雅地测试后端API(前后端分离)
前言 在Postman中可以编写和执行自动化测试,使用 JavaScript 编写基本的 API 测试,自由编写任何用于自动化测试的测试方案. 在POSTMAN中读取Cookie值 1. 我们需要向& ...
- Spring Security Oauth2 单点登录案例实现和执行流程剖析
Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本.OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(au ...
- 如何在c#代码中执行带GO语句的SQL文件
需要在C#代码中执行一个SQL文件的内容.遇到了两个问题: 1. 因为SQL文件中有"GO"语句,执行时报错"Incorrect syntax near 'GO'.& ...
- 如何在smarty模板中执行php代码
Smarty模板主要的目的是分离逻辑层和表现层,所以在模板中不应该包含逻辑部分,逻辑层也不应该含有HTML.要在模板中插入逻辑程序的这种做法"非常"不被推荐,在你的case中. 如 ...
- 如何在 Visual C# 中执行基本的文件 I/O
演示文件 I/O 操作 本文中的示例讲述基本的文件 I/O 操作.“分步示例”部分说明如何创建一个演示下列六种文件 I/O 操作的示例程序: 注意:如果要直接使用下列示例代码,请注意下列事项: 必须包 ...
- 如何在 Inno Setup 中执行命令行的命令
Pascal Scripting: Exec Prototype: function Exec(const Filename, Params, WorkingDir: String; const Sh ...
- 使用 Spring Security 保护 Web 应用的安全
安全一直是 Web 应用开发中非常重要的一个方面.从安全的角度来说,需要考虑用户认证和授权两个方面.为 Web 应用增加安全方面的能力并非一件简单的事情,需要考虑不同的认证和授权机制.Spring S ...
- Spring Security 简介
本文引自:https://blog.csdn.net/xlecho/article/details/80026527 在 Web 应用开发中,安全一直是非常重要的一个方面.安全虽然属于应用的非功能性需 ...
- 转 Spring Security 简介
https://blog.csdn.net/xlecho/article/details/80026527 Spring Security 简介 2018年04月21日 09:53:02 阅读数:13 ...
随机推荐
- 字典树模板 HDU - 1251
题意: 给一些单词,换行键后,查找以后输入的单词作为前缀的话们在之前出现过几次. 思路: 字典树模板----像查字典的顺序一样 #include<string> #include<s ...
- adb的多种连接方式(二)
一,设备连接 1,USB数据线连接 win10下USB连接Android 1.手机端的设置,以红米4为例: a.打开开发者模式,小米手机打开开发者模式方法为,连续点击MIUI版本,就可以进入开发者模式 ...
- LayUI制作日历工作记录簿
标题不知道该如何取,大概就是用Lay UI的Table,制作一个日历,在日历上可以添加每天的工作简记录.记录下LayUI Table的一些用法,一些值得探索的地方在于日历生成后,给周末加背景色,当天加 ...
- P1627 [CQOI2009]中位数 题解
CSDN同步 原题链接 简要题意: 给定一个 \(1\) ~ \(n\) 的排列,求以 \(b\) 为中位数的 连续子序列且长度为奇数 的个数. 显然这段序列包含 \(b\). 中位数的定义:排序后在 ...
- 为什么要用内插字符串代替string.format
知道为什么要用内插字符串,只有踩过坑的人才能明白,如果你曾今使用string.format超5个以上占位符,那其中的痛苦我想你肯定是能够共鸣的. 一:痛苦经历 先上一段曾今写过的一段代码,大家来体会一 ...
- C++动态内存new和delete(超详细)
C++动态内存new和delete C++动态内存是C++灵活.炫酷的一种操作.学好它,能让自己编程逼格上一个level. 在学习动态内存之前,我们先要了解C++是怎么划分内存的: 栈:在函数内部声明 ...
- Scratch 第2课淘气男孩儿
素材及视频下载 链接:https://pan.baidu.com/s/1qX0T2B_zczcLaCCpiRrsnA提取码:xfp8
- 【前端】CSS总结
======================== CSS层叠样式表======================== 命名规则:使用字母.数字或下划线和减号构成,不要以数字开头 一.css的语法-- ...
- 2020-3-3 20175110王礼博 《网络对抗技术》Exp1 PC平台逆向破解
目录 1.实践目标与基础知识 2.直接修改程序机器指令,改变程序执行流程 3.通过构造输入参数,造成BOF攻击,改变程序执行流 4.注入Shellcode并执行 5.实验收获与感想 6.什么是漏洞?漏 ...
- Python线程和协程CPU资源利用率测试
前言介绍 协程 ,又称为微线程,它是实现多任务的另一种方式,只不过是比线程更小的执行单元.因为它自带CPU的上下文,这样只要在合适的时机,我们可以把一个协程切换到另一个协程.通俗的理解: 在一个线程中 ...