spring DelegatingFilterProxy的原理及运用

DelegatingFilterProxