Spring Security addFilter() 順序問題

原創 猫吻鱼 2020-06-25 23:54

文章目錄

一、 分析

在上面Spring Security + Jwt 項目的搭建過程中,我一直有一個問題。我們假設我們使用addFilterAt(A, B.class)。 即將A攔截器添加到B攔截器的位置。那麼addFilterAt 既然沒有覆蓋原先的攔截器,那麼A不是在B攔截器前面就是在B攔截器後面,那麼豈不是和addFilterBefore 或者 addFilterAfter 重複了?

然而元芳告訴我沒那麼簡單。最下面有總結,不想看源碼的小夥伴可以直接看總結。

通過斷點看到。我們通過添加攔截器的代碼是這個樣子的。
在這裏插入圖片描述
那麼我們看源碼:

0. FilterComparator

爲了更好的理解後面說的內容,我們需要先了解一下 FilterComparator 這個類。顧名思義,這個類是一個過濾器比較器。可以看到如下
在這裏插入圖片描述

其比較的規則如下, getOrder是根據類名來獲取到過濾器的序號。可以看到過濾器的排序是根據排序序號的大小來排序的,序號小的在前,大的災後。

	public int compare(Filter lhs, Filter rhs) {
		Integer left = getOrder(lhs.getClass());
		Integer right = getOrder(rhs.getClass());
		return left - right;
	}

我們這裏拿 addFilterAt 舉例,addFilterBeforeaddFilterAfter 類似

1. HttpSecurity#addFilterAt

在這裏插入圖片描述
一句一句看,先看第一句

1.1 this.comparator.registerAt(filter.getClass(), atFilter);

這裏的 方法是 在 FilterComparator#registerAt
這裏可以看到,當我們使用addFilterAt 添加過濾器時,他添加的排序序號是和我們指定的攔截器相同的。()

	
	public void registerAt(Class<? extends Filter> filter,
			Class<? extends Filter> atFilter) {
		// 獲取 atFilter 的順序
		Integer position = getOrder(atFilter);
		if (position == null) {
			throw new IllegalArgumentException(
					"Cannot register after unregistered Filter " + atFilter);
		}
		// 將filter放入 filterToOrder 中, filterToOrder 是一個map集合
		put(filter, position);
	}
	....
	private void put(Class<? extends Filter> filter, int position) {
		String className = filter.getName();
		filterToOrder.put(className, position);
	}
	// 調用  addFilterBefore 時使用這個方法註冊,這裏可以看到排序序號比指定過濾器要小1
	public void registerBefore(Class<? extends Filter> filter,
			Class<? extends Filter> beforeFilter) {
		Integer position = getOrder(beforeFilter);
		if (position == null) {
			throw new IllegalArgumentException(
					"Cannot register after unregistered Filter " + beforeFilter);
		}

		put(filter, position - 1);
	}
	// 調用  addFilterAfter 時使用這個方法註冊,這裏可以看到排序序號比指定過濾器要大1
	public void registerAfter(Class<? extends Filter> filter,
			Class<? extends Filter> afterFilter) {
		Integer position = getOrder(afterFilter);
		if (position == null) {
			throw new IllegalArgumentException(
					"Cannot register after unregistered Filter " + afterFilter);
		}

		put(filter, position + 1);
	}

簡單來說,就是我們 添加的 jwtLoginFilter 攔截器和 UsernamePasswordAuthenticationFilter 的序號是相同的。

1.2 HttpSecurity#addFilter(Filter filter)

代碼很簡單,如下,將添加的過濾器加到 filters 集合中

	public HttpSecurity addFilter(Filter filter) {
		Class<? extends Filter> filterClass = filter.getClass();
		if (!comparator.isRegistered(filterClass)) {
			throw new IllegalArgumentException(
					"The Filter class "
							+ filterClass.getName()
							+ " does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.");
		}
		this.filters.add(filter);
		return this;
	}

