过滤器的回顾

Spring Security的Servlet支持是基于Servlet过滤器的，所以首先看看过滤器的作用是很有帮助的。下图显示了单个HTTP请求的处理程序的典型分层。

客户端向应用程序发送请求，容器创建一个包含Filters和Servlet的FilterChain，这些Filters和Servlet应该基于请求URI的路径来处理HttpServletRequest。在Spring MVC应用程序中，Servlet是DispatcherServlet的一个实例。大多数一个Servlet仅可以处理一个HttpServletRequest和HttpServletResponse。然而，可以使用多个Filter：

• 防止下游Filter或Servlet被调用。这个实例Filter通常会写入HttpServletResponse。
• 修改下游Filter和Servlet使用的HttpServletRequest或HttpServletResponse

Filter的力量来自传递给它的FilterChain。

示例：FilterChain使用示例

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // do something before the rest of the application
    chain.doFilter(request, response); // invoke the rest of the application
    // do something after the rest of the application
}

由于Filter只影响下游Filters和Servlet，所以调用每个Filter的顺序非常重要。

DelegatingFilterProxy

Spring提供了一个名为DelegatingFilterProxy的Filter实现，它允许在Servlet容器的生命周期和Spring的ApplicationContext之间进行桥接。Servlet容器允许使用它自己的标准注册Filters，但是它不知道Spring定义的bean。DelegatingFilterProxy可以通过标准的Servlet容器机制注册，但是可以将所有的工作委托给实现Filter的Spring Bean。

下图是DelegatingFilterProxy如何适应Filters和FilterChain的展示。

DelegatingFilterProxy从ApplicationContext查找Bean Filter 0，然后调用Bean Filter 0。DelegatingFilterProxy的伪代码如下所示。

示例：DelegatingFilterProxy示例代码

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}

DelegatingFilterProxy的另一个好处是它允许延迟查找Filter bean实例。这很重要，因为容器在启动之前需要注册Filter实例。然而，Spring通常使用一个ContextLoaderListener来加载Spring bean，这在需要注册Filter实例之后才会完成。

FilterChainProxy

Spring Security的Servlet支持包含在FilterChainProxy中。FilterChainProxy是Spring Security提供的一个特殊的过滤器，它允许通过SecurityFilterChain委托给许多Filter实例。因为FilterChainProxy是一个Bean，所以它通常封装在DelegatingFilterProxy中。

SecurityFilterChain

SecurityFilterChain被FilterChainProxy用来确定应该为这个请求调用哪些Spring Security Filters。

SecurityFilterChain中的Security Filters通常是bean，但是它们注册在FilterChainProxys上而不是DelegatingFilterProxy。FilterChainProxy为直接注册Servlet容器或DelegatingFilterProxy提供了许多优势。首先，它为所有Spring Security的Servlet支持提供了一个起点。由于这个原因，如果您试图排除Spring Security的Servlet支持的故障，那么在FilterChainProxy中添加一个调试点是一个很好的开始。

第二，由于FilterChainProxy是Spring安全使用的中心，它可以执行一些不是可选的任务。例如，它清除SecurityContext以避免内存泄漏。它还应用Spring Security的HttpFirewall来保护应用程序免受某些类型的攻击。

此外，它在确定何时应该调用SecurityFilterChain方面提供了更多的灵活性。在Servlet容器中，只根据URL调用过滤器。然而，FilterChainProxy可以通过利用RequestMatcher接口，基于HttpServletRequest中的任何内容来确定调用。

事实上，FilterChainProxy可以用来确定应该使用哪个SecurityFilterChain。这允许为应用程序的不同部分提供完全独立的配置。

在多个SecurityFilterChain示意图中，FilterChainProxy决定应该使用哪个SecurityFilterChain。只有第一个匹配的SecurityFilterChain将被调用。如果请求一个/api/messages/的URL，它将首先匹配SecurityFilterChain 0的/api/**模式，所以只有SecurityFilterChain 0将被调用，即使它也匹配SecurityFilterChain n。如果请求的URL是/messages/，它将不匹配SecurityFilterChain0的/api/**模式，所以FilterChainProxy将继续尝试每个SecurityFilterChain。假设没有其他,将调用匹配SecurityFilterChainn 的SecurityFilterChain实例。

