1. spring和spring security的集成,配置web.xml如下:

<context-param>

        <param-name>contextConfigLocation</param-name>

        <param-value>

            /WEB-INF/spring-security.xml

        </param-value>

    </context-param>

    <!-- Spring Security -->

    <filter>

        <filter-name>springSecurityFilterChain</filter-name>

        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>springSecurityFilterChain</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

2. springSecurityFilterChain的来龙去脉

在org.springframework.security.config包里定义了该名称:

    /** External alias for FilterChainProxy bean, for use in web.xml files */

    public static final String SPRING_SECURITY_FILTER_CHAIN = "springSecurityFilterChain";
使用springSecurityFilterChain的地方:HttpSecurityBeanDefinitionParser.java 该类建立
Http 安全体系:过滤器栈和受保护的url。

    static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {

        if (pc.getRegistry().containsBeanDefinition(BeanIds.FILTER_CHAIN_PROXY)) {

            return;

        }

        // Not already registered, so register the list of filter chains and the FilterChainProxy

        BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);

        listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());

        pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, BeanIds.FILTER_CHAINS));

        BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);

        fcpBldr.getRawBeanDefinition().setSource(source);

        fcpBldr.addConstructorArgReference(BeanIds.FILTER_CHAINS);

        fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class));

        BeanDefinition fcpBean = fcpBldr.getBeanDefinition();

        pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, BeanIds.FILTER_CHAIN_PROXY));

        pc.getRegistry().registerAlias(BeanIds.FILTER_CHAIN_PROXY, BeanIds.SPRING_SECURITY_FILTER_CHAIN);

    }

}

从上面的代码可以看出,springSecurityFilterChain是DelegatingFilterProxy的代理对象。

3.FilterChainProxy

代理一组spring管理的filter bean来处理request。从spring security2.0以后,除非你需要对filter chain的内容进行严格的控制,否则你就无需显式的在context中配置一个FilterChainProxy。默认的<security:http />命名空间配置选项可以处理绝大部分应用场景。示例如下:

  <http auto-config="true">

    <remember-me key="xxx" token-validity-seconds="xxx" data-source-ref="dataSource"/>

    <form-login login-page="/login.jsp"/>

    <logout logout-success-url="/login.jsp"/>

    <intercept-url pattern="/*" access="ROLE_USER"/>

  </http>

通过在你的应用中的web.xml中增加一个名为DelegatingFilterProxy标准的spring声明,就可以将FilterChaiProxy链接到servlet 容器的filter chain。

3.1 配置

从spring security 3.1版本,FilterChainProxy通过一组SecurityFilterChain实例来配置,每个SecurityFilterChain实例包含一个RequestMacher和一组匹配request的Filter。

大部分应用只需要包含一个简单的filter chain,若你使用命名空间,你无需显式的设置chain;若你需要一个精确的 控制,你可以使用<filter-chain>命名空间元素。它定义了一个urI匹配模式和一组逗号分隔的、应用到request和url匹配的filter。实例如下:

<bean id="myfilterChainProxy" class="org.springframework.security.util.FilterChainProxy">

     <constructor-arg>

         <util:list>

             <security:filter-chain pattern="/do/not/filter*" filters="none"/>

             <security:filter-chain pattern="/**" filters="filter1,filter2,filter3"/>

         </util:list>

     </constructor-arg>

 </bean>

3.2 request处理

  HttpFirewall实例用来验证接收的request请求,并且创建一个新的包装后的请求,这个新包装的请求提供了和原请求一致的路径值。

  FilterChainProxy使用firewall实例来获取应用到filter chain的request请求和response响应对象。当request请求通过security filter chain,将调用reset方法,此时将会返回servletPath和pathInfo的原始值,而不是security 模式匹配后的修改值。

3.3 Filter生命周期

注意,servlet容器中的filter生命周期和Ioc容器中的filter生命周期不一致。因此建议你使用Ioc容器而不是servlet容器来管理你增加到应用上下文的filter 的生命周期。

3.4 SecurityFilterChain

定义了一个filter chain,它能够和HttpServletRequest进行匹配,匹配是为了决定是否需要应用到该request请求。

4. filters预览

  那么spring security有哪些filter呢?

