Spring Security 是如何在 Servlet 应用中执行的?

itjavashuai 2020-04-26

Spring Security 是一个强大的认证和授权框架,它的使用方式也非常简单,但是要想真正理解它就需要花一时间来学习了,最近在学习 Spring Security 时有一些新的理解,特意记录下来防止知识忘记的太快,毕竟好记性不如烂笔关,也给即将准备学习 Spring Security 的同志做一个参考。

由于我在学习和使用是基于 Servlet Applications 的,所以文中的大部分都与 Servlet 相关,当然 Spring Security 还支持 Reactive Applications 功能上都是一样,在架构上会有一些差别,有兴趣的同学可以自行查看官方文档。

Spring Securty 在 Servlet Applications 中的应用

以下部分内容摘自官方文档

Servlet Filter Chain

提到 Servlet Filter Chain 应该都熟悉的吧,它们是一系列由 javax.servlet.Filter 实现类组成的一个链,大致图如下所示:

Spring Security 是如何在 Servlet 应用中执行的?

上图中Client发送Http请求,然后请求经过FilterChain,每个匹配的Filter都有机会处理request和response对象,最终请求会到达servlet(如何filter中没有特殊处理的情况下)。

Spring Security 的实现简单来说,就是往Servlet Filter Chain加了一个特殊的过滤器来处理认证或授权请求 。

DelegatingFilterProxy

Spring 提供一个javax.servlet.Filter的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称一样,通过代理模式委托给一个Spring管理的Bean来完成相应的功能。

Spring Security 是如何在 Servlet 应用中执行的?

在上图中,DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行Filter0doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}

FilterChainProxy

前面说过DelegatingFilterProxy只是一个代理 Filter,并没有真正的功能。
在 Spring Security 中还有一个 FilterChainProxy 类,它是 Spring Security 中非常重要的入口(断点打在这准没错),它负责匹配请求、执行 Filter 等功能。

Spring Security 是如何在 Servlet 应用中执行的?

你可能发现了上图中在FilterChainProxy部分还有个 SecurityFilterChain,它是一个接口只有两个方法:

  • matches用于匹配请求
  • getFilters是获取针对匹配请求的所有的 Filters

SecurityFilterChain 接口:

public interface SecurityFilterChain {

   boolean matches(HttpServletRequest request);

   List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 里面包含很多个 Filter ,不同的 Filter 完成不同的功能,如登陆认证、退出登陆、设置SecurityContext等,在Spring Security 中可以有多个 SecurityFilterChain 每个 SecurityFilterChain 负责不同的请求地址,如可以针对/app/api/**/web/api/**设置不同的认证规则。

Spring Security 是如何在 Servlet 应用中执行的?

总结

前面提到了四个重要的概念:

  • Servlet Filter Chain:Serverl过滤器链
  • DelegatingFilterProxy:Spring Filter代理类,将功能委托给 FilterChainProxy
  • FilterChainProxy:匹配请求,执行 SecurityFilterChain 中的过滤器
  • SecurityFilterChain:包含一组Filter

总结下来可以用一张图表示:

Spring Security 是如何在 Servlet 应用中执行的?

根据上面图如Client访问/web/api/login就会匹配到SecurityFilterChain 0并执行其中的 Filters。

匹配过程我看了下FilterChainProxy的源码,大致流程和我理解的差不多,我把代码精简了一下以下:

public class FilterChainProxy extends GenericFilterBean {

	private List<SecurityFilterChain> filterChains;



	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
	
	
	    ...
        doFilterInternal(request, response, chain);
	   	...
	}

	private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

	
	    ...
	    
		List<Filter> filters = getFilters(fwRequest);

        ...

