Spring Security 是一個強大的認證和受權框架,它的使用方式也很是簡單,可是要想真正理解它就須要花一時間來學習了,最近在學習 Spring Security 時有一些新的理解,特地記錄下來防止知識忘記的太快,畢竟好記性不如爛筆關,也給即將準備學習 Spring Security 的同志作一個參考。java
因爲我在學習和使用是基於 Servlet Applications 的,因此文中的大部分都與 Servlet 相關,固然 Spring Security 還支持 Reactive Applications 功能上都是同樣,在架構上會有一些差異,有興趣的同窗能夠自行查看官方文檔。mysql
Spring Securty 在 Servlet Applications 中的應用
如下部份內容摘自官方文檔web
Servlet Filter Chain
提到 Servlet Filter Chain 應該都熟悉的吧,它們是一系列由 javax.servlet.Filter 實現類組成的一個鏈,大體圖以下所示:redis
上圖中Client發送Http請求,而後請求通過FilterChain,每一個匹配的Filter都有機會處理request和response對象,最終請求會到達servlet(如何filter中沒有特殊處理的狀況下)。spring
Spring Security 的實現簡單來講,就是往Servlet Filter Chain加了一個特殊的過濾器來處理認證或受權請求 。sql
DelegatingFilterProxy
Spring 提供一個javax.servlet.Filter的實現類 DelegatingFilterProxy ,它的主要功能跟它的名稱同樣,經過代理模式委託給一個Spring管理的Bean來完成相應的功能。api
在上圖中,DelegatingFilterProxy 會在 ApplicationContext 中查找 Filter0 並執行Filter0的doFilter方法:架構
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
// Lazily get Filter that was registered as a Spring Bean
// For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
Filter delegate = getFilterBean(someBeanName);
// delegate work to the Spring Bean
delegate.doFilter(request, response);
}
FilterChainProxy
前面說過DelegatingFilterProxy只是一個代理 Filter,並無真正的功能。
在 Spring Security 中還有一個 FilterChainProxy 類,它是 Spring Security 中很是重要的入口(斷點打在這準沒錯),它負責匹配請求、執行 Filter 等功能。
app
你可能發現了上圖中在FilterChainProxy部分還有個 SecurityFilterChain,它是一個接口只有兩個方法:框架
matches用於匹配請求getFilters是獲取針對匹配請求的全部的 Filters
SecurityFilterChain 接口:
public interface SecurityFilterChain {
boolean matches(HttpServletRequest request);
List<Filter> getFilters();
}
SecurityFilterChain
SecurityFilterChain 裏面包含不少個 Filter ,不一樣的 Filter 完成不一樣的功能,如登錄認證、退出登錄、設置SecurityContext等,在Spring Security 中能夠有多個 SecurityFilterChain 每一個 SecurityFilterChain 負責不一樣的請求地址,如能夠針對/app/api/**與/web/api/**設置不一樣的認證規則。
總結
前面提到了四個重要的概念:
- Servlet Filter Chain:Serverl過濾器鏈
- DelegatingFilterProxy:Spring Filter代理類,將功能委託給 FilterChainProxy
- FilterChainProxy:匹配請求,執行 SecurityFilterChain 中的過濾器
- SecurityFilterChain:包含一組Filter
總結下來能夠用一張圖表示:
根據上面圖如Client訪問/web/api/login就會匹配到SecurityFilterChain 0並執行其中的 Filters。
匹配過程我看了下FilterChainProxy的源碼,大體流程和我理解的差很少,我把代碼精簡了一下如下:
public class FilterChainProxy extends GenericFilterBean {
private List<SecurityFilterChain> filterChains;
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
doFilterInternal(request, response, chain);
...
}
private void doFilterInternal(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
List<Filter> filters = getFilters(fwRequest);
...
VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
vfc.doFilter(fwRequest, fwResponse);
}
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
private static class VirtualFilterChain implements FilterChain {
@Override
public void doFilter(ServletRequest request, ServletResponse response)
throws IOException, ServletException {
...
}
}
- 首先在
FilterChainProxy的doFilter方法會執行doFilterInternal方法 - doFilterInternal 方法中調用
getFilters獲取過濾器列表
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
- 在 getFilters 會調用
SecurityFilterChain.matches匹配請求 - 最後將獲得的filters放在
VirtualFilterChain中執行
最後
正常學習Spring Securty中,若有不對之處,謝謝指正。之篇文章主要講述了 Spring Securty 與 Servlet Applications 集成部分,我的在學習的時候以爲 Spring Security 中配置是很是難懂,看了幾遍仍是沒有徹底理解,有不少 Builder、Configurer 轉的頭都暈了。。。,準備準備下一篇文章理一理 Spring Security 的配置。
推薦
- 微服務下的數據一致性的幾種實現方式
- 深刻探祕 Netty、Kafka 中的零拷貝技術!
- SaaS(軟件即服務) 的架構設計
- 一步一步帶你入門MySQL中的索引
- Spring Boot + Redis 限流實踐
學習資料分享
12 套 微服務、Spring Boot、Spring Cloud 核心技術資料,這是部分資料目錄:
- Spring Security 認證與受權
- Spring Boot 項目實戰(中小型互聯網公司後臺服務架構與運維架構)
- Spring Boot 項目實戰(企業權限管理項目))
- Spring Cloud 微服務架構項目實戰(分佈式事務解決方案)
- ...
公衆號後臺回覆arch028獲取資料::