SecurityFilters.java定义了默认的filter及其顺序:

 FIRST (Integer.MIN_VALUE),

    CHANNEL_FILTER,

    SECURITY_CONTEXT_FILTER,

    CONCURRENT_SESSION_FILTER,

    /** {@link WebAsyncManagerIntegrationFilter} */

    WEB_ASYNC_MANAGER_FILTER,

    HEADERS_FILTER,

    CSRF_FILTER,

    LOGOUT_FILTER,

    X509_FILTER,

    PRE_AUTH_FILTER,

    CAS_FILTER,

    FORM_LOGIN_FILTER,

    OPENID_FILTER,

    LOGIN_PAGE_FILTER,

    DIGEST_AUTH_FILTER,

    BASIC_AUTH_FILTER,

    REQUEST_CACHE_FILTER,

    SERVLET_API_SUPPORT_FILTER,

    JAAS_API_SUPPORT_FILTER,

    REMEMBER_ME_FILTER,

    ANONYMOUS_FILTER,

    SESSION_MANAGEMENT_FILTER,

    EXCEPTION_TRANSLATION_FILTER,

    FILTER_SECURITY_INTERCEPTOR,

    SWITCH_USER_FILTER,

    LAST (Integer.MAX_VALUE);

    private static final int INTERVAL = 100;

测试:

    public static void main(String[] args) {

        // TODO Auto-generated method stub

        System.out.println(SecurityFilters.CHANNEL_FILTER.getOrder());

        System.out.println(SecurityFilters.SECURITY_CONTEXT_FILTER.getOrder());

        System.out.println(SecurityFilters.CONCURRENT_SESSION_FILTER.getOrder());

    }

结果如下:

100
200
300

以此类推:

默认的过滤器顺序列表
order 过滤器名称
100 ChannelProcessingFilter
200 ConcurrentSessionFilter
300 SecurityContextPersistenceFilter
400 LogoutFilter
500 X509AuthenticationFilter
600 RequestHeaderAuthenticationFilter
700 CasAuthenticationFilter
800 UsernamePasswordAuthenticationFilter
900 OpenIDAuthenticationFilter
1000 DefaultLoginPageGeneratingFilter
1100 DigestAuthenticationFilter
1200 BasicAuthenticationFilter
1300 RequestCacheAwareFilter
1400 SecurityContextHolderAwareRequestFilter
1500 RememberMeAuthenticationFilter
1600 AnonymousAuthenticationFilter
1700 SessionManagementFilter
1800 ExceptionTranslationFilter
1900 FilterSecurityInterceptor
2000 SwitchUserFilter

5. filters架构层次

6. 默认filter的创建

spring security源码分析之一springSecurityFilterChain的更多相关文章

  1. Spring Security 源码分析 --- WebSecurity

    概述 spring security 源码分析系列文章. 源码分析 我们想一下,我们使用 ss 框架的步骤是怎么样的. @Configuration @EnableWebSecurity @Enabl ...

  2. Spring Security 源码分析(四):Spring Social实现微信社交登录

    社交登录又称作社会化登录(Social Login),是指网站的用户可以使用腾讯QQ.人人网.开心网.新浪微博.搜狐微博.腾讯微博.淘宝.豆瓣.MSN.Google等社会化媒体账号登录该网站. 前言 ...

  3. spring security源码分析心得

    看了半天的文档及源码,终于理出了spring-security的一些总体思路,spring security主要分认证(authentication)和授权(authority). 1.认证authe ...

  4. spring security源码分析之web包分析

    Spring 是一个非常流行和成功的 Java 应用开发框架.Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案.一般来说,Web 应用的安全性包括 ...

  5. spring security源码分析之core包

    Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring I ...