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}


	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}



 
	private static class VirtualFilterChain implements FilterChain {
	
		@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
		
		...
	}

 

}
  • 首先在FilterChainProxy的doFilter方法会执行doFilterInternal方法
  • doFilterInternal 方法中调用 getFilters 获取过滤器列表
private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}
  • 在 getFilters 会调用SecurityFilterChain.matches匹配请求
  • 最后将得到的filters放在 VirtualFilterChain 中执行

最后

正常学习Spring Securty中,如有不对之处,谢谢指正。之篇文章主要讲述了 Spring SecurtyServlet Applications 集成部分,个人在学习的时候觉得 Spring Security 中配置是非常难懂,看了几遍还是没有完全理解,有很多 Builder、Configurer 转的头都晕了。。。,准备准备下一篇文章理一理 Spring Security 的配置。

推荐

学习资料分享

12 套 微服务、Spring Boot、Spring Cloud 核心技术资料,这是部分资料目录:

  • Spring Security 认证与授权
  • Spring Boot 项目实战(中小型互联网公司后台服务架构与运维架构)
  • Spring Boot 项目实战(企业权限管理项目))
  • Spring Cloud 微服务架构项目实战(分布式事务解决方案)
  • ...

公众号后台回复arch028获取资料::

Spring Security 是如何在 Servlet 应用中执行的?

itjavashuai

itjavashuai

相关推荐

硬核!学会SpringMVC从这篇开始

本文转载自微信公众号「小菜良记」,作者蔡不菜丶 。Spring 为展现层提供的基于 MVC 设计理念的优秀的Web 框架,是目前最主流的 MVC框架之一。Spring MVC 通过一套 MVC 注解,让 POJO 成为处理请求的控制器,而无须实现任何接口。

JudeJoo / 0评论 2020-08-21

【SpringMVC】概述

Spring 为展现层提供的基于 MVC 设计理念的优秀的 Web 框架,是目前最主流的 MVC 框架之一。Spring MVC 通过一套 MVC 注解,让 POJO 成为处理请求的控制器,而无须实现任何接口。配置 DispatcherServlet :D

meleto / 0评论 2020-08-15

Web容器Web服务器及常见的Web容器有哪些?

  首先来理解一下简单的一个请求发送到响应的过程。而我们的服务器通常要分为两个部分,一部分是服务器硬件,有了硬件之后还有有硬件上对应运行的软件。其次,服务器的硬件部分接收到了这一段请求,将其递交给对应的进程,服务器软件。此时这个服务器软件即为Web服务器,

lantingyue / 0评论 2020-07-30

关于首次利用servlet调用数据库时会产生的一些问题

首先声明一点就是,这时正常的java加上web的技术的结合,没有使用maven工程和框架。正常的网页访问是直接启动tomcat就可以了,但是调用一些动态资源或者实现一些后端功能都要用到servlet进行调用和操作。这时就要用到web包下的web-inf里面

zyjj / 0评论 2020-07-27

jsp基础知识

  model:数据持久化 base+dao+biz. contentType:定义 JSP 字符的编码和页面响应的 MIME 类型;  <%@page language="java" pageEncoding="UTF

pengpengflyjhp / 0评论 2020-07-19

SpringBoot嵌入式Servlet容器自动配置原理

写点感悟,已经一年多没有写博客了,日常工作遇到问题也是记录在有道云里面。回想一下,毕业两年,刚毕业时很多人看好,到现在和去大厂的同学差距应该无法想象了。还是太安逸了,压力驱动型性格在这种环境下迷失了。本可以成长很多,但是却在工作简单的业务中沉沦了。也很奇怪

htofly / 0评论 2020-07-09

什么叫线程安全?servlet 是线程安全吗?

正确地处理多个线程之间的共享变量,使程序功能正确完成。方法,是不能保证共享变量的线程安全性的。个新的 action 分配给这个请求,请求完成后销毁。SpringMVC 的 Controller 是线程安全的吗?不是的,和 Servlet 类似的处理流程。

三动 / 0评论 2020-06-21

关于Servlet与JSP

Servlet是sun公司制订的一种用来扩展web服务器功能的组件规范。为了让这些web服务器能够处理动态资源的请求,需要扩展它们的功能。早期使用的是cgi技术,可以使用很多语言,比如perl,c等来开发cgi程序。现在,可以使用servlet来扩展。当浏

hyxinyu / 0评论 2020-06-08

MVC设计模式&amp;&amp;Servlet

MVC设计模式:M:Model 模型:一个功能。用JavaBean实现V:view 视图:用于展示、以及与用户交互。使用html,js,css,jsp,jQuery等前端技术实现 C:controller 控制器:接受请求,将请求跳转到模型进行处理,再将处