通過斷點我們還可以發現,我們手動添加的過濾器是先於大部分系統過濾器被加入到filters集合中的。這一點可以從斷點中看到
在這裏插入圖片描述

另外從 HttpSecurity#performBuild 方法中我們可以知道,filters 在添加完所有過濾器後,使用 FilterComparator 比較器進行了比較。結果呼之欲出。

二、總結:

  1. FilterComparator 比較器中初始化了Spring Security 自帶的Filter 的順序,即在創建時已經確定了默認Filter的順序。並將所有過濾器保存在一個 filterToOrder Map中。key值是Filter的類名,value是過濾器的順序號。
  2. 當我們調用 HttpSecurity#addFilterAt(A, B.class) 方法時(其中B一定是先於A添加,或者B本身就是默認的過濾器),他會將我們的添加的過濾器A在 FilterComparator ,並給給我們一個和B相同的序號(addFilterBefore(A, B.class) 給A的序號比B小1,addFilterAfter(A, B.class) 給A的序號比B大1)。同時,HttpSecurity#addFilter(Filter filter) 會將我們添加的過濾器添加在 filters List集合中, 而在List集合彙總我們手動添加的攔截器在除了 WebAsyncManagerIntegrationFilter 之外的所有系統默認的攔截器之前。
  3. 最後Spring Security 會調用HttpSecurity#performBuild 方法,在這裏會使用 FilterComparator 比較器對 filters進行比較排序,序號小的在前,序號大的在後,序號相等則按照原先的filters中的順序。
  4. 由於在 filters List集合中,我們自己添加的過濾器要在除了 WebAsyncManagerIntegrationFilter 之外的所有系統默認的攔截器之前。導致了當我們調用了 HttpSecurity#addFilterAt(A, B.class) 方法時,A攔截器要先於B攔截器執行。

舉例(爲了好理解,純屬假設):

  1. 假設Spring Security 裏面默認攔截器 有A、B、C 三個(在強調一遍,假設有這三個),那麼 FilterComparator 構造函數中就有這三個攔截器的順序值,假設Map值爲{“AcName” : 100, “BcName” : 200, “CcName” : 300}。其中AcName是A攔截器的類名,BC同理,100,200,300是他們的序號,用於確定順序。
  2. 我們添加一個攔截器 F 要調用addFilterAt(F, B.class)。那麼它首先會在 FilterComparator 中註冊F (保存在排序Map中),排序序號和B相同,也爲 200,這時候Map 就變成了{“AcName” : 100, “BcName” : 200, “CcName” : 300, “FcName” : 200}。(如果調用addFilterBefore F的序號就會減1,變成199; 如果調用addFilterAfter F的序號就會加1,變成201)
  3. 在 完成上述步驟後,HttpSecurity 中也會把 F攔截器添加到一個待排序的List集合L中,然後在添加其他系統默認過濾器(相當於這個List保存了所有的過濾器,但是其調用順序未確定,還需要經過排序後才能確定)。最終List集合L就變成了{ A, F, B, C} (之前寫成了F,A,B,C了,經評論區指正,已修改),注意這個是未經排序的過濾器集合,排序後纔是真正的調用順序。
    4.在調用 HttpSecurity#performBuild 方法時,會將HttpSecurity 中的過濾器集合L進行排序,排序比較器就是FilterComparator ,排序規則就是誰的排序序號小誰在前,序號大的在後,序號相同的保持 L 中的順序。然後,得出最後的過濾器順序,也就是最終調用順序。

(講的略亂,我已經盡力了。。。)

以上:內容部分木有參考
如有侵擾,聯繫刪除。 內容僅用於自我記錄學習使用。如有錯誤,歡迎指正

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(二)java版spring boot 社交電子商務平臺-security簡單使用

security的簡單原理: 使用衆多的攔截器對url攔截,以此來管理權限。但是這麼多攔截器,不可能對其一一來講,主要講裏面核心流程的兩個。 首先,權限管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessing

原創 2023-10-10 11:05:06

spring boot 2.2.2 中禁用 spring security

只要在 spring boot 中加入 spring security 就會自動啓用七安全機制,默認每次訪問接口都會進行驗證。但是由於某些原因,不想使用 spring security,可以選擇禁用 spring security