  6. 精尽Spring MVC源码分析 - 寻找遗失的 web.xml

    该系列文档是本人在学习 Spring MVC 的源码过程中总结下来的,可能对读者不太友好,请结合我的源码注释 Spring MVC 源码分析 GitHub 地址 进行阅读 Spring 版本:5.2. ...

  7. 精尽Spring Boot源码分析 - Jar 包的启动实现

    该系列文章是笔者在学习 Spring Boot 过程中总结下来的,里面涉及到相关源码,可能对读者不太友好,请结合我的源码注释 Spring Boot 源码分析 GitHub 地址 进行阅读 Sprin ...

  8. Spring mvc源码分析系列--Servlet的前世今生

    Spring mvc源码分析系列--Servlet的前世今生 概述 上一篇文章Spring mvc源码分析系列--前言挖了坑,但是由于最近需求繁忙,一直没有时间填坑.今天暂且来填一个小坑,这篇文章我们 ...

  9. spring事务源码分析结合mybatis源码(一)

    最近想提升,苦逼程序猿,想了想还是拿最熟悉,之前也一直想看但没看的spring源码来看吧,正好最近在弄事务这部分的东西,就看了下,同时写下随笔记录下,以备后查. spring tx源码分析 这里只分析 ...

随机推荐

  1. 如何注册AWS Global账号

    去年底AWS宣布落地中国以来,可能很多童鞋都在热切地等待试用AWS中国的服务.但是AWS中国目前还在犹抱琵琶半遮面,没有完全向大家开放.不过,大家也不必干等待.要是真感兴趣的话可以自己或者让公司先注册 ...

  2. Django中如何使用django-celery完成异步任务2(转)

    原文链接: http://www.weiguda.com/blog/74/ 在上一篇博文中, 我们介绍了如何在开发环境中使用Celery. 接下来我们介绍一下如何在部署环境使用Celery. 1. 简 ...

  3. 【转】XML之命名空间的作用(xmlns)

    原文链接:http://blog.csdn.net/zhch152/article/details/8191377 命名空间的作用,下面的内容是转载的,大家可以看看:   问题的出现:XML的元素名字 ...

  4. 读取proc信息的可扩展实现

    需求 1. 将内存.线程数等信息注册到zk上进行监控 2. 统计信息,为下一步做负载均衡做准备. 实现 本文只解决问题1. 从网上查询了下,这些信息可以从proc文件系统中获取,如果不知道proc的, ...

  5. ZOJ 3810 Pretty Poem 分类: ACM 2015-05-17 14:40 83人阅读 评论(0) 收藏

    Pretty Poem Time Limit: 2 Seconds     Memory Limit:65536 KB Poetry is a form of literature that uses ...

  6. rapsbian下配置ngrok

    访问https://ngrok.com,下载Linux/ARM版本的(因为PI为ARM的芯片,如果下载Linux版本的是无法正常使用的) 解压 $ unzip /path/to/ngrok.zip 注 ...

  7. FZU 2129 子序列个数 (递推dp)

    题目链接:http://acm.fzu.edu.cn/problem.php?pid=2129 dp[i]表示前i个数的子序列个数 当a[i]在i以前出现过,dp[i] = dp[i - 1]*2 - ...

  8. POJ3345

    http://poj.org/problem?id=3345 大意: 大意是说现在有n个城市来给你投票,你需要至少拿到m个城市的赞成票.想要获得第i个城市的赞成需要花费w[i],有个条件就是某些城市是 ...

  9. C# JabLib系列之如何保证只运行一个应用程序的实现

    保证只运行一个应用程序的C#实现: using System;using System.Collections.Generic;using System.Linq;using System.Windo ...

  10. lib和dll的例子

    .dll和.lib的区别 lib是静态库,dll一般是动态链接库(也有可能是别的)比如要编译个exe,lib在编译的时候就会被编译到exe里,作为程序的一部分而dll是不被编译进去,是运行的时候才调入 ...