Spring Security過濾器鏈加載執行流程源碼解析

Spring Security實現原理

Spring Security 采用 IoC 和 AOP思想，基於 Servlet 過濾器實現的安全框架、為 Web 請求和方法調用提供身份確認和授權處理，還提供與其他庫的集成以簡化其使用，避免瞭代碼耦合，減少瞭大量重復代碼工作。

在之前 web.xml中，我們是這樣寫的。

<!--SpringSecurity核心過濾器鏈-->
    <!--springSecurityFilterChain名詞不能修改-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

在 Spring Boot項目之後，我們引入 Spring Security依賴，什麼也沒做，啟動項目 Spring Security 就會生效，訪問請求就進行瞭攔截。

Spring Boot 對於 Spring Security 提供瞭自動化配置方案，可以使用更少的配置來使用 Spring Security。
那麼這個過濾器鏈是怎麼加載和實現攔截的呢？

一、Spring Security過濾器鏈加載

1、註冊名為 springSecurityFilterChain的過濾器

當 Spring Boot 項目啟動後，SecurityFilterAutoConfiguration類會加載 DelegatingFilterProxyRegistrationBean註冊過濾器，名字為 springSecurityFilterChain。

註意：springSecurityFilterChain名字是固定寫死的。

DelegatingFilterProxyRegistrationBean 註冊成功後，該過濾器就被加載瞭到瞭註冊器中。
註冊器註冊瞭所有的過濾器後，會為每個過濾器生成 DelegatingFilterProxy代理對象並註冊到 IoC中 。

2、查看 DelegatingFilterProxy類

我們訪問項目，就會進入 DelegatingFilterProxy類的 doFilter方法。

DelegatingFilterProxy類本質也是一個 Filter，其間接實現瞭 Filter接口，但是在 doFilter中其實調用的從 Spring 容器中獲取到的代理 Filter的實現類。

返回的 FilterChainProxy對象。
由此可知，DelegatingFilterProxy類通過 springSecurityFilterChain這個名稱，得到瞭一個 FilterChainProxy過濾器，最終執行的是這個過濾器的 doFilter方法。

1）驗證 springSecurityFilterChain名詞不能修改
查看 initDelegate方法。

3、查看 FilterChainProxy類

FilterChainProxy類本質也是一個 Filter，所以查看 doFilter方法。留意該類裡面的屬性。

public class FilterChainProxy extends GenericFilterBean {
    private static final Log logger = LogFactory.getLog(FilterChainProxy.class);
    private static final String FILTER_APPLIED =
            FilterChainProxy.class.getName().concat(".APPLIED");
    // 過濾器鏈
    private List<SecurityFilterChain> filterChains;
    private FilterChainProxy.FilterChainValidator filterChainValidator;
    private HttpFirewall firewall;

3.1 查看 doFilterInternal方法。

驚不驚喜？15個過濾器都在這裡瞭！

3.2 查看 getFilters方法。

原來這些過濾器都被封裝進 SecurityFilterChain對象中。

4 查看 SecurityFilterChain接口

SecurityFilterChain類是個接口，實現類也隻有一個 DefaultSecurityFilterChain類。
DefaultSecurityFilterChain類的構造方法，初始化瞭 List filters，是通過傳參放進去的。

過濾器鏈參數是什麼時候傳入的？

5 查看 SpringBootWebSecurityConfiguration類

創建 Spring Security 過濾器鏈是交給 Spring boot 自動配置，由 SpringBootWebSecurityConfiguration類創建註入。

查看 WebSecurityConfigurerAdapter類。

然後會註入 HttpSecurity對象，HttpSecurity可以理解為 Spring Security 的 http核心配置，存放 Spring Security 中的過濾器鏈、請求匹配路徑等相關認證授權的重要方法。

然後開始創建 Spring Security 過濾器鏈瞭，是交給 Spring Boot自動配置，一共有 15個過濾器。
使用 OrderedFilter進行代理，並設置瞭order屬性。
添加完成後，將這些過濾器再封裝為 DefaultSecurityFilterChain對象。

最後通過 WebSecurityConfiguration配置加載 springSecurityFilterChain，WebSecurityConfiguration中維護瞭securityFilterChains屬性，會存放過濾器鏈中所有的過濾器。

總結：
Spring boot 通過 DelegatingFilterProxyRegistrationBean註冊過濾器，名字為 springSecurityFilterChain，並生成 DelegatingFilterProxy代理對象並註冊到 IoC中。最終真正調用 FilterChainProxy過濾器的 doFilter 獲取到 Spring Security 過濾器鏈。

Spring Security的過濾器鏈在底層是封裝在 SecurityFilterChain接口中的。

二、過濾器鏈的執行流程

1、調用 OncePerRequestFilter過濾器

首先進入的是 OncePerRequestFilter 過濾器。
OncePerRequestFilter是為瞭確保一次請求中隻通過一次filter，而不需要重復的執行。

