SpringSecurity启动流程源码深入刨析

环境

SpringBoot版本：2.3.4.RELEASE

流程图

一、Spring启动的时候加载spring.factories

查看spring.factories可以看到Spring已经给我们集成了SpringSecurity：

二、查看关键类SecurityFilterAutoConfiguration

1.可以看到这个类上有SecurityProperties配置类，此类会加载默认的配置信息，即不自定义配置的情况下
在此类的初始化时会注册一个名称是“springSecurityFilterChain”的Filter对象，此对象会代理之后生成的FilterChainProxy对象

a.查看SecurityProperties可以看到这是个默认配置文件，里面有默认的用户名、密码生成方式等；

2.可以看到还有AutoConfigureAfter注解，会在加载完成之后加载SecurityAutoConfiguration配置

a.查看SecurityAutoConfiguration可以看到上面有WebSecurityEnablerConfiguration注解

①查看WebSecurityEnablerConfiguration可以看到注解EnableWebSecurity，在此处进行了Security功能的开启

②进入EnableWebSecurity注解可以看到导入了WebSecurityConfiguration

③进入WebSecurityConfiguration，在此类的springSecurityFilterChain方法中生成了Filter类型的FilterChain，Bean的名称是springSecurityFilterChain

三、查看WebSecurityConfiguration

1.查看webSecurity.build()的build方法->doBuild()->init()->getConfigurers()可以看到，拿到了我们自定义的配置文件：

2.对我们自定义的配置文件进行初始化

3.查看init方法，会通过getHttp()方法获取HttpSecurity

4.进入getHttp方法查看：new出了HttpSecurity；然后往http中会添加filters（后边的SpringSecurityFilterChain中的filter）和configurers（根据配置生成filter）等信息；

5.可以看到会根据配置添加filter，执行的方法是addFilter；会添加一个WebAsyncManagerIntegrationFilter（根据请求封装获取WebAsyncManager,从WebAsyncManager获取上下文可调用处理的拦截器）

6.查看怎么添加WebAsyncManagerIntegrationFilter的
调用this.filters.add()方法将根据配置类找到的对应的filter进行添加

继续向下会添加许多配置，

执行完之后会添加10个configure；最后会执行我们自定义的Configure的configure方法；可以在此处定制我们自己的操作

7.WebSecurity执行addSecurityFilterChainBuilder

四、doBuilder的configure方法执行自定义配置中的Configure

五、performBuild方法将config构建成Filter

1.检查securityFilterChainBuilders是否不为空

2.统计出chainSize；根据chainSize进行循环添加Filter；

六、securityFilterChainBuilder.build()方法

1.跟进doBuild；可以看到当前configure是14个

2.会在init方法中获取14个configure；

3.接下来会在configurer.init方法中对所有的configure进行初始化
4.初始化完成之后再执行configure方法；

5.跟进可以看到会在configure方法中将configure和filter进行匹配；然后会添加到http的filters中

其余configure均如此

6.然后会在performBuild方法中对所有filters进行排序

七、让filterChainProxy代理这些filter

这里会new一个FilterChainProxy对象，将构建好的securityFilterChains对象注入进去

最后通过webSecurity.build()方法将构建结果返回，此时该Filter同步会设置名称：springSecurityFilterChain

八、DelegatingFilterProxy代理FilterChainProxy对象

在调用DelegatingFilterProxy的doFilter方法时会执行this.initDelegate(wac)；跟进查看此方法，可以看到是通过targetName从ApplicationContext中获取bean对象的

关于DelegatingFilterProxy：DelegatingFilterProxy是Spring中定义的一个Filter实现类，其作用是代理真正的Filter实现类，也就是说在调用DelegatingFilterProxy的doFilter()方法时实际上调用的是其代理Filter的doFilter()方法。其代理Filter必须是一个Spring bean对象，所以使用DelegatingFilterProxy的好处就是其代理Filter类可以使用Spring的依赖注入机制方便自由的使用ApplicationContext中的bean。那么DelegatingFilterProxy如何知道其所代理的Filter是哪个呢？这是通过其自身的一个叫targetBeanName的属性来确定的，通过该名称，DelegatingFilterProxy可以从WebApplicationContext中获取指定的bean作为代理对象。

九、关于DelegatingFilterProxy和FilterChainProxy的关系

贴一张官方的图 很清晰

原文档地址：https://docs.spring.io/spring-security/reference/servlet/architecture.html

默认的Filter

传送门：http://t.csdn.cn/BhhHt