内容简介:Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。由于我在学习和使用是基于提到
Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。
由于我在学习和使用是基于 Servlet Applications 的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications 功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。
Spring Securty 在 Servlet Applications 中的应用
以下部分内容摘自官方文档
Servlet Filter Chain
提到 Servlet Filter Chain 应该都熟悉的吧,它们是一系列由 javax.servlet.Filter 实现类组成的一个链,大致图如下所示:
上图中Client发送Http请求,然后请求经过 FilterChain ,每个匹配的 Filter 都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。
Spring Security 的实现简单来说,就是往 Servlet Filter Chain 加了一个特殊的过滤器来处理认证或授权请求 。
DelegatingFilterProxy
Spring 提供一个 javax.servlet.Filter 的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。
在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行 Filter0 的 doFilter 方法:
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
// Lazily get Filter that was registered as a Spring Bean
// For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
Filter delegate = getFilterBean(someBeanName);
// delegate work to the Spring Bean
delegate.doFilter(request, response);
}
FilterChainProxy
前面说过 DelegatingFilterProxy 只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy 类, 它是 Spring Security 中非常重要的入口(断点打在这准没错) ,它负责匹配请求、执行 Filter 等功能。
你可能发现了上图中在 FilterChainProxy 部分还有个 SecurityFilterChain ,它是一个接口只有两个方法:
matches getFilters
SecurityFilterChain 接口:
public interface SecurityFilterChain {
boolean matches(HttpServletRequest request);
List<Filter> getFilters();
}
SecurityFilterChain
SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对 /app/api/** 与 /web/api/** 设置不同的认证规则。
总结
前面提到了四个重要的概念:
- Servlet Filter Chain:Serverl过滤器链
- DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
- FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
- SecurityFilterChain:包含一组Filter
总结下来可以用一张图表示:
根据上面图如 Client 访问 /web/api/login 就会匹配到 SecurityFilterChain 0 并执行其中的 Filters。
匹配过程我看了下 FilterChainProxy 的源码,大致流程和我理解的差不多,我把代码精简了一下以下:
public class FilterChainProxy extends GenericFilterBean {
private List<SecurityFilterChain> filterChains;
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
doFilterInternal(request, response, chain);
...
}
private void doFilterInternal(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
List<Filter> filters = getFilters(fwRequest);
...
VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
vfc.doFilter(fwRequest, fwResponse);
}
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
private static class VirtualFilterChain implements FilterChain {
@Override
public void doFilter(ServletRequest request, ServletResponse response)
throws IOException, ServletException {
...
}
}
- 首先在
FilterChainProxy的doFilter方法会执行doFilterInternal方法 - doFilterInternal 方法中调用
getFilters获取过滤器列表
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
SecurityFilterChain.matches VirtualFilterChain
最后
正常学习Spring Securty中,如有不对之处,谢谢指正。之篇文章主要讲述了 Spring Securty 与 Servlet Applications 集成部分,个人在学习的时候觉得 Spring Security 中配置是非常难懂,看了几遍还是没有完全理解,有很多 Builder、Configurer 转的头都晕了。。。,准备准备下一篇文章理一理 Spring Security 的配置。
推荐
- 微服务下的数据一致性的几种实现方式
- 深入探秘 Netty、Kafka 中的零拷贝技术!
- SaaS(软件即服务) 的架构设计
- 一步一步带你入门 MySQL 中的索引
- Spring Boot + Redis 限流实践
学习资料分享
12 套微服务、Spring Boot、Spring Cloud 核心技术资料,这是部分资料目录:
- Spring Security 认证与授权
- Spring Boot 项目实战(中小型互联网公司后台服务架构与运维架构)
- Spring Boot 项目实战(企业权限管理项目))
- Spring Cloud 微服务架构项目实战(分布式事务解决方案)
- ...
公众号后台回复 arch028 获取资料::
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 在 JavaScript 应用程序中执行语音识别
- 高性能mongodb之应用程序跑执行计划
- 使用 winrm.vbs 绕过应用白名单执行任意未签名代码
- 使用Winrm.vbs绕过应用白名单执行任意未签名代码的分析
- VR社交应用Bigscreen存在安全漏洞,黑客可执行MITR攻击
- Qt5 GUI 开发的应用易受远程代码执行漏洞的影响
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
复杂网络理论及其应用
汪小帆、李翔、陈关荣 / 清华大学出版社 / 2006 / 45.00元
国内首部复杂网络专著 【图书目录】 第1章 引论 1.1 引言 1.2 复杂网络研究简史 1.3 基本概念 1.4 本书内容简介 参考文献 第2章 网络拓扑基本模型及其性质 2.1 引言 2.2 规则网络 2.3 随机图 2.4 小世界网络模型 2.5 无标度网络模型 ......一起来看看 《复杂网络理论及其应用》 这本书的介绍吧!