ChaseDreamBoy 2020-07-07 07:25:52

(二)基於數據庫的認證與授權

環境準備 controller @RestController @RequestMapping("/api/admin") public class AdminController { @GetMapping("/hel

西红柿鸡蛋打卤面 2020-07-05 23:15:39

(一)創建簡單的Spring security 項目

參考:陳木鑫老師的《Spring Security 實戰》 創建spring boot項目 通過Intellij IDEA創建Spring Boot項目的方式有許多種,其中最簡單的方式就是使用Spring Initializr 工

西红柿鸡蛋打卤面 2020-07-05 23:15:39

spring security報錯解決:IllegalArgumentException:There is no PasswordEncoder mapped for the id "null"

報錯信息:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 頁面毫無響應 後臺彙報錯誤:java.la

南风~~~ 2020-07-05 17:06:59

springboot 2.0 集成 Spring Security進行安全控制

添加依賴 <!-- spring security 權限框架依賴 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-

瘦_猴 2020-07-05 08:08:47

無法對自定義的securityMetadataSource進行注入

在做spring security3的另一種配置方式,測試時,無法對自定義的securityMetadataSource進行注入想要使用的dao處理,後來調試發現注入進去時null,對於注入進來的是獲取不到的,利用構造可以解決, 解決方案

steryzone 2020-07-04 17:45:55

SpringSecurityOAuth開發app認證框架

令牌的表現形式就是一個字符串 文章目錄服務提供商的實現認證服務器demo pom 文件中引入app模塊依賴 使正常啓動實現認證服務器WhaleAuthenticationSecurityConfig授權碼模式的請求參數Use

神奇小白 2020-07-04 01:46:13

使用JWT替換默認令牌token

文章目錄JSON Web Token (JWT)自包含token的創建總結密籤可擴展替換默認tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties

神奇小白 2020-07-04 01:46:13

Spring Boot集成Spring Security或Shiro實現用戶登錄認證和授權,thymeleaf與之整合。

一般來說,Web 應用的安全性包括用戶認證(Authentication)和用戶授權(Authorization)兩個部分。 用戶認證:指的是驗證某個用戶是否爲系統中的合法主體,也就是說用戶能否訪問該系統。(登錄) 用戶授權

Himit_ZH 2020-07-01 14:53:10

Spring Security源碼閱讀2-Spring Security過濾器鏈初始化1

Spring Security的核心實現是通過一條過濾器鏈來確定用戶的每一個請求應該得到什麼樣的反饋。 1. 使用@EnableWebSecurity註解開啓Spring Security 在使用Spring Security時首

liulijun-dev 2020-06-30 23:58:26

Spring Security源碼閱讀3-Spring Security過濾器鏈的初始化2

在Spring Security源碼閱讀2-Spring Security過濾器鏈的初始化1文章中,遺留了如下兩個問題: 在步驟(15)中,我們說HttpSecurity類中的performBuild函數返回了DefaultS

liulijun-dev 2020-06-30 23:58:26

看完這篇,SpringSecurity就算入門了

看完這篇,SpringSecurity就算入門了 1.SpringSecurity是什麼?能幹嘛? Spring Security 是一個安全框架,能夠爲 Spring企業應用系統提供聲明式的安全訪問控制。 主要用來做訪問權限管理

未来谁可知 2020-06-30 23:08:52

SpringCloud+Spring Security OAuth2 實現微服務統一認證授權

目前正在做了一個基於Spring Cloud的微服務項目,現在的好多項目都是基於APP移動端以及前後端分離的項目,之前基於Session的前後端放到一起的項目已經慢慢失寵並淡出我們視線,尤其是當基於SpringCloud的微服務

一个BUG搞一天。 2020-06-30 17:34:33

【spring系列】spring security入門

​ spring security作爲spring的親兒子,在進行web開發的時候,可以進行一個優雅的權限控制。筆者說來慚愧,工作n多年一直沒有機會深入研究此框架。如有不對的地方望大家指正。 spring boot引入 mave

叁滴水 2020-06-29 06:50:00