Spring Security原理分析【1】——整体布局切入
Spring Security 是Spring家族中基于JavaEE的企业Web应用程序的安全服务框架。准确而言是基于JavaEE中Servlet规范的Filter机制。
根据Servlet规范:一个客户端请求Request在Servlet容器中需要经过Filter Chain中一些列Filter处理后才会获取到Web资源,而且响应Response也需要再次经过Filter Chain中的Filter处理后才能返回给客户端。Spring基于该Servlet规范,在Filter中接入安全机制来保证Web资源的安全。
在Spring中,Filter对应的Bean为GenericFilterBean。它是一个抽象类,具体类为DelegatingFilterProxy,该类是一个委托类。
public class DelegatingFilterProxy extends GenericFilterBean {
...
// Web上下文
@Nullable
private WebApplicationContext webApplicationContext;
// 委托目标类名称
@Nullable
private String targetBeanName;
// 是否管理Filter的生命周期
private boolean targetFilterLifecycle = false;
// 委托目标类实例(Filter)
@Nullable
private volatile Filter delegate;
...
}核心方法doFilter简化后如下:
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
// delegate支持懒加载
Filter delegateToUse = this.delegate;
// invokeDelegate 调用委托目标的doFilter
delegate.doFilter(request, response, filterChain);
}正常情况下Servlet的Filter需要配置在web.xml中,这样Servlet容器初始化时就能找到并管理其生命周期,DelegatingFilterProxy则是Spring中用来找到那些不注册在web.xml中的Filter,然后交给Servlet去处理。
DelegatingFilterProxy是通过WebApplicationContext从IOC中根据targetBeanName获取已注册的Filter Bean。Spring Security基于Spring,因此也是利用该机制来完成Filter的注册的,其targetBeanName="springSecurityFilterChain"。
在基于web.xml类型的Web应用中,需要配置:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>基于JavaConfig类型的Web应用中,则需要配置:
@Bean
public FilterRegistrationBean springSecurityFilterChain(ServletContext servletContext) {
DelegatingFilterProxy springSecurityFilterChain = new DelegatingFilterProxy("springSecurityFilterChain");
return new FilterRegistrationBean(springSecurityFilterChain);
}springSecurityFilterChain这只是BeanName,其具体类为:FilterChainProxy,其doFilter如下:
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
if (clearContext) {
try {
// 已执行标识
request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
// 抽象方法
doFilterInternal(request, response, chain);
}
finally {
SecurityContextHolder.clearContext();
request.removeAttribute(FILTER_APPLIED);
}
}
else {
doFilterInternal(request, response, chain);
}
}前面也说了一个客户端请求需要经过2次Filter,而整个请求是单条链,因此正常情况下只需要一次就可以了。Filter的核心为doFilter,在FilterChainProxy中抽象为doFilterInternal进行了隔离分层
private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
// 请求防火墙
FirewalledRequest fwRequest = firewall.getFirewalledRequest((HttpServletRequest) request);
// 响应
HttpServletResponse fwResponse = firewall.getFirewalledResponse((HttpServletResponse) response);
// 获取过滤器列表
List<Filter> filters = getFilters(fwRequest);
// 如果未获取到,则说明没有额外的过滤器注册,正常走Servlet的Filter流程
if (filters == null || filters.size() == 0) {
fwRequest.reset();
chain.doFilter(fwRequest, fwResponse);
return;
}
// 如果获取到,则走Spring Security的过滤器执行流程,构建了VirtualFilterChain
VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
// 虚拟的过滤器链执行
vfc.doFilter(fwRequest, fwResponse);
}这里的getFilters很重要,决定了Spring Security到底执行了什么过滤器
private List<Filter> getFilters(HttpServletRequest request) {
// 对SecurityFilterChain逐个匹配HttpServletRequest
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
// 每条链是多个Filter,但是最终只返回首个匹配的链
return chain.getFilters();
}
}
return null;
}SecurityFilterChain 是配置到FilterChainProxy中的,配置过程很复杂,这里先不说,最终配置好的SecurityFilterChain为一个集合:filterChains。而SecurityFilterChain#matches则决定了请求流程,这是一个单向开关,多个过滤器链最终只能执行一条。单条过滤器链抽象为VirtualFilterChain,该类是一个经典的变形责任链模式。
其实到这里,一个正常的Servlet容器已经将Spring Security容纳进去了:
