揭祕 Spring Security 是如何在 Servlet 應用中運行的？

Spring Security 是一個強大的認證和受權框架，它的使用方式也很是簡單，可是要想真正理解它就須要花一時間來學習了，最近在學習 Spring Security 時有一些新的理解，特地記錄下來防止知識忘記的太快，畢竟好記性不如爛筆頭，也給即將準備學習 Spring Security 的同志作一個參考。

因爲我在學習和使用是基於 Servlet Applications 的，因此文中的大部分都與 Servlet 相關，固然 Spring Security 還支持 Reactive Applications 功能上都是同樣，在架構上會有一些差異，有興趣的同窗能夠自行查看官方文檔。

Spring Securty 在 Servlet Applications 中的應用

如下部份內容摘自官方文檔

Servlet Filter Chain

提到 Servlet Filter Chain 應該都熟悉的吧，它們是一系列由 javax.servlet.Filter 實現類組成的一個鏈，大體圖以下所示：

Servlet Filter Chain
上圖中Client發送Http請求，而後請求通過FilterChain，每一個匹配的Filter都有機會處理request和response對象，最終請求會到達servlet（如何filter中沒有特殊處理的狀況下）。

Spring Security 的實現簡單來講，就是往Servlet Filter Chain加了一個特殊的過濾器來處理認證或受權請求 。

DelegatingFilterProxy

Spring 提供一個javax.servlet.Filter的實現類 DelegatingFilterProxy ,它的主要功能跟它的名稱同樣，經過代理模式委託給一個Spring管理的Bean來完成相應的功能。

DelegatingFilterProxy
在上圖中，DelegatingFilterProxy 會在 ApplicationContext 中查找 Filter0 並執行Filter0的doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}

FilterChainProxy

前面說過DelegatingFilterProxy只是一個代理 Filter，並無真正的功能。
在 Spring Security 中還有一個 FilterChainProxy 類，它是 Spring Security 中很是重要的入口（斷點打在這準沒錯），它負責匹配請求、執行 Filter 等功能。

FilterChainProxy
你可能發現了上圖中在FilterChainProxy部分還有個 SecurityFilterChain，它是一個接口只有兩個方法：

• matches用於匹配請求
• getFilters是獲取針對匹配請求的全部的 Filters
  SecurityFilterChain 接口：

public interface SecurityFilterChain {

    boolean matches(HttpServletRequest request);

    List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 裏面包含不少個 Filter ,不一樣的 Filter 完成不一樣的功能，如登錄認證、退出登錄、設置SecurityContext等，在Spring Security 中能夠有多個 SecurityFilterChain 每一個 SecurityFilterChain 負責不一樣的請求地址，如能夠針對/app/api/與/web/api/設置不一樣的認證規則。

SecurityFilterChain

總結

前面提到了四個重要的概念：

• Servlet Filter Chain：Serverl過濾器鏈
• DelegatingFilterProxy：Spring Filter代理類，將功能委託給 FilterChainProxy
• FilterChainProxy：匹配請求，執行 SecurityFilterChain 中的過濾器
• SecurityFilterChain：包含一組Filter
  總結下來能夠用一張圖表示：

根據上面圖如Client訪問/web/api/login就會匹配到SecurityFilterChain 0並執行其中的 Filters。

匹配過程我看了下FilterChainProxy的源碼，大體流程和我理解的差很少，我把代碼精簡了一下如下：

public class FilterChainProxy extends GenericFilterBean {

    private List<SecurityFilterChain> filterChains;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

        ...
        doFilterInternal(request, response, chain);
        ...
    }

    private void doFilterInternal(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

        ...

        List<Filter> filters = getFilters(fwRequest);

        ...

        VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
        vfc.doFilter(fwRequest, fwResponse);
    }

    private List<Filter> getFilters(HttpServletRequest request) {
        for (SecurityFilterChain chain : filterChains) {
            if (chain.matches(request)) {
                return chain.getFilters();
            }
        }

        return null;
    }

    private static class VirtualFilterChain implements FilterChain {

        @Override
        public void doFilter(ServletRequest request, ServletResponse response)
                throws IOException, ServletException {

        ...
    }

}

• 首先在FilterChainProxy的doFilter方法會執行doFilterInternal方法
• doFilterInternal 方法中調用 getFilters 獲取過濾器列表

private List<Filter> getFilters(HttpServletRequest request) {
        for (SecurityFilterChain chain : filterChains) {
            if (chain.matches(request)) {
                return chain.getFilters();
            }
        }

        return null;
    }

在 getFilters 會調用SecurityFilterChain.matches匹配請求
最後將獲得的filters放在 VirtualFilterChain 中執行

最後

正學習Spring Securty中，若有不對之處，謝謝指正。此篇文章主要講述了 Spring Securty 與 Servlet Applications 集成部分，我的在學習的時候以爲 Spring Security 中配置是很是難懂，看了幾遍仍是沒有徹底理解，有不少 Builder、Configurer 轉的頭都暈了。。。，準備準備下一篇文章理一理 Spring Security 的配置。

推薦閱讀：

• 利用 ShardingSphere-JDBC 實現分庫分表實踐
• 分庫分表 vs NewSQL數據庫
• 數據量較大，分頁查詢很慢，該怎麼優化
• 應該選擇RabbitMQ仍是Kafka？
• 先後端分離模式下的權限設計方案

若有收穫，點個在看，誠摯感謝圖片