上篇文章已经简述了Spring Security是什么和Spring Security的整体架构设计,下面我们分析一下Spring Security主流程的源码,进一步的加深对Spring Security的了解。
上篇文章中已经提到Spring Security主要的类和接口分别为DetegatingFilterProxy、FilterChainProxy和SecurityFilterChain,对于主流程的源码解析主要围绕这些类进行。
Servlet容器初始化,进而创建了DelegatingFilterProxy。WebApplicationInitializer接口的onStartup方法将会在Servlet容器启动时被调用,AbstractSecurityWebApplicationInitializer实现了该接口,因此AbstractSecurityWebApplicationInitializer的onStartup方法将被调用。在onStartup方法中,有一个insertSpringSecurityFilterChain方法。
可以看到在insertSpringSecurityFilterChain方法中创建了DelegatingFilterProxy对象,并将DelegatingFilterProxy对象添加到了Servlet的过滤器链中。进入DelegatingFilterProxy的构造器可以看到将DelegatingFilterProxy的成员变量targetBeanName赋值成了DEFAULT_FILTER_NAME,即springSecurityFilterChain。
DelegatingFilterProxy被创建后加入到了Servlet容器的过滤器链中,并且作为第一个过滤器,因此DelegatingFilterProxy的doFilter方法将在用户发起请求后被调用。
查看DelegatingFilterProxy的doFilter方法可以发现DelegatingFilterProxy将真正的过滤操作分派给了delegateToUse这个局部变量。继续查看源码,看delegateToUse是什么。
可以看到delegateToUse是从WebApplicationContext里面根据BeanName获取到的,而targetBeanName在之前已经设置为springSecurityFilterChain。因此,DelegatingFilterProxy其实就是将真正的过滤操作转派给了一个BeanName为springSecurityFilterChain的对象。
接下来我们的问题就变成了BeanName为springSecurityFilterChain的对象是什么。
在WebSecurityConfiguration这个配置类中,创建了springSecurityFilterChain。那这个对象到底是什么呢,带着这个疑问继续看源码是如何创建springSecurityFilterChain对象并返回的。
可以看到这个方法先是调用了apply方法,然后调用build方法返回了创建的对象。
可以看到apply方法主要是将形参configurer放到了this.configurers这个map里面,而这个configurer就是前面传进来的实参WebSecurityConfigurerAdapter对象。这个对象在build的调用链中的configure()方法中会被使用,主要用于调用configure(WebSecurity web)方法,这个后续章节再做介绍。
build方法是一个泛型类的方法,因为performBuild方法有多个实现类,因此我们先判断一下这个泛型是什么类型,以此来确定调用的是哪个类的performBuild方法。
调用build方法的是WebSecurity类的对象,通过泛型的比对可以发现build方法的返回值类型为Filter,因此必定是调用WebSecurity的performBuild方法。
可以清楚的看到返回的Filter其实就是FilterChainProxy对象,所以springSecurityFilterChain对象其本质就是FilterChainProxy对象。因此,DelegatingFilterProxy将真正的过滤操作转派给了一个BeanName为springSecurityFilterChain的对象,就是转派给了FilterChainProxy对象!!!
从FilterChainProxy的创建可以看到在初始化时传入了一个SecurityFilterChain的list集合。这个list集合里包含了一个DefaultSecurityFilterChain和一个由securityFilterChainBuilder创建的对象。这个由securityFilterChainBuilder创建的对象里面就包含了一系列Spring Security的默认过滤器,至于这一系列过滤器是如何注入的,这个后续章节再解析,本章节主要讨论拥有了这一系列过滤器后,Spring Security是如何实现过滤的。
前文已经介绍了真正的过滤操作将由FilterChainProxy对象来执行,因此FilterChainProxy的doFilter方法将被调用。
可以看到FilterChainProxy的doFilter方法是先获取到所有的过滤器,然后调用内部类的doFilter方法,在内部类的doFilter方法中通过回调的方式循环所有的过滤器,以此来实现过滤。
下个篇章主要讲解Spring Security的默认过滤器以及默认过滤器是如何注入的