一、过滤器
Spring Security 的 Servlet 支持基于 Servlet 过滤器,因此首先了解过滤器的作用会很有帮助。
下图为单个 HTTP 请求的处理程序的典型分层。
客户端向应用程序发送一个请求,运行容器创建一个FilterChain(过滤链),其中包括所有的Filter实例和Servlet。过滤器根据URI路径处理请求和响应。
在一个SpringMvc(Spring Boot)应用程序中,一般只有一个Servlet实例,也就是 DispatcherServlet,他们按照指定的顺序(每个Filter实例实例的顺序非常重要),共同协作。
一个简单的自定义过滤器代码示例:
// 使用@ServletComponentScan添加在启动类上扫描该自定义过滤器@WebFilter(filterName = "simpleFilter", urlPatterns = {"/*"})
@Slf4j
public class SimpleFilter3 implements Filter {public void init(FilterConfig filterConfig) throws ServletException {log.info("初始化");}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {log.info("业务处理开始");filterChain.doFilter(servletRequest, servletResponse);log.info("业务处理结束");}public void destroy() {log.info("销毁");}
}
二、DelegatingFilterProxy
Spring提供了一个名为DelegatingFilterProxy的实现,它允许Servlet容器的生命周期和Spring的生命周期之间进行桥接。
Servlet容器使用自己的标准注册Filter实例,但它不知道Spring中定义的过滤器Bean。在有了DelegatingFilterProxy后就可以很方便的在Servlet中使用Spring来管理过滤器Bean。
在请求响应过程中,DelegatingFilterProxy从Spring中查询注册的过滤器Bean对象,然后调用Bean的过滤方法。
下图为DelegatingFilterProxy是如何让使用Filter实例和FilterChain的。
从DelegatingFilterProxy源码中可以看到该类包含了Spring容器和被代理的过滤器:
一个简单的DelegatingFilterProxy使用代码示例:
// Spring定义的Bean Filter
@Component("simpleFilter")
@Slf4j
public class SimpleFilter2 implements Filter {public void init(FilterConfig filterConfig) throws ServletException {log.info("初始化");}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {log.info("业务处理开始");filterChain.doFilter(servletRequest, servletResponse);log.info("业务处理结束");}public void destroy() {log.info("销毁");}
}@Configuration
public class SimpleConfig {@Beanpublic DelegatingFilterProxyRegistrationBean delegatingFilterProxyRegistrationBean() {DelegatingFilterProxyRegistrationBean delegatingFilterProxy = new DelegatingFilterProxyRegistrationBean("simpleFilter");delegatingFilterProxy.addUrlPatterns("/*");delegatingFilterProxy.setOrder(-5);Map<String, String> initParameters = new HashMap<>();initParameters.put("targetFilterLifecycle", "true");delegatingFilterProxy.setInitParameters(initParameters);return delegatingFilterProxy;}
}
三、FilterChainProxy
Spring Security提供FilterChainProxy代理类,是Spring Security使用的核心,用于代理Spring Security中所有的SecurityFilterChain,而在SecurityFilterChain 中又包含多个Spring Security声明的Filter
下图FilterChainProxy在整个请求响应过程中的作用。
从FilterChainProxy源码中可以看到该类代理了Spring Security中所有的SecurityFilterChain:
FilterChainProxy本质上是一个特殊的过滤器,通过DelegatingFilterProxy进行代理,所有其也是一个Bean对象。
在SecurityFilterChain过滤链中通常都是Bean对象,通过FilterChainProxy进行注册与直接通过Servlet容器或通过DelegatingFilterProxy进行注册相比,FilterChainProxy注册有很多优势:
- 它为
Spring Security的所有Servlet支持提供了一个起点,如果需要对Spring Security的Servlet支持进行故障诊断可以在在FilterchainProxy中添加一个调试点。 - 可以执行一些不被视为可有可无的任务,例如,清除了
SecurityContext以避免内存泄漏、应用Spring Security的HttpFirewall来保护应用程序免受某些类型的攻击 - 在确定何时应该调用
SecurityFilterChain方面提供了更大的灵活性,在Servlet容器中,Filter实例仅基于URL被调用。FilterChainProxy可以通过使用RequestMatcher接口,根据HttpServletRequest中的任何内容确定调用。
![[已解决]大数据集群CPU告警问题解决](https://img-blog.csdnimg.cn/img_convert/983f11cb7cc3df73a145f5546fb6f014.png)
