這篇文章主要講解了Spring Security在Servlet中執行的方法，內容清晰明了，對此有興趣的小伙伴可以學習一下，相信大家閱讀完之后會有幫助。

10年積累的網站設計、網站制作經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先建設網站后付款的網站建設流程，更有呼中免費網站建設讓你可以放心的選擇與我們合作。

Spring Security 是一個強大的認證和授權框架，它的使用方式也非常簡單，但是要想真正理解它就需要花一時間來學習了，最近在學習 Spring Security 時有一些新的理解，特意記錄下來防止知識忘記的太快，畢竟好記性不如爛筆關，也給即將準備學習 Spring Security 的同志做一個參考。

由于我在學習和使用是基于 Servlet Applications 的，所以文中的大部分都與 Servlet 相關，當然 Spring Security 還支持 Reactive Applications 功能上都是一樣，在架構上會有一些差別，有興趣的同學可以自行查看官方文檔。

Spring Securty 在 Servlet Applications 中的應用

以下部分內容摘自官方文檔

Servlet Filter Chain

提到 Servlet Filter Chain 應該都熟悉的吧，它們是一系列由 javax.servlet.Filter 實現類組成的一個鏈，大致圖如下所示：

上圖中Client發送Http請求，然后請求經過FilterChain，每個匹配的Filter都有機會處理request和response對象，最終請求會到達servlet（如何filter中沒有特殊處理的情況下）。

Spring Security 的實現簡單來說，就是往Servlet Filter Chain加了一個特殊的過濾器來處理認證或授權請求 。

DelegatingFilterProxy

Spring 提供一個javax.servlet.Filter的實現類 DelegatingFilterProxy ,它的主要功能跟它的名稱一樣，通過代理模式委托給一個Spring管理的Bean來完成相應的功能。

在上圖中，DelegatingFilterProxy 會在 ApplicationContext 中查找 Filter0 并執行Filter0的doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
  // Lazily get Filter that was registered as a Spring Bean
  // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
  Filter delegate = getFilterBean(someBeanName);
  // delegate work to the Spring Bean
  delegate.doFilter(request, response);
}

FilterChainProxy

前面說過DelegatingFilterProxy只是一個代理 Filter，并沒有真正的功能。
在 Spring Security 中還有一個 FilterChainProxy 類，它是 Spring Security 中非常重要的入口（斷點打在這準沒錯），它負責匹配請求、執行 Filter 等功能。

你可能發現了上圖中在FilterChainProxy部分還有個 SecurityFilterChain，它是一個接口只有兩個方法：

• matches用于匹配請求
   
• getFilters是獲取針對匹配請求的所有的 Filters

SecurityFilterChain 接口：

public interface SecurityFilterChain {
  boolean matches(HttpServletRequest request);
  List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 里面包含很多個 Filter ,不同的 Filter 完成不同的功能，如登陸認證、退出登陸、設置SecurityContext等，在Spring Security 中可以有多個 SecurityFilterChain 每個 SecurityFilterChain 負責不同的請求地址，如可以針對/app/api/**與/web/api/**設置不同的認證規則。

總結

前面提到了四個重要的概念：

• Servlet Filter Chain：Serverl過濾器鏈
• DelegatingFilterProxy：Spring Filter代理類，將功能委托給 FilterChainProxy
• FilterChainProxy：匹配請求，執行 SecurityFilterChain 中的過濾器
• SecurityFilterChain：包含一組Filter

總結下來可以用一張圖表示：

根據上面圖如Client訪問/web/api/login就會匹配到SecurityFilterChain 0并執行其中的 Filters。

匹配過程我看了下FilterChainProxy的源碼，大致流程和我理解的差不多，我把代碼精簡了一下以下：

public class FilterChainProxy extends GenericFilterBean {
	private List<SecurityFilterChain> filterChains;
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	  ...
    doFilterInternal(request, response, chain);
	  	...
	}
	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	  ...
		List<Filter> filters = getFilters(fwRequest);
    ...
		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}
	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}
 
	private static class VirtualFilterChain implements FilterChain {
	
		@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
		
		...
	}
}

首先在FilterChainProxy的doFilter方法會執行doFilterInternal方法

doFilterInternal 方法中調用 getFilters 獲取過濾器列表

	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}
		return null;
	}

在 getFilters 會調用SecurityFilterChain.matches匹配請求

最后將得到的filters放在 VirtualFilterChain 中執行最后

看完上述內容，是不是對Spring Security在Servlet中執行的方法有進一步的了解，如果還想學習更多內容，歡迎關注創新互聯行業資訊頻道。

分享文章：SpringSecurity在Servlet中執行的方法
網址分享：http://vcdvsql.cn/article38/pejgsp.html

成都網站建設公司_創新互聯，為您提供網站策劃、企業網站制作、網站維護、手機網站建設、微信公眾號、外貿網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