洗尽铅华 / 0评论 2020-06-07

Servlet 单例多线程详解

Servlet如何处理多个请求访问?Servlet容器默认是采用单实例多线程的方式处理多个请求的:1.当web服务器启动的时候,Servlet就被加载并实例化;2.容器初始化化Servlet主要就是读取配置文件(例如tomcat,可以通过servlet.x

shayuchaor / 0评论 2020-06-07

ssm框架基本原理

SM框架是标准的MVC模式,将整个系统划分为四层:View层,Controller层,Service层,Dao层。SSM框架集由Spring、MyBatis两个开源框架整合而成。常作为数据源较简单的web项目的框架。也可以称之为项目中的粘合剂。  Spri

xiamubawei / 0评论 2020-06-04

4、SpringMVC:Hello,SpringMVC

--关联一个springmvc的配置文件:-servlet.xml-->. --/* 匹配所有的请求;-->. --视图解析器:DispatcherServlet给他的ModelAndView-->

方志朋 / 0评论 2020-05-30

servlet web项目连接数据库报错

Wed May 27 14:15:54 CST 2020 WARN: Establishing SSL connection without server‘s identity verification is not recommended. Accord

一片荷叶 / 0评论 2020-05-27

SpringMVC=&gt;web.xml基本配置

--通过初始化参数指定SpringMVC配置文件的位置,进行关联-->. -- 启动顺序,数字越小,启动越早 -->. --所有请求都会被springmvc拦截 -->. --解决中文乱码问题-->

spring艳 / 0评论 2020-05-16

【SpringMVC】02 流程分析

--关联一个springmvc的配置文件:-servlet.xml-->. --/ 匹配所有的请求;-->. 这个Servlet必须是第一个加载出来的,因为这个DispatcherServlet是一个统一的调配分发中心。生成工程目录直接在当前目

zhangdy0 / 0评论 2020-05-06

使用命令行写一个 Java Servlet

不用Eclipse,仅仅用命令行写一个Java Servlet 可不可行呢?对Servlet 深入了解之后,答案是肯定的。其实只需要三行命令即可以完成。

80304053 / 0评论 2020-05-04

springMVC入门

--配置前端控制器-->. <load-on-startup>1</load-on-startup> 在程序加载的时候就执行,这样子就会引入相关的配置启动spring的ioc注入。--配置解决中文乱码的过滤器-->. &

neweastsun / 0评论 2020-05-04

Spring Security:Servlet 过滤器(三)

  Spring Security过滤器链是一个非常复杂且灵活的引擎。Spring Security 的 Servlet 支持基于 Servlet 过滤器,因此通常首先了解过滤器的作用会很有帮助。  客户端向应用程序发送请求,然后容器创建一个FilterC

shuiluobu / 0评论 2020-05-01

SpringMVC-数据输出、Map、Model、视图解析、处理Json

-- 字符编码过滤器-->. --encoding:指定解决POST请求乱码-->

方志朋 / 0评论 2020-04-25

servlet安全

验证,用户名密码方式,证书方式。授权,已经通过验证的用户的访问级别,如网上商城有公用区,买家区(须登陆)。保密,敏感数据在互联网上传输时要加密。数据完整性,数据不能被篡改。声明后,servlet容器会负责验证和授权的过程。关闭浏览器是结束会话的唯一方式。摘

kong000dao0 / 0评论 2020-04-23

Struts2-获得servlet的api

  1.struts提供了一个ActionContext来提供servlet的原生api.     >request域,session域,appication域。    >param参数,attr域,valuestack.   3.Action

playis / 0评论 2020-04-18

servlet 各种请求路径方法

如果浏览器请求的与当前Servlet中<url-pattern>的内容,Tomcat才会带调用当前Servlet. uname=mike OneServelt会被调用,因为tomcat是通过读取url来定位servlet的。      如果按照

