spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程

承接上文

上一节 http://t.csdnimg.cn/ueSAl 最后讲到了过滤器收集完成注入容器,这节我们来讲Security的Filter是怎么被Spring调用的。
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第1张图片
我们先看webSecurity的performBuild方法(),
![在这里插入图片描述](https://img-b
也就是说,最终返回的过滤器对象实例有两种情况当我们配置debugEnabled为true返回的是条件配置型过滤器DebugFilter,否则返回代理过滤器FilterChainProxy。

步入正题

执行过滤器会调用FilterChainProxy的doFilter()方法,
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第2张图片
blog.csdnimg.cn/direct/b1b18010acc341dbb08758650aedba99.png)
接着会调用FilterChainProxy的doFilterInternal方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第3张图片
创建虚拟过滤器链VirtualFilterChain,VirtualFilterChain是FilterChainProxy的私有静态嵌套类,调用其doFilter方法,nextFilter.doFilter(request, response, this)传入this,为了实现循环回调doFilter方法。
将所有定义的过滤器执行完。
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第4张图片
具体的security过滤器使用流程清楚了,现在我们只需找到FilterChainProxy在那里使用了即可。

SecurityFilterAutoConfiguration这个类发现是springboot集成的自动配置类,所以springboot会自动注入该实例
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第5张图片
这个配置类会注入一个名为securityFilterChainRegistration类型为DelegatingFilterProxyRegistrationBean的bean,首先要springSecurityFilterChain存在
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第6张图片

spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第7张图片
不错,springSecurityFilterChain就是WebSecurityConfigurer的springSecurityFilterChain方法返回的FIlter
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第8张图片
DelegatingFilterProxyRegistrationBean构造会保存Filter的名字springSecurityFilterChain作为属性,
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第9张图片
DelegatingFilterProxyRegistrationBean的getFilter方法会创建DelegatingFilterProxy并将springSecurityFilterChain作为参数传入
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第10张图片
从这里我们可以看出 DelegatingFilterProxyRegistrationBean ,DelegatingFilterProxy,FilterChainProxy三者之间的关系。

现在我们首先找出使用DelegatingFilterProxyRegistrationBean 的地方,
通过调试终于找到了线索,在TomcatStarter的onStartup方法()
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第11张图片
initializers集合其中包含ServletWebServerApplicationContext,调用其onStartup方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第12张图片
可以看出initializer是lambda表达式,这里的initializer可以理解使用的是 initializer = ServletWebServerApplicationContext.getSelfInitializer()
在这里插入图片描述selfInitialize方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第13张图片
这里拓展一下lambda的知识
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第14张图片
所以可以理解为
ServletContextInitializer initializer = (servletContext) -> return servletWebServerApplicationContext.selfInitialize(servletContext);

因此调用initializer.onStartup(servletContext)实际调用的是ServletWebServerApplicationContext的selfInitialize方法。
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第15张图片
查看getServletContextInitializerBeans()
在这里插入图片描述
查看ServletContextInitializerBeans构造函数
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第16张图片
接着看addServletContextInitializerBeans方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第17张图片
接着看addServletContextInitializerBean方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第18张图片
这里注意

String source = ((DelegatingFilterProxyRegistrationBean) initializer).getTargetBeanName();

前面在生成DelegatingFilterProxyRegistrationBean的时候targetBeanName传的是我们FilterChainProxy的bean名称springSecurityFilterChain
接着看addServletContextInitializerBean方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第19张图片
调用this.initializers将DelegatingFilterProxyRegistrationBean实例放入ServletContextInitializerBeans实例的initializers集合属性中,ServletContextInitializerBeans是继承于AbstractCollection,并且实现了迭代器
在这里插入图片描述
sortedList和initializers有什么关系呢?我们再回到ServletContextInitializerBeans实例的ServletContextInitializerBeans方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第20张图片
他是先将DelegatingFilterProxyRegistrationBean放入initializers,然后再排序赋值给sortedList。
好的回到spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第21张图片

for (ServletContextInitializer beans : getServletContextInitializerBeans()) {
			beans.onStartup(servletContext);
		}

因此上述代码迭代的是sortedList
查看beans.onStartup(servletContext);这里的onStartup是属于RegistrationBean类
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第22张图片
继续查看register(description, servletContext);这里的register方法属于DynamicRegistrationBean类
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第23张图片
继续看D registration = addRegistration(description, servletContext);这里的 addRegistration方法属于AbstractFilterRegistrationBean类
在这里插入图片描述Filter filter = getFilter();
Filter filter = getFilter();是否熟悉,不错他就是DelegatingFilterProxyRegistrationBean的getFilter方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第24张图片
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第25张图片DelegatingFilterProxy是实现Filter接口,被注册到servletContext容器,都需就走Spring过滤器执行流程
在这里插入图片描述
因此会调用DelegatingFilterProxy的doFilter方法
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第26张图片
我们需要关心spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第27张图片delegateToUse = initDelegate(wac);
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第28张图片
还记得DelegatingFilterProxyRegistrationBean调用getFilter()构造DelegatingFilterProxy时传入的名称就是我们FilterChainProxy的bean名称springSecurityFilterChain,
因此

Filter delegate = wac.getBean(targetBeanName, Filter.class);

拿到的就是FilterChainProxy实例,
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第29张图片继续看invokeDelegate(delegateToUse, request, response, filterChain);
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第30张图片
delegate传入的是FilterChainProxy,因此这里的doFilter方法属于FilterChainProxy类

spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第31张图片
继续看doFilterInternal方法

spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第32张图片
继续看vfc.doFilter(fwRequest, fwResponse);
spring Security源码讲解-Sevlet过滤器调用springSecurty过滤器的流程_第33张图片
就到了我们刚开始的代码位置。

大致流程就是:
1.将webSecurity从httpSecurity中收集的security的过滤器封装成beab名称为springSecurityFilterChain的FilterChainProxy对象,注入spring容器
2.DelegatingFilterProxyRegistrationBean调用getFilter()方法,构造DelegatingFilterProxy实例,DelegatingFilterProxy类继承Filter,因此会被注入到servlet容器,
3.sevlet过滤器拦截执行DelegatingFilterProxy过滤器的doFilter方法,通过springSecurityFilterChain名称查找FilterChainProxy实例进行循环调用,执行Security的过滤器
4.Security的过滤器执行完成,调用chain.doFilter(fwRequest, fwResponse)继续执行serlvet的下一个过滤器

你可能感兴趣的:(spring,java,后端)