spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程

发布时间:2024年01月08日

承接上文

上一节 http://t.csdnimg.cn/ueSAl 最后讲到了过滤器收集完成注入容器,这节我们来讲Security的Filter是怎么被Spring调用的。
在这里插入图片描述
我们先看webSecurity的performBuild方法(),
![在这里插入图片描述](https://img-b
也就是说,最终返回的过滤器对象实例有两种情况当我们配置debugEnabled为true返回的是条件配置型过滤器DebugFilter,否则返回代理过滤器FilterChainProxy。

步入正题

执行过滤器会调用FilterChainProxy的doFilter()方法,
在这里插入图片描述
blog.csdnimg.cn/direct/b1b18010acc341dbb08758650aedba99.png)
接着会调用FilterChainProxy的doFilterInternal方法
在这里插入图片描述
创建虚拟过滤器链VirtualFilterChain,VirtualFilterChain是FilterChainProxy的私有静态嵌套类,调用其doFilter方法,nextFilter.doFilter(request, response, this)传入this,为了实现循环回调doFilter方法。
将所有定义的过滤器执行完。
在这里插入图片描述
具体的security过滤器使用流程清楚了,现在我们只需找到FilterChainProxy在那里使用了即可。

SecurityFilterAutoConfiguration这个类发现是springboot集成的自动配置类,所以springboot会自动注入该实例
在这里插入图片描述
这个配置类会注入一个名为securityFilterChainRegistration类型为DelegatingFilterProxyRegistrationBean的bean,首先要springSecurityFilterChain存在
在这里插入图片描述

在这里插入图片描述
不错,springSecurityFilterChain就是WebSecurityConfigurer的springSecurityFilterChain方法返回的FIlter
在这里插入图片描述
DelegatingFilterProxyRegistrationBean构造会保存Filter的名字springSecurityFilterChain作为属性,
在这里插入图片描述
DelegatingFilterProxyRegistrationBean的getFilter方法会创建DelegatingFilterProxy并将springSecurityFilterChain作为参数传入
在这里插入图片描述
从这里我们可以看出 DelegatingFilterProxyRegistrationBean ,DelegatingFilterProxy,FilterChainProxy三者之间的关系。

现在我们首先找出使用DelegatingFilterProxyRegistrationBean 的地方,
通过调试终于找到了线索,在TomcatStarter的onStartup方法()
在这里插入图片描述
initializers集合其中包含ServletWebServerApplicationContext,调用其onStartup方法
在这里插入图片描述
可以看出initializer是lambda表达式,这里的initializer可以理解使用的是 initializer = ServletWebServerApplicationContext.getSelfInitializer()
在这里插入图片描述selfInitialize方法
在这里插入图片描述
这里拓展一下lambda的知识
在这里插入图片描述
所以可以理解为
ServletContextInitializer initializer = (servletContext) -> return servletWebServerApplicationContext.selfInitialize(servletContext);

因此调用initializer.onStartup(servletContext)实际调用的是ServletWebServerApplicationContext的selfInitialize方法。
在这里插入图片描述
查看getServletContextInitializerBeans()
在这里插入图片描述
查看ServletContextInitializerBeans构造函数
在这里插入图片描述
接着看addServletContextInitializerBeans方法
在这里插入图片描述
接着看addServletContextInitializerBean方法
在这里插入图片描述
这里注意

String source = ((DelegatingFilterProxyRegistrationBean) initializer).getTargetBeanName();

前面在生成DelegatingFilterProxyRegistrationBean的时候targetBeanName传的是我们FilterChainProxy的bean名称springSecurityFilterChain
接着看addServletContextInitializerBean方法
在这里插入图片描述
调用this.initializers将DelegatingFilterProxyRegistrationBean实例放入ServletContextInitializerBeans实例的initializers集合属性中,ServletContextInitializerBeans是继承于AbstractCollection,并且实现了迭代器
在这里插入图片描述
sortedList和initializers有什么关系呢?我们再回到ServletContextInitializerBeans实例的ServletContextInitializerBeans方法
在这里插入图片描述
他是先将DelegatingFilterProxyRegistrationBean放入initializers,然后再排序赋值给sortedList。
好的回到在这里插入图片描述

for (ServletContextInitializer beans : getServletContextInitializerBeans()) {
			beans.onStartup(servletContext);
		}

因此上述代码迭代的是sortedList
查看beans.onStartup(servletContext);这里的onStartup是属于RegistrationBean类
在这里插入图片描述
继续查看register(description, servletContext);这里的register方法属于DynamicRegistrationBean类
在这里插入图片描述
继续看D registration = addRegistration(description, servletContext);这里的 addRegistration方法属于AbstractFilterRegistrationBean类
在这里插入图片描述Filter filter = getFilter();
Filter filter = getFilter();是否熟悉,不错他就是DelegatingFilterProxyRegistrationBean的getFilter方法
在这里插入图片描述
在这里插入图片描述DelegatingFilterProxy是实现Filter接口,被注册到servletContext容器,都需就走Spring过滤器执行流程
在这里插入图片描述
因此会调用DelegatingFilterProxy的doFilter方法
在这里插入图片描述
我们需要关心在这里插入图片描述delegateToUse = initDelegate(wac);
在这里插入图片描述
还记得DelegatingFilterProxyRegistrationBean调用getFilter()构造DelegatingFilterProxy时传入的名称就是我们FilterChainProxy的bean名称springSecurityFilterChain,
因此

Filter delegate = wac.getBean(targetBeanName, Filter.class);

拿到的就是FilterChainProxy实例,
在这里插入图片描述继续看invokeDelegate(delegateToUse, request, response, filterChain);
在这里插入图片描述
delegate传入的是FilterChainProxy,因此这里的doFilter方法属于FilterChainProxy类

在这里插入图片描述
继续看doFilterInternal方法

在这里插入图片描述
继续看vfc.doFilter(fwRequest, fwResponse);
在这里插入图片描述
就到了我们刚开始的代码位置。

大致流程就是:
1.将webSecurity从httpSecurity中收集的security的过滤器封装成beab名称为springSecurityFilterChain的FilterChainProxy对象,注入spring容器
2.DelegatingFilterProxyRegistrationBean调用getFilter()方法,构造DelegatingFilterProxy实例,DelegatingFilterProxy类继承Filter,因此会被注入到servlet容器,
3.sevlet过滤器拦截执行DelegatingFilterProxy过滤器的doFilter方法,通过springSecurityFilterChain名称查找FilterChainProxy实例进行循环调用,执行Security的过滤器
4.Security的过滤器执行完成,调用chain.doFilter(fwRequest, fwResponse)继续执行serlvet的下一个过滤器

文章来源:https://blog.csdn.net/sunboylife/article/details/135449836
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。