sicceer / 0评论 2020-04-07

SpringBoot配置嵌入式的Servlet

1)、如何定制和修改Servlet容器的相关配置;由于SpringBoot默认是以jar包的方式启动嵌入式的Servlet容器来启动SpringBoot的web应用,没有web.xml文件。}public class MyFilter implements

owenbbkp / 0评论 2020-03-27

javax.servlet.Servlet源码分析

/*   此方法负责初始化Servlet对象,一旦Servlet容器创建好Servlet对象,那么一切初始化操作由这个方法完成。     init()方法执行成功后,这个Servlet才能放入服务中,被客户端请求到。     发生妨碍servlet正

zhujiangtaotaise / 0评论 2020-03-26

【六祎- Java】Spring整合Mybatis-配置文件web.xml

--1. SpringIOC容器配置加载 -->. --classpath 表示加载类路径下的配置文件-->. --3. 配置SpringMVC前端控制器 -->

XCMercy / 0评论 2020-03-08

SpringMVC:Controller 及 RestFul风格

控制器复杂提供访问应用程序的行为,通常通过接口定义或注解定义两种方法实现。控制器负责解析用户的请求并将其转换为一个模型。新建一个Moudle,springmvc-controller 。--配置DispatcherServlet:这是个springmvc的

牧场SZShepherd / 0评论 2020-02-21

Servlet简介

Servlet:server applet概念:运行在服务器端的小程序Servlet就是一个接口,定义了Java类被浏览器访问到时,Tomcat识别的规则。需要自定义一个类,实现Servlet接口,复写方法。这个类就可以称为Servlet要看JavaEE的

朱建伟 / 0评论 2020-02-18

SpringMVC与Servlet 3.0结合

web容器主要有:Apache、IIS、Tomcat、Jetty、JBoss、webLogic等,而Tomcat、Jetty、JBoss、webLogic同时也是servlet容器,或者说他们还包含了servlet容器。大多数servlet容器同时提供了w

凯哥Java / 0评论 2020-02-16

springMVC项目配置文件

    <url-pattern> / </url-pattern> //表示拦截所有请求,交由springMVC后台控制器来处理。          <prop key = "/hello"> He

小鱿鱼 / 0评论 2020-02-14

关于Servlet线程安全的问题

默认情况下servlet对声明的servlet,只创建一个servlet实例,多个客户访问这个servlet那么servlet容器采取多线程方式。多个客户同事请求同一个servlet,那么会有多个线程同时执行这个servlet实例的service方法,se

Bellboy / 0评论 2020-02-02

SpringMvc简单使用

SpringMvc框架的简单使用。同时,引入编译插件,使编译时使用JDK1.8版本(非必须)

Julywhj / 0评论 2020-01-24

Java Servlet(十二):Servlet、Listener、Filter之间的执行流程分析

时隔几年后,看到本系列文章讲解的内容缺少了不少内容:周末无事分析了Spring Security是如何被集成到Web Servlet时,需要重新理清Filter、Listener、Servlet之间的执行顺序,于是就有了本篇文章。这个话题是Web Serv

whbing / 0评论 2020-01-19

MVC设计模式

MVC设计模式 一、Model模型 登录、增加、删除 功能的实现。用JavaBean实现 处理业务逻辑 处理数据二、View视图 负责页面的显示;表单、表格 用于展示以及与用户交互,使用 html、js、css、jsp、jQuery等前端技术实现三、Con

codercheng / 0评论 2020-01-18

Spring Boot使用嵌入式容器,自定义Filter如何配置?

Listener、Filter和Servlet是Java Web开发过程中常用的三个组件,其中Filter组件的使用频率最高,经常被用来做简单的权限处理、请求头过滤和防止XSS***等。如果我们使用的是传统的Spring MVC进行开发,那么只需要在Tom

JayFighting / 0评论 2020-01-14

基于JSP+Servlet开发在线租车系统 java 源码

运行环境:最好是java jdk 1.8,我们在这个平台上运行的。IDE环境:Eclipse,Myeclipse,IDEA都可以tomcat环境:Tomcat 7.x,8.x,9.x版本均可,理论上Tomcat版本不是太老都可以。硬件环境:windows

