SpringSecurity之基本原理——过滤器链
前言
前面我们讲解了入门案例,很多小伙伴看完之后,应该也不知道他是如何实现的拦截。接下来,我们看一下SpringSecurity的基本原理是什么?
本质
其实,SpringSecurity的本质上就是一个过滤器链。在启动时,就可以获取到过滤器链的。(如果对这一块关于过滤器不太熟悉的同学,建议看一下javaWeb的相关内容)
过滤器链:
rg.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil ter org.springframework.security.web.context.SecurityContextPersistenceFilter org.springframework.security.web.header.HeaderWriterFilter org.springframework.security.web.csrf.CsrfFilter org.springframework.security.web.authentication.logout.LogoutFilter org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter org.springframework.security.web.savedrequest.RequestCacheAwareFilter org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter org.springframework.security.web.authentication.AnonymousAuthenticationFilter org.springframework.security.web.session.SessionManagementFilter org.springframework.security.web.access.ExceptionTranslationFilter org.springframework.security.web.access.intercept.FilterSecurityInterceptor
我们从中挑选几个过滤器,通过源码看一下他们的内容:
FilterSecurityInterceptor
他作为一个方法级别的权限过滤器, 基本位于过滤链的最底部。
从过滤骑得doFilter中可以看到他调用了invoke方法,我们接下来看一下他是如何实现的。
上面这段代码,我们可以清晰地看到
super.beforeInvocation(filterInvocation);这句代码的意思为:调用之前先查看之前的 filter 是否通过。
都通过后则才会调用 fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。
LogoutFilter
登出过滤器,对我们配置的登出接口的过滤器,使其对认证用户的登出后处理操作
ExceptionTranslationFilter
异常过滤器,用来处理在认证授权过程中抛出的异常
关于过滤器链的内容就先讲解到这里。
欢迎大家点击下方卡片,关注《coder练习生》