如何将Spring Security过滤器声明到Spring MVC应用程序的web.xml中？

Question

我在Spring很新，我对如何正确处理我正在研究的S​​pring Security项目有所怀疑。

所以这是我的web.xml文件的内容：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
  <display-name>Spring_Web_App</display-name>
  <welcome-file-list>
    <welcome-file>/WEB-INF/jsp/index.jsp</welcome-file>
  </welcome-file-list>
  <servlet>
    <servlet-name>spring</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>/WEB-INF/config/spring-servlet.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>

  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>/WEB-INF/config/spring-security.xml</param-value>
  </context-param>

  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>

  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>

  <servlet-mapping>
    <servlet-name>spring</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>
</web-app>

据我所知，此设置的内容为：

  <servlet-mapping>
    <servlet-name>spring</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>

与Spring Security配置无关，但它指定所有请求都必须由名为Spring的servlet处理，该配置位于名为spring-servlet.xml的文件中。是不是？

因此，将Spring Security语句分析到web.xml文件中，我发现此组件的配置通过以下语句声明到/WEB-INF/config/spring-security.xml文件中：

    contextConfigLocation的     /WEB-INF/config/spring-security.xml   

然后我有过滤声明。我不是那么过滤器，这是给我带来一些问题的主题。

根据我的理解，过滤器是拦截请求的东西（作为servlet所做的）但与servlet不同的是不向调用者返回响应（对用户的JSP页面或类似的东西），而只是执行在将请求快速转发到必须处理它并为该请求提供响应的servlet之前的一些操作。因此，过滤器用于提供一些额外的逻辑，这些逻辑必须在servlet代码之外，因为它代表了一些特定的任务。

例如，在用户身份验证任务中使用过滤器，因为假设用户是否经过身份验证应该是一个独立的任务，并且不必在servlet内编码。这是我的推理吗？

所以从我所理解的阅读一些文档，我必须通过这一行声明一个过滤器：

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

然后我指定过滤器应用于此行的所有请求：

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

所以我认为身份验证的工作方式如下：每个HTTP请求在传递给servlet之前被过滤器截获，如果用户未经授权（没有正确的凭据或没有正确的规则）请求不由servlet处理，他无法访问该页面。

我的推理是否正确？

形成我所理解的尝试研究Spring架构的DelegatingFilterProxy委托给一系列Spring管理的过滤器：

• 驱动身份验证
• 强制授权
• 管理注销
• 在HttpSession中维护SecurityContext
• 等

Answer 1

是的，你是对的。 servlet规范中存在过滤器，用于横切关注，例如＆＃34;中间件＆＃34;在其他Web堆栈中。在Servlet处理请求之前调用所有过滤器。他们可以选择短路请求或让它向下移动。您通常会使用过滤器来启用gzip，验证，添加CORS标头等。

Spring通过其过滤器拦截所有请求。他们基本上通过这种机制劫持所有请求，并从那时起使用他们自己的内部路由算法和安全性。这就是为什么你不必在web.xml中将处理程序注册为servlet，而只是在Spring中注册。