成长共勉 / 0评论 2020-01-14

SpringMVC初尝试

--SpringMVC核心控制器的配置 -->. --名称只要唯一就行了 -->. -- 加载springmvc框架的配置文件 -->. --容器初始化的时候,就加载dispatcherservlet -->. -- 表示

牧场SZShepherd / 0评论 2020-01-12

springmvc实例之显示雇员相关信息(一)

-- The front controller of this Spring Web application, responsible for handling all application requests -->. -- Map all req

Julywhj / 0评论 2020-01-11

HTML,CSS,JavaScript,AJAX,JSP,Servlet,JDBC,Structs,Spring,Hibernate,Xml等概念

Java Web开发中经常用XML来存储Web应用的配置信息

impress / 0评论 2020-01-01

Spring-Boot使用嵌入式容器,那怎么配置自定义Filter呢

Listener、Filter和Servlet是Java Web开发过程中常用的三个组件,其中Filter组件的使用频率最高,经常被用来做简单的权限处理、请求头过滤和防止XSS攻击等。如果我们使用的是传统的Spring MVC进行开发,那么只需要在Tomc

容数据服务集结号 / 0评论 2020-01-10

前端传数据到servlet数据乱码

package demo;@WebInitParam(name = "encoding", value = "UTF-8")}). private FilterConfig config;public void do

zxznsjdsj / 0评论 2019-12-28

软件开发架构平台技术-------Struts2之Web容器对象的使用

我们使用过servlet后就会知道request,session,application这三大对象对于我们实现后台和前台的数据交互的重要性,当然我们使用struts2这个表示层框架进行开发时,当然也少不了这三个对象的使用。HttpSession、Servl

yaoyao0 / 0评论 2014-06-01

响应json数据之发送ajax的请求

<url-pattern>/outputservlet3</url-pattern> //注意这里开始的地方有“/”。String sql="select RANK, POINT from MAPGIS.FIRERANK,

Richardxx / 0评论 2019-12-23

JavaEE基础(02):Servlet核心API用法详解

Servlet是JavaWeb的三大组件之一,它属于动态资源。Servlet的作用是处理请求,服务器会把接收到的请求交给Servlet来处理,在Servlet中通常需要:接收请求数据;处理请求;完成响应。获取servlet初始化参数和servletCont

xubzhlin / 0评论 2019-12-12

SpringBoot(七) -- 嵌入式Servlet容器

};doPost(req, resp);resp.getWriter().write("Hello MyServlet");import org.slf4j.Logger;import javax.servlet.*;public vo

supjia / 0评论 2019-12-11

JavaEE基础(02):Servlet核心API用法详解

Servlet是JavaWeb的三大组件之一,它属于动态资源。Servlet的作用是处理请求,服务器会把接收到的请求交给Servlet来处理,在Servlet中通常需要:接收请求数据;处理请求;完成响应。获取servlet初始化参数和servletCont

xiaouncle / 0评论 2019-12-11

JavaEE基础(02):Servlet核心API用法详解

Servlet是JavaWeb的三大组件之一,它属于动态资源。Servlet的作用是处理请求,服务器会把接收到的请求交给Servlet来处理,在Servlet中通常需要:接收请求数据;处理请求;完成响应。获取servlet初始化参数和servletCont

playis / 0评论 2019-12-11

JavaWeb学习——了解Servlet

随着互联网技术的发展,基于HTTP和HTML的web应用急速增长。早期的web应用主要用于浏览新闻等静态页面,用户通过HTTP协议请求服务器上的静态页面,服务器上的web服务器软件接收到请求后,读取URI标示的资源,再加上消息报头发送给客户端浏览器,浏览器

CoderBoy / 0评论 2019-12-09

JavaWeb_(Spring框架)用户登陆Spring整合到Servlet中

<span class="input-group-addon"><span class="icon_profile"></span></span>. <input

whbing / 0评论 2019-12-08

servlet不是线程安全的

综上说明静态变量、实例变量、局部变量,三者使用范围或者说生命周期越大 则越不线程安全

gongruitao / 0评论 2019-12-08