聊聊SpringSecurity的过滤器链的形成
聊聊SpringSecurity的过滤器链的形成
SpringSecurity的过滤器链是怎么形成的呢?我们一起研究一下。
入口
springboot在启动的时候会加载META-INF/spring.factories下的配置,配置文件中定义了
org.springframework.boot.autoconfigure.EnableAutoConfiguration=org.springframework.boot.autoconfigure.security.SecurityFilterAutoConfiguration
也就是说会自动装配SecurityFilterAutoConfiguration这个类,类上有注解:@AutoConfigureAfter(SecurityAutoConfiguration.class)
意思是在加载SecurityAutoConfiguration类之后再加载SecurityFilterAutoConfiguration类,那么我们看一下SecurityAutoConfiguration类
SecurityAutoConfiguration类中导入了SpringBootWebSecurityConfiguration.class, SpringBootWebSecurityConfiguration上有个注解@EnableWebSecurity,表示开启security安全功能,
注解中又导入了WebSecurityConfiguration.class,WebSecurityConfiguration类的功能就是用来生成过滤器链的
WebSecurityConfiguration的springSecurityFilterChain()方法:
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
boolean hasConfigurers = webSecurityConfigurers != null
&& !webSecurityConfigurers.isEmpty();
if (!hasConfigurers) {
WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
.postProcess(new WebSecurityConfigurerAdapter() {
});
webSecurity.apply(adapter);
}
return webSecurity.build();
}
这个方法显然就是构建过滤器链的
深入webSecurity.build()方法会调用AbstractConfiguredSecurityBuilder的doBuild()方法:
@Override
protected final O doBuild() throws Exception {
synchronized (this.configurers) {
this.buildState = BuildState.INITIALIZING;
beforeInit();
init();
this.buildState = BuildState.CONFIGURING;
beforeConfigure();
configure();
this.buildState = BuildState.BUILDING;
O result = performBuild();
this.buildState = BuildState.BUILT;
return result;
}
}
doBuild()方法中调用init()方法,这个方法里会获取到SecurityConfigurer的子类,然后遍历所有的子类调用init()方法
init()方法
在WebSecurityConfigurerAdapter的init()方法中:
@Override
public void init(WebSecurity web) throws Exception {
HttpSecurity http = getHttp();
web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
FilterSecurityInterceptor securityInterceptor = http.getSharedObject(FilterSecurityInterceptor.class);
web.securityInterceptor(securityInterceptor);
});
}
- getHttp()方法中添加第一个过滤器链WebAsyncManagerIntegrationFilter类并添加一系列的配置类
- 再调用web.addSecurityFilterChainBuilder()方法将HttpSecurity实例添加到WebSecurity的securityFilterChainBuilders属性中
configure()方法
init()方法完成后继续执行AbstractConfiguredSecurityBuilder的doBuild()方法中的configure()方法,
这个方法中会调用具体的SecurityConfigurer实例的configure()方法,而SecurityConfigurer实例的configure()中就会把涉及的过滤器添加到HttpSecurity中
performBuild()方法
接下来就会执行AbstractConfiguredSecurityBuilder的performBuild()方法,方法中调用this.filters.sort(this.comparator)来对所有的过滤器进行排序,最终形成的过滤器链:
WebAsyncManagerIntegrationFilter:集成SecurityContext到Spring异步执行机制中的WebAsyncManager 中
SecurityContextPersistenceFilter:请求之前使用从SecurityContextRepository}获得的信息填充到SecurityContextHolder中,并在请求完成并清除上下文持有者后将其存储回存储库中。默认情况下,它使用 HttpSessionSecurityContextRepository。
HeaderWriterFilter:将header信息添加到当前响应中
CsrfFilter:对于post请求添加csrf的token信息,防止csrf gongji
LogoutFilter:匹配logout请求,用户退出后清除认证信息
ValidateCodeFilter:检验码过滤器 自定义的
UsernamePasswordAuthenticationFilter:用户名密码认证过滤器
RequestCacheAwareFilter:缓存HttpServletRequest
SecurityContextHolderAwareRequestFilter:对ServletRequest进行包装
AnonymousAuthenticationFilter:检测SecurityContextHolder中是否没有Authentication对象,如果为空创建匿名用户存入SecurityContextHolder中
SessionManagementFilter:限制一个用户开启多个会话的数量
ExceptionTranslationFilter:异常转换过滤器
FilterSecurityInterceptor:通过过滤器实现对 HTTP 资源进行安全处理
然后创建过滤器链的代理对象FilterChainProxy,返回结果
总结
这篇文章主要讲了过滤器链的创建过程,入口就是SecurityFilterAutoConfiguration类自动装配,总共有14个过滤器,主要是是通过SecurityConfigurer的实例的configure()方法添加到HttpSecurity对象中的
