在 Spring MVC 应用程序的 web.xml 中声明的 Spring Security 过滤器究竟是如何工作的？

Question

我是 Spring 的新手，我对我正在研究的 Spring Security 项目的工作方式有些怀疑。

这就是我的web.xml 文件的内容：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
  <display-name>Spring_Web_App</display-name>
  <welcome-file-list>
    <welcome-file>/WEB-INF/jsp/index.jsp</welcome-file>
  </welcome-file-list>
  <servlet>
    <servlet-name>spring</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>/WEB-INF/config/spring-servlet.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>

  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>/WEB-INF/config/spring-security.xml</param-value>
  </context-param>

  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>

  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>

  <servlet-mapping>
    <servlet-name>spring</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>
</web-app>

据我所知这个设置的内容：

  <servlet-mapping>
    <servlet-name>spring</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>

与 Spring Security 配置无关，但它指定所有请求必须由名为 Spring 的 servlet 处理，该配置位于名为 spring-servlet.xml 的文件中。对吗？

所以分析到web.xml文件中的Spring Security语句我发现这个组件的配置是通过这个语句声明到/WEB-INF/config/spring-security.xml文件中的：

上下文配置位置 /WEB-INF/config/spring-security.xml

然后我有过滤器声明。我不太喜欢过滤器，这是给我带来一些问题的主题。

据我了解，过滤器是一种拦截请求的东西（就像 servlet 一样），但与 servlet 不同的是，它不会向调用者返回响应（给用户的 JSP 页面或类似的东西），而只是执行在将请求快速转发到必须处理它并为此请求提供响应的 servlet 之前的一些操作。所以过滤器被用来提供一些额外的逻辑，这些逻辑必须在 servlet 代码之外，因为它们代表了一些特定的任务。

例如，过滤器用于用户身份验证任务，因为用户是否通过身份验证应该是一个独立的任务，并且不必在 servlet 中进行编码。我的推理是真的吗？

所以根据我阅读一些文档的理解，我必须通过这一行声明一个过滤器：

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

然后我通过这一行指定过滤器应用于所有请求：

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

所以我认为身份验证的工作方式如下：每个 HTTP 请求在传递给 servlet 之前被过滤器拦截，如果用户未获得授权（没有正确的凭据或没有确定正确的规则）该请求未由 servlet 处理，他无法访问该页面。

我的推理正确吗？

形成我所理解的尝试研究 Spring 架构的 DelegatingFilterProxy 委托给 Spring 管理的过滤器链：

• 驱动器身份验证
• 执行授权
• 管理注销
• 在 HttpSession 中维护 SecurityContext
• 等

Answer 1

是的，你是对的。 servlet 规范中存在用于横切关注点的过滤器，例如其他 Web 堆栈中的“中间件”。在 Servlet 处理请求之前调用所有过滤器。他们可以选择使请求短路或让它沿着链向下移动。您通常会使用过滤器来启用 gzip、身份验证、添加 CORS 标头等。

Spring 通过过滤器拦截所有请求。他们基本上通过这种机制劫持所有请求，并从那时起使用他们自己的内部路由算法和安全性。这就是为什么您不必在 web.xml 中将处理程序注册为 servlet，而只需在 Spring 中注册。