Spring Security 是一個強大的認(rèn)證和授權(quán)框架，它的使用方式也非常簡單，但是要想真正理解它就需要花一時間來學(xué)習(xí)了，最近在學(xué)習(xí) Spring Security 時有一些新的理解，特意記錄下來防止知識忘記的太快，畢竟好記性不如爛筆關(guān)，也給即將準(zhǔn)備學(xué)習(xí) Spring Security 的同志做一個參考。

由于我在學(xué)習(xí)和使用是基于 Servlet Applications 的，所以文中的大部分都與 Servlet 相關(guān)，當(dāng)然 Spring Security 還支持 Reactive Applications 功能上都是一樣，在架構(gòu)上會有一些差別，有興趣的同學(xué)可以自行查看官方文檔。

Spring Securty 在 Servlet Applications 中的應(yīng)用

以下部分內(nèi)容摘自官方文檔

Servlet Filter Chain

提到 Servlet Filter Chain 應(yīng)該都熟悉的吧，它們是一系列由 javax.servlet.Filter 實現(xiàn)類組成的一個鏈，大致圖如下所示：

Servlet Filter Chain

上圖中Client發(fā)送Http請求，然后請求經(jīng)過FilterChain，每個匹配的Filter都有機會處理request和response對象，最終請求會到達servlet（如何filter中沒有特殊處理的情況下）。

Spring Security 的實現(xiàn)簡單來說，就是往Servlet Filter Chain加了一個特殊的過濾器來處理認(rèn)證或授權(quán)請求 。

DelegatingFilterProxy

Spring 提供一個javax.servlet.Filter的實現(xiàn)類 DelegatingFilterProxy ,它的主要功能跟它的名稱一樣，通過代理模式委托給一個Spring管理的Bean來完成相應(yīng)的功能。

DelegatingFilterProxy

在上圖中，DelegatingFilterProxy 會在 ApplicationContext 中查找 Filter0 并執(zhí)行Filter0的doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}

FilterChainProxy

前面說過DelegatingFilterProxy只是一個代理 Filter，并沒有真正的功能。
在 Spring Security 中還有一個 FilterChainProxy 類，它是 Spring Security 中非常重要的入口（斷點打在這準(zhǔn)沒錯），它負(fù)責(zé)匹配請求、執(zhí)行 Filter 等功能。

FilterChainProxy

你可能發(fā)現(xiàn)了上圖中在FilterChainProxy部分還有個 SecurityFilterChain，它是一個接口只有兩個方法：

• matches用于匹配請求
• getFilters是獲取針對匹配請求的所有的 Filters

SecurityFilterChain 接口：

public interface SecurityFilterChain {

   boolean matches(HttpServletRequest request);

   List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 里面包含很多個 Filter ,不同的 Filter 完成不同的功能，如登陸認(rèn)證、退出登陸、設(shè)置SecurityContext等，在Spring Security 中可以有多個 SecurityFilterChain 每個 SecurityFilterChain 負(fù)責(zé)不同的請求地址，如可以針對/app/api/**與/web/api/**設(shè)置不同的認(rèn)證規(guī)則。

SecurityFilterChain

總結(jié)

前面提到了四個重要的概念：

• Servlet Filter Chain：Serverl過濾器鏈
• DelegatingFilterProxy：Spring Filter代理類，將功能委托給 FilterChainProxy
• FilterChainProxy：匹配請求，執(zhí)行 SecurityFilterChain 中的過濾器
• SecurityFilterChain：包含一組Filter

總結(jié)下來可以用一張圖表示：

image

根據(jù)上面圖如Client訪問/web/api/login就會匹配到SecurityFilterChain 0并執(zhí)行其中的 Filters。

匹配過程我看了下FilterChainProxy的源碼，大致流程和我理解的差不多，我把代碼精簡了一下以下：

public class FilterChainProxy extends GenericFilterBean {

    private List<SecurityFilterChain> filterChains;



    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
    
    
        ...
        doFilterInternal(request, response, chain);
        ...
    }

    private void doFilterInternal(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

    
        ...
        
        List<Filter> filters = getFilters(fwRequest);

        ...

        VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
        vfc.doFilter(fwRequest, fwResponse);
    }


    private List<Filter> getFilters(HttpServletRequest request) {
        for (SecurityFilterChain chain : filterChains) {
            if (chain.matches(request)) {
                return chain.getFilters();
            }
        }

        return null;
    }



 
    private static class VirtualFilterChain implements FilterChain {
    
        @Override
        public void doFilter(ServletRequest request, ServletResponse response)
                throws IOException, ServletException {
        
        ...
    }

 

}

• 首先在FilterChainProxy的doFilter方法會執(zhí)行doFilterInternal方法
• doFilterInternal 方法中調(diào)用 getFilters 獲取過濾器列表

    private List<Filter> getFilters(HttpServletRequest request) {
        for (SecurityFilterChain chain : filterChains) {
            if (chain.matches(request)) {
                return chain.getFilters();
            }
        }

        return null;
    }

• 在 getFilters 會調(diào)用SecurityFilterChain.matches匹配請求
• 最后將得到的filters放在 VirtualFilterChain 中執(zhí)行

最后

正常學(xué)習(xí)Spring Securty中，如有不對之處，謝謝指正。之篇文章主要講述了 Spring Securty 與 Servlet Applications 集成部分，個人在學(xué)習(xí)的時候覺得 Spring Security 中配置是非常難懂，看了幾遍還是沒有完全理解，有很多 Builder、Configurer 轉(zhuǎn)的頭都暈了。。。，準(zhǔn)備準(zhǔn)備下一篇文章理一理 Spring Security 的配置。

推薦

• 微服務(wù)下的數(shù)據(jù)一致性的幾種實現(xiàn)方式
• 深入探秘 Netty、Kafka 中的零拷貝技術(shù)！
• SaaS(軟件即服務(wù)) 的架構(gòu)設(shè)計
• 一步一步帶你入門MySQL中的索引
• Spring Boot + Redis 限流實踐

學(xué)習(xí)資料分享

12 套 微服務(wù)、Spring Boot、Spring Cloud 核心技術(shù)資料，這是部分資料目錄：

• Spring Security 認(rèn)證與授權(quán)
• Spring Boot 項目實戰(zhàn)（中小型互聯(lián)網(wǎng)公司后臺服務(wù)架構(gòu)與運維架構(gòu)）
• Spring Boot 項目實戰(zhàn)（企業(yè)權(quán)限管理項目））
• Spring Cloud 微服務(wù)架構(gòu)項目實戰(zhàn)（分布式事務(wù)解決方案）
• ...

公眾號后臺回復(fù)arch028獲取資料：：

image