注意，SecurityFilterChain0只配置了三个安全过滤器实例。然而，SecurityFilterChain n配置了四个安全过滤器。需要注意的是，每个SecurityFilterChain都可以是唯一的，并且可以独立配置。实际上，如果应用程序希望Spring security忽略某些请求，SecurityFilterChain可能没有任何安全过滤器。

Security Filters

Security Filters通过SecurityFilterChain API插入到FilterChainProxy中。过滤器的顺序很重要。通常不需要知道Spring Security过滤器的顺序。然而，有时候知道顺序是有用的。

以下是Spring安全过滤器顺序的所有列表：

• ChannelProcessingFilter
• WebAsyncManagerIntegrationFilter
• SecurityContextPersistenceFilter
• HeaderWriterFilter
• CorsFilter
• CsrfFilter
• LogoutFilter
• OAuth2AuthorizationRequestRedirectFilter
• Saml2WebSsoAuthenticationRequestFilter
• X509AuthenticationFilter
• AbstractPreAuthenticatedProcessingFilter
• CasAuthenticationFilter
• OAuth2LoginAuthenticationFilter
• Saml2WebSsoAuthenticationFilter
• UsernamePasswordAuthenticationFilter
• OpenIDAuthenticationFilter
• DefaultLoginPageGeneratingFilter
• DefaultLogoutPageGeneratingFilter
• ConcurrentSessionFilter
• DigestAuthenticationFilter
• BearerTokenAuthenticationFilter
• BasicAuthenticationFilter
• RequestCacheAwareFilter
• SecurityContextHolderAwareRequestFilter
• JaasApiIntegrationFilter
• RememberMeAuthenticationFilter
• AnonymousAuthenticationFilter
• OAuth2AuthorizationCodeGrantFilter
• SessionManagementFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor
• SwitchUserFilter

处理Security 异常

ExceptionTranslationFilter允许将AccessDeniedException和AuthenticationException转换为HTTP响应。

ExceptionTranslationFilter作为一个安全过滤器被插入到FilterChainProxy中。

• ①首先，ExceptionTranslationFilter调用FilterChain.doFilter(request, response)来调用应用程序的其余部分。
• ②如果用户未经过身份验证或是AuthenticationException，则启动身份验证。

1. 清除SecurityContextHolder
2. HttpServletRequest保存在RequestCache中。当用户成功通过身份验证时，将使用RequestCache重复原始请求。
3. AuthenticationEntryPoint用于从客户端请求凭据。例如，它可能重定向到一个登录页面或发送一个WWW-Authenticate头。

• ③否则，如果是AccessDeniedException，则拒绝访问。调用AccessDeniedHandler来处理拒绝访问。

如果应用程序没有抛出AccessDeniedException或AuthenticationException，那么ExceptionTranslationFilter不会做任何事情。

ExceptionTranslationFilter的伪代码如下所示：

try {
    filterChain.doFilter(request, response); 
} catch (AccessDeniedException | AuthenticationException ex) {
    if (!authenticated || ex instanceof AuthenticationException) {
        startAuthentication(); 
    } else {
        accessDenied(); 
    }
}

您将从调用FilterChain的过滤器回顾中回忆起调用FilterChain.doFilter(request, response)相当于调用应用程序的其余部分。

这意味着如果应用程序的另一部分(如FilterSecurityInterceptor或方法安全性)抛出AuthenticationException或AccessDeniedException，它将在这里被捕获和处理。

如果用户未经过身份验证或是AuthenticationException，则启动身份验证。

否则,拒绝访问