9.1.2 过滤 Web 请求
Spring Security 借助一系列 Servlet Filter 来提供各种安全性功能。你可能会想,这是否意味着我们需要在 web.xml 或 WebApplicationInitializer 中配置多个 Filter 呢?实际上,借助于 Spring 的小技巧,我们只需配置一个 Filter 就可以了。
DelegatingFilterProxy 是一个特殊的 Servlet Filter,它本身所做的工作并不多。只是将工作委托给一个 javax.servlet.Filter 实现类,这个实现类作为一个注册在 Spring 应用的上下文中, 如图 9.1 所示。
图 9.1 DelegatingFilterProxy 把 Filter 的处理逻辑委托给 Spring 应用上下文中所定义的一个代理 Filter bean
如果你喜欢在传统的 web.xml 中配置 Servlet 和 Filter 的话,可以使用 <filter> 元素,如下所示:
1
<filter>
2
<filter-name>springSecurityFilterChain</filter-name>
3
<filter-class>
4
org.springframework.web.filter.DelegatingFilteProxy
5
</filter-class>
6
</filter>
Copied!
在这里,最重要的是 <filter-name> 设置成了 springSecurityFilterChain。这是因为我们马上就会将 Spring Security 配置在 Web 安全性之中,这里会有一个名为 springSecurityFilterChain 的 Filter bean,DelegatingFilterProxy 会将过滤逻辑委托给它。
如果你希望借助 WebApplicationInitializer 以 Java 的方式来配置 Delegating-FilterProxy 的话,那么我们所需要做的就是创建一个扩展的新类:
1
package spitter.config;
2
import org.springframwork.security.web.context.AbstractSecurityWebApplicationInitializer;
3
4
public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer{
5
}
Copied!
AbstractSecurityWebApplicationInitializer 实现了 WebApplicationInitializer,因此 Spring 会发现它,并用它在 Web 容器中注册 DelegatingFilterProxy。尽管我们可以重载它的 appendFilters() 或 insertFilters() 方法来注册自己选择的 Filter,但是要注册 DelegatingFilterProxy 的话,我们并不需要重载任何方法。
不管我们通过 web.xml 还是通过 AbstractSecurityWebApplicationInitializer 的子类来配置 DelegatingFilterProxy,它都会拦截发往应用中的请求,并将请求委托给 ID 为 springSecurityFilterChain bean。
springSecurityFilterChain 本身是另一个特殊的 Filter,它也被称为FilterChain-Proxy。它可以链接任意一个或多个其他的 Filter。Spring Security 依赖一系列 Servlet Filter 来提供不同的安全特性。但是,你几乎不需要知道这些细节,因为你不需要显式声明 springSecurityFilterChain 以及它所链接在一起的其他 Filter。当我们启用 Web 安全性的时候,会自动创建这些 Filter。
为了让 Web 安全性运行起来,我们创建一个最简单的安全性配置。
Last modified 2yr ago
Copy link