會進入 DelegatingFilterProxy代理對象中 invokeDelegate方法，實際真正執行的是 FilterChainProxy過濾器的 doFilter 方法。

2、查看 FilterChainProxy過濾器

查看 FilterChainProxy過濾器中的 doFilterInternal方法。
然後首先進入FilterChainProxy中的 doFilterInternal方法。
doFilterInternal方法中會調用 getFilters方法，會從過濾器鏈中拿出所有的攔截器。

然後創建一個 VirtualFilterChain對象，一個虛擬的過濾器鏈，並執行其中的 doFilter 方法。使用過濾器對當前請求進行層層過濾。

3、查看 FilterSecurityInterceptor過濾器

最後進入到 FilterSecurityInterceptor過濾器中，該過濾器是過濾器鏈的最後一個過濾器，invoke方法中。

先調用父類的 beforeInvocation方法，之後調用 filterChain的 doFilter方法，之後調用父類的 finallyInvocation和afterInvocation方法。

在 beforeInvocation方法中，如果當前的請求沒有通過認證，會拋出 Access is denied異常，這個異常會被ExceptionTranslationFilter過濾器處理。如果拋出的異常是 AuthenticationException，則執行方法sendStartAuthentication方法。
最終調用 EntryPoint的 commence方法，發佈異常。

三、Spring Security常見過濾器

1、WebAsyncManagerIntegrationFilter

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter

其主要用於集成 SecurityContext到 Spring異步執行機制中的 WebAsyncManager。

2、SecurityContextPersistenceFilter

org.springframework.security.web.context.SecurityContextPersistenceFilter

其主要是使用 SecurityContextRepository在 session中保存或更新一個SecurityContext，並將 SecurityContext給以後的過濾器使用，來為後續 filter建立所需的上下文。
SecurityContext中存儲瞭當前用戶的認證以及權限信息。

3、HeaderWriterFilter

org.springframework.security.web.header.HeaderWriterFilter

其主要是向請求的 Header中添加相應的信息，可在 http標簽內部使用 security:headers來控制。

4、CsrfFilter

org.springframework.security.web.csrf.CsrfFilter

csrf又稱跨域請求偽造，SpringSecurity會對所有 post請求驗證是否包含系統生成的 csrf的 token信息，
如果不包含，則報錯。起到防止csrf攻擊的效果。

5、LogoutFilter

org.springframework.security.web.authentication.logout.LogoutFilter

其主要用於實現用戶退出，清除認證信息。默認匹配 URL為 /logout的請求。

6、UsernamePasswordAuthenticationFilter

org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

其主要用於認證操作，默認匹配URL為 /login且必須為POST請求。

7、DefaultLoginPageGeneratingFilter

org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

如果沒有在配置文件中指定認證頁面，則由該過濾器生成一個默認認證頁面。

8、DefaultLogoutPageGeneratingFilter

org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter

由此過濾器可以生產一個默認的退出登錄頁面

9、BasicAuthenticationFilter

org.springframework.security.web.authentication.www.BasicAuthenticationFilter

此過濾器會自動解析 HTTP請求中頭部名字為 Authentication，且以 Basic開頭的頭信息。

10、RequestCacheAwareFilter

org.springframework.security.web.savedrequest.RequestCacheAwareFilter

通過HttpSessionRequestCache內部維護瞭一個 RequestCache，用於緩存 HttpServletRequest。

11、SecurityContextHolderAwareRequestFilter

org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

針對 ServletRequest進行瞭一次包裝，使得 request具有更加豐富的 API。

12、AnonymousAuthenticationFilter

org.springframework.security.web.authentication.AnonymousAuthenticationFilter

當 SecurityContextHolder中認證信息為空，則會創建一個匿名用戶存入到 SecurityContextHolder中。
Spring Security為瞭兼容未登錄的訪問，也走瞭一套認證流程，隻不過是一個匿名的身份。

13、SessionManagementFilter

org.springframework.security.web.session.SessionManagementFilter

其主要用於限制同一用戶開啟多個會話的數量。

14、ExceptionTranslationFilter

org.springframework.security.web.access.ExceptionTranslationFilter

異常轉換過濾器位於整個 springSecurityFilterChain的後方，用來轉換整個鏈路中出現的異常。ExceptionTranslationFilter過濾器會攔截處理 AccessDeniedException和 AuthenticationException並添加到HTTP響應中。

15、FilterSecurityInterceptor

org.springframework.security.web.access.intercept.FilterSecurityInterceptor

獲取所配置資源訪問的授權信息，根據 SecurityContextHolder中存儲的用戶信息來決定其是否有權限。

到此這篇關於Spring Security過濾器鏈加載執行流程源碼分析的文章就介紹到這瞭,更多相關Spring Security過濾器鏈內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet！

推薦閱讀：

• 淺談SpringSecurity基本原理
• Spring Security的過濾器鏈機制
• Spring Security 過濾器註冊脈絡梳理
• 解決Spring Security 用戶帳號已被鎖定問題
• 解決Java中的java.io.IOException: Broken pipe問題