揭秘 Spring Security 是如何在 Servlet 应用中运行的？

Spring Security 是一个强大的认证和受权框架，它的使用方式也很是简单，可是要想真正理解它就须要花一时间来学习了，最近在学习 Spring Security 时有一些新的理解，特地记录下来防止知识忘记的太快，毕竟好记性不如烂笔头，也给即将准备学习 Spring Security 的同志作一个参考。

因为我在学习和使用是基于 Servlet Applications 的，因此文中的大部分都与 Servlet 相关，固然 Spring Security 还支持 Reactive Applications 功能上都是同样，在架构上会有一些差异，有兴趣的同窗能够自行查看官方文档。

Spring Securty 在 Servlet Applications 中的应用

如下部份内容摘自官方文档

Servlet Filter Chain

提到 Servlet Filter Chain 应该都熟悉的吧，它们是一系列由 javax.servlet.Filter 实现类组成的一个链，大体图以下所示：

Servlet Filter Chain
上图中Client发送Http请求，而后请求通过FilterChain，每一个匹配的Filter都有机会处理request和response对象，最终请求会到达servlet（如何filter中没有特殊处理的状况下）。

Spring Security 的实现简单来讲，就是往Servlet Filter Chain加了一个特殊的过滤器来处理认证或受权请求 。

DelegatingFilterProxy

Spring 提供一个javax.servlet.Filter的实现类 DelegatingFilterProxy ,它的主要功能跟它的名称同样，经过代理模式委托给一个Spring管理的Bean来完成相应的功能。

DelegatingFilterProxy
在上图中，DelegatingFilterProxy 会在 ApplicationContext 中查找 Filter0 并执行Filter0的doFilter方法:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}

FilterChainProxy

前面说过DelegatingFilterProxy只是一个代理 Filter，并无真正的功能。
在 Spring Security 中还有一个 FilterChainProxy 类，它是 Spring Security 中很是重要的入口（断点打在这准没错），它负责匹配请求、执行 Filter 等功能。

FilterChainProxy
你可能发现了上图中在FilterChainProxy部分还有个 SecurityFilterChain，它是一个接口只有两个方法：

• matches用于匹配请求
• getFilters是获取针对匹配请求的全部的 Filters
  SecurityFilterChain 接口：

public interface SecurityFilterChain {

    boolean matches(HttpServletRequest request);

    List<Filter> getFilters();
}

SecurityFilterChain

SecurityFilterChain 里面包含不少个 Filter ,不一样的 Filter 完成不一样的功能，如登录认证、退出登录、设置SecurityContext等，在Spring Security 中能够有多个 SecurityFilterChain 每一个 SecurityFilterChain 负责不一样的请求地址，如能够针对/app/api/与/web/api/设置不一样的认证规则。

SecurityFilterChain

总结

前面提到了四个重要的概念：

• Servlet Filter Chain：Serverl过滤器链
• DelegatingFilterProxy：Spring Filter代理类，将功能委托给 FilterChainProxy
• FilterChainProxy：匹配请求，执行 SecurityFilterChain 中的过滤器
• SecurityFilterChain：包含一组Filter
  总结下来能够用一张图表示：

根据上面图如Client访问/web/api/login就会匹配到SecurityFilterChain 0并执行其中的 Filters。

匹配过程我看了下FilterChainProxy的源码，大体流程和我理解的差很少，我把代码精简了一下如下：

public class FilterChainProxy extends GenericFilterBean {

    private List<SecurityFilterChain> filterChains;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

        ...
        doFilterInternal(request, response, chain);
        ...
    }

    private void doFilterInternal(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

        ...

        List<Filter> filters = getFilters(fwRequest);

        ...

        VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
        vfc.doFilter(fwRequest, fwResponse);
    }

    private List<Filter> getFilters(HttpServletRequest request) {
        for (SecurityFilterChain chain : filterChains) {
            if (chain.matches(request)) {
                return chain.getFilters();
            }
        }

        return null;
    }

    private static class VirtualFilterChain implements FilterChain {

        @Override
        public void doFilter(ServletRequest request, ServletResponse response)
                throws IOException, ServletException {

        ...
    }

}

• 首先在FilterChainProxy的doFilter方法会执行doFilterInternal方法
• doFilterInternal 方法中调用 getFilters 获取过滤器列表

private List<Filter> getFilters(HttpServletRequest request) {
        for (SecurityFilterChain chain : filterChains) {
            if (chain.matches(request)) {
                return chain.getFilters();
            }
        }

        return null;
    }

在 getFilters 会调用SecurityFilterChain.matches匹配请求
最后将获得的filters放在 VirtualFilterChain 中执行

最后

正学习Spring Securty中，若有不对之处，谢谢指正。此篇文章主要讲述了 Spring Securty 与 Servlet Applications 集成部分，我的在学习的时候以为 Spring Security 中配置是很是难懂，看了几遍仍是没有彻底理解，有不少 Builder、Configurer 转的头都晕了。。。，准备准备下一篇文章理一理 Spring Security 的配置。

推荐阅读：

• 利用 ShardingSphere-JDBC 实现分库分表实践
• 分库分表 vs NewSQL数据库
• 数据量较大，分页查询很慢，该怎么优化
• 应该选择RabbitMQ仍是Kafka？
• 先后端分离模式下的权限设计方案

若有收获，点个在看，诚挚感谢图片