Spring?Security過濾器鏈體系的實(shí)例詳解

更新時(shí)間：2022年02月11日 08:38:04 作者：碼農(nóng)小胖哥

這篇文章主要介紹了Spring?Security過濾器鏈體系,通過思維導(dǎo)圖可以很好的幫助大家理解配置類的相關(guān)知識，結(jié)合實(shí)例代碼給大家介紹的非常詳細(xì)，需要的朋友可以參考下

以下摘自胖哥分享的 2022開工福利教程。

在學(xué)習(xí)Spring Security的時(shí)候你有沒有下面這兩個(gè)疑問：

Spring Security的登錄是怎么配置的？
Spring Security的訪問控制是什么機(jī)制？

SpringBootWebSecurityConfiguration

上面兩個(gè)疑問的答案就在配置類SpringBootWebSecurityConfiguration中。你可以按照下面這個(gè)思維導(dǎo)圖去理解這個(gè)自動配置：

SpringBootWebSecurityConfiguration為Spring Boot應(yīng)用提供了一套默認(rèn)的Spring Security配置。

@Bean
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
		http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();
		return http.build();
	}

這里的配置為：所有的請求都必須是認(rèn)證用戶發(fā)起的，同時(shí)開啟表單登錄功能以及Http Basic Authentication認(rèn)證功能。我們訪問/foo/bar時(shí)需要登錄認(rèn)證并且能夠進(jìn)行表單登錄就是這個(gè)配置起作用了。這個(gè)是我們?nèi)粘ｉ_發(fā)需要自定義的，在HttpSecurity相關(guān)的文章中胖哥也進(jìn)行了講解。這個(gè)SecurityFilterChain到底是什么呢？

SecurityFilterChain

從上面看得出HttpSecurity就是一個(gè)構(gòu)建類，它的使命就是構(gòu)建出一個(gè)SecurityFilterChain：

public interface SecurityFilterChain {
   //  當(dāng)前請求是否匹配
	boolean matches(HttpServletRequest request);
    // 一攬子過濾器組成的有序過濾器鏈
	List<Filter> getFilters();
}

當(dāng)一個(gè)請求HttpServletRequest進(jìn)入SecurityFilterChain時(shí)，會通過matches方法來確定是否滿足條件進(jìn)入過濾器鏈。就好比你是VIP走的是VIP通道，享受的是VIP的一系列待遇；你是普通用戶，就走普通用戶的通道并享受普通用戶的待遇。

不管用戶是哪種角色，都走的是一個(gè)過濾器鏈，一個(gè)應(yīng)用中存在1-n個(gè)SecurityFilterChain。那誰來管理多個(gè)SecurityFilterChain呢？

記住這個(gè)公式HttpSecurity ->SecurityFilterChain。

FilterChainProxy

FilterChainProxy是一個(gè)GenericFilterBean（即使Servlet Filter又是Spring Bean），它管理了所有注入Spring IoC容器的SecurityFilterChain。在我剛接觸Spring Security的時(shí)候是這樣配置FilterChainProxy的：

 <bean id="myfilterChainProxy" class="org.springframework.security.web.FilterChainProxy">
        <constructor-arg>
            <util:list>
                <security:filter-chain pattern="/do/not/filter*" filters="none"/>
                <security:filter-chain pattern="/**" filters="filter1,filter2,filter3"/>
            </util:list>
        </constructor-arg>
    </bean>

根據(jù)不同的請求路徑匹配走不同的SecurityFilterChain。下面是示意圖：

后面還會對接觸這個(gè)類，現(xiàn)在你只需要明白上面這個(gè)圖就行了。

請注意：在同一過濾器鏈中不建議有多個(gè)FilterChainProxy實(shí)例，而且不應(yīng)將其作為單純的過濾器使用，它只應(yīng)該承擔(dān)管理SecurityFilterChain的功能。

DelegatingFilterProxy

Servlet 容器和Spring IoC容器之間的Filter生命周期并不匹配。為了讓Spring IoC容器管理Filter的生命周期，FilterChainProxy便交由Spring Web下的DelegatingFilterProxy來代理。而且FilterChainProxy不會在添加到應(yīng)用程序上下文的任何過濾器Bean上調(diào)用標(biāo)準(zhǔn)Servlet過濾器生命周期方法，FilterChainProxy的生命周期方法會委托給DelegatingFilterProxy來執(zhí)行。而DelegatingFilterProxy作為Spring IoC和Servlet的連接器存在。

簡單總結(jié)

上面的三個(gè)概念非常重要，涉及到Spring Security的整個(gè)過濾器鏈體系。但是作為初學(xué)者來說，能看懂多少就看懂多少，不要糾結(jié)哪些沒有理解，因?yàn)槟壳皩W(xué)習(xí)階段的層次達(dá)不到是非常正常的。但是等你學(xué)完了Spring Security之后，這幾個(gè)概念一定要搞明白。

到此這篇關(guān)于Spring Security過濾器鏈體系的文章就介紹到這了,更多相關(guān)Spring Security過濾器鏈體系內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: