0


Spring Security的过滤器链机制

活动地址:CSDN21天学习挑战赛

相关文章:

  1. OAuth2的定义和运行流程
  2. Spring Security OAuth实现Gitee快捷登录
  3. Spring Security OAuth实现GitHub快捷登录

前言

在“码农小胖哥”的文章中提到一个关键的过滤器链

SecurityFilterChain

,当一个请求 HttpServletRequest 进入

SecurityFilterChain

时,会通过

matches

方法来确定是否满足条件进入过滤器链,进而决定请求应该执行哪些过滤器。下面我们自己来梳理一遍。

请求执行链路

我们以之前的文章为例,使用

@Configuration

配置了一个

SecurityFilterChain

Bean,能在Spring Boot 启动的时候创建SecurityFilterChain Bean到Sping。

@ConfigurationpublicclassOAuth2LoginConfig{@BeanpublicSecurityFilterChainfilterChain(HttpSecurity http)throwsException{
        http
                .authorizeHttpRequests(authorize -> authorize
                        .anyRequest().authenticated()).oauth2Login(withDefaults());return http.build();}

这是官网的配置,说明任何请求都可以通过OAuth2来登录。上面说过任何请求都会经过SecurityFilterChain 的

matches

方法,因此我们可以在SecurityFilterChain 的唯一实现类

DefaultSecurityFilterChain

matches

方法中打上断点(图1),这样当进入断点的时候,

可以直观的从IDE中看到调用栈

,这是调式源码的时候一个非常有用的方法。
在这里插入图片描述
图1
启动应用,请求一个接口localhost:8080/hello,进入端点后的调用栈如图:
在这里插入图片描述
图2
图中箭头所指的

DelegatingFilterProxy

为Spring提供的一个标准的Servlet Filter代理,在xml的Spring时代,为了能使用Spring Security,需要在web.xml中添加该过滤器,而在Spring Boot中,Spring Boot的自动配置已经帮我们搞定,具体可见

SecurityFilterAutoConfiguration

箭头前面一部分是其他的几个Servlet Filter,我们不做了解。

箭头后面的部分,即

DelegatingFilterProxy

之后,依次执行了

FilterChainProxy

DefaultSecurityFilterChain
FilterChainProxy

是一个过滤器链代理类,

内部保存了过滤器链列表,而过滤器链内部又具有各种过滤器

,如图3。

DefaultSecurityFilterChain

是SecurityFilterChain的默认实现

到此为止,我们的第一个问题“请求执行链路”基本已经清晰了,即

DelegatingFilterProxy >> FilterChainProxy >> SecurityFilterChain >> Filter

在这里插入图片描述
图3


本文转载自: https://blog.csdn.net/weixin_40972073/article/details/126237129
版权归原作者 阿提说说 所有, 如有侵权,请联系我们删除。

“Spring Security的过滤器链机制”的评论:

还没有评论