揭秘 Spring Security 是如何在 Servlet 应用中运行的?
Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔头,也给即将准备学习 Spring Security 的同志做一个参考。
由于我在学习和使用是基于 Servlet Applications 的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications 功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。
Spring Securty 在 Servlet Applications 中的应用
以下部分内容摘自官方文档
Servlet Filter Chain
提到 Servlet Filter Chain 应该都熟悉的吧,它们是一系列由 javax.servlet.Filter 实现类组成的一个链,大致图如下所示:
Servlet Filter Chain
上图中Client发送Http请求,然后请求经过FilterChain,每个匹配的Filter都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。
Spring Security 的实现简单来说,就是往Servlet Filter Chain加了一个特殊的过滤器来处理认证或授权请求 。
DelegatingFilterProxy
Spring 提供一个javax.servlet.Filter的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。
DelegatingFilterProxy
在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行Filter0的doFilter方法:
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) { // Lazily get Filter that was registered as a Spring Bean // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0 Filter delegate = getFilterBean(someBeanName); // delegate work to the Spring Bean delegate.doFilter(request, response); }
FilterChainProxy
前面说过DelegatingFilterProxy只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy 类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。
FilterChainProxy
你可能发现了上图中在FilterChainProxy部分还有个 SecurityFilterChain,它是一个接口只有两个方法:
- matches用于匹配请求
- getFilters是获取针对匹配请求的所有的 Filters
SecurityFilterChain 接口:
public interface SecurityFilterChain { boolean matches(HttpServletRequest request); List<Filter> getFilters(); }
SecurityFilterChain
SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对/app/api/与/web/api/设置不同的认证规则。
SecurityFilterChain
总结
前面提到了四个重要的概念:
- Servlet Filter Chain:Serverl过滤器链
- DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
- FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
- SecurityFilterChain:包含一组Filter
总结下来可以用一张图表示:
根据上面图如Client访问/web/api/login就会匹配到SecurityFilterChain 0并执行其中的 Filters。
匹配过程我看了下FilterChainProxy的源码,大致流程和我理解的差不多,我把代码精简了一下以下:
public class FilterChainProxy extends GenericFilterBean { private List<SecurityFilterChain> filterChains; @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { ... doFilterInternal(request, response, chain); ... } private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { ... List<Filter> filters = getFilters(fwRequest); ... VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters); vfc.doFilter(fwRequest, fwResponse); } private List<Filter> getFilters(HttpServletRequest request) { for (SecurityFilterChain chain : filterChains) { if (chain.matches(request)) { return chain.getFilters(); } } return null; } private static class VirtualFilterChain implements FilterChain { @Override public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException { ... } }
- 首先在FilterChainProxy的doFilter方法会执行doFilterInternal方法
- doFilterInternal 方法中调用 getFilters 获取过滤器列表
private List<Filter> getFilters(HttpServletRequest request) { for (SecurityFilterChain chain : filterChains) { if (chain.matches(request)) { return chain.getFilters(); } } return null; }
在 getFilters 会调用SecurityFilterChain.matches匹配请求
最后将得到的filters放在 VirtualFilterChain 中执行
最后
正学习Spring Securty中,如有不对之处,谢谢指正。此篇文章主要讲述了 Spring Securty 与 Servlet Applications 集成部分,个人在学习的时候觉得 Spring Security 中配置是非常难懂,看了几遍还是没有完全理解,有很多 Builder、Configurer 转的头都晕了。。。,准备准备下一篇文章理一理 Spring Security 的配置。
推荐阅读:
- 利用 ShardingSphere-JDBC 实现分库分表实践
- 分库分表 vs NewSQL数据库
- 数据量较大,分页查询很慢,该怎么优化
- 应该选择RabbitMQ还是Kafka?
- 前后端分离模式下的权限设计方案
如有收获,点个在看,诚挚感谢图片
- [web开发] 如何在Mac OS上安装Apache Tomcat并运行你的第一个Servlet程序
- win10应用开发——如何判断应用是在手机上运行还是电脑上运行
- 如何改变Android应用的运行环境
- macos上的ios虚拟机_如何将中级帖子转换为可在iOS和macOS上运行的SwiftUI应用
- Angular如何在应用初始化时运行代码详解
- 英伟达公开课 | 如何突破Decoder性能瓶颈?揭秘FasterTransformer2.0的原理与应用,已开源...
- Netweaver和CloudFoundry是如何运行Web应用的?
- 如何在Ubuntu手机上让自己的应用退到后台还继续运行
- Tomcat如何运行没有做mapping的servlet
- 【UWP开发】如何判断UWP应用在PC还是在xbox上运行?
- 如何在 Ubuntu 中再次登录时还原上次运行的应用
- Android如何运行真机在eclipse上调试应用?
- 有关java桌面应用如何在别的电脑上运行
- Javascript + Servlet的鸿沟如何抹平以构建富客户端应用?[SOS]
- 如何配置tomcat以运行java的servlet程序?
- 如何在windows运行时应用中拍照
- ASP.NET Core 应用在Linux上如何运行
- maven管理的jsp应用如何添加servlet、jsp相关依赖
- Android如何判断一个应用在运行
- php如何采用memcache技术 加速web应用运行效率