spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程
承接上文
上一节 http://t.csdnimg.cn/ueSAl 最后讲到了过滤器收集完成注入容器,这节我们来讲Security的Filter是怎么被Spring调用的。
我们先看webSecurity的performBuild方法(),
方法,
blog.csdnimg.cn/direct/b1b18010acc341dbb08758650aedba99.png)
接着会调用FilterChainProxy的doFilterInternal方法
创建虚拟过滤器链VirtualFilterChain,VirtualFilterChain是FilterChainProxy的私有静态嵌套类,调用其doFilter方法,nextFilter.doFilter(request, response, this)传入this,为了实现循环回调doFilter方法。
将所有定义的过滤器执行完。
具体的security过滤器使用流程清楚了,现在我们只需找到FilterChainProxy在那里使用了即可。
SecurityFilterAutoConfiguration这个类发现是springboot集成的自动配置类,所以springboot会自动注入该实例
这个配置类会注入一个名为securityFilterChainRegistration类型为DelegatingFilterProxyRegistrationBean的bean,首先要springSecurityFilterChain存在
不错,springSecurityFilterChain就是WebSecurityConfigurer的springSecurityFilterChain方法返回的FIlter
DelegatingFilterProxyRegistrationBean构造会保存Filter的名字springSecurityFilterChain作为属性,
DelegatingFilterProxyRegistrationBean的getFilter方法会创建DelegatingFilterProxy并将springSecurityFilterChain作为参数传入
从这里我们可以看出 DelegatingFilterProxyRegistrationBean ,DelegatingFilterProxy,FilterChainProxy三者之间的关系。
现在我们首先找出使用DelegatingFilterProxyRegistrationBean 的地方,
通过调试终于找到了线索,在TomcatStarter的onStartup方法()
initializers集合其中包含ServletWebServerApplicationContext,调用其onStartup方法
可以看出initializer是lambda表达式,这里的initializer可以理解使用的是 initializer = ServletWebServerApplicationContext.getSelfInitializer()
selfInitialize方法
这里拓展一下lambda的知识
所以可以理解为
ServletContextInitializer initializer = (servletContext) -> return servletWebServerApplicationContext.selfInitialize(servletContext);
因此调用initializer.onStartup(servletContext)实际调用的是ServletWebServerApplicationContext的selfInitialize方法。
查看getServletContextInitializerBeans()
查看ServletContextInitializerBeans构造函数
接着看addServletContextInitializerBeans方法
接着看addServletContextInitializerBean方法
这里注意
String source = ((DelegatingFilterProxyRegistrationBean) initializer).getTargetBeanName();
前面在生成DelegatingFilterProxyRegistrationBean的时候targetBeanName传的是我们FilterChainProxy的bean名称springSecurityFilterChain
接着看addServletContextInitializerBean方法
调用this.initializers将DelegatingFilterProxyRegistrationBean实例放入ServletContextInitializerBeans实例的initializers集合属性中,ServletContextInitializerBeans是继承于AbstractCollection,并且实现了迭代器
sortedList和initializers有什么关系呢?我们再回到ServletContextInitializerBeans实例的ServletContextInitializerBeans方法
他是先将DelegatingFilterProxyRegistrationBean放入initializers,然后再排序赋值给sortedList。
好的回到
for (ServletContextInitializer beans : getServletContextInitializerBeans()) {
beans.onStartup(servletContext);
}
因此上述代码迭代的是sortedList
查看beans.onStartup(servletContext);这里的onStartup是属于RegistrationBean类
继续查看register(description, servletContext);这里的register方法属于DynamicRegistrationBean类
继续看D registration = addRegistration(description, servletContext);这里的 addRegistration方法属于AbstractFilterRegistrationBean类
Filter filter = getFilter();
Filter filter = getFilter();是否熟悉,不错他就是DelegatingFilterProxyRegistrationBean的getFilter方法
DelegatingFilterProxy是实现Filter接口,被注册到servletContext容器,都需就走Spring过滤器执行流程
因此会调用DelegatingFilterProxy的doFilter方法
我们需要关心
delegateToUse = initDelegate(wac);
还记得DelegatingFilterProxyRegistrationBean调用getFilter()构造DelegatingFilterProxy时传入的名称就是我们FilterChainProxy的bean名称springSecurityFilterChain,
因此
Filter delegate = wac.getBean(targetBeanName, Filter.class);
拿到的就是FilterChainProxy实例,
继续看invokeDelegate(delegateToUse, request, response, filterChain);
delegate传入的是FilterChainProxy,因此这里的doFilter方法属于FilterChainProxy类
继续看doFilterInternal方法
继续看vfc.doFilter(fwRequest, fwResponse);
就到了我们刚开始的代码位置。
大致流程就是:
1.将webSecurity从httpSecurity中收集的security的过滤器封装成beab名称为springSecurityFilterChain的FilterChainProxy对象,注入spring容器
2.DelegatingFilterProxyRegistrationBean调用getFilter()方法,构造DelegatingFilterProxy实例,DelegatingFilterProxy类继承Filter,因此会被注入到servlet容器,
3.sevlet过滤器拦截执行DelegatingFilterProxy过滤器的doFilter方法,通过springSecurityFilterChain名称查找FilterChainProxy实例进行循环调用,执行Security的过滤器
4.Security的过滤器执行完成,调用chain.doFilter(fwRequest, fwResponse)继续执行serlvet的下一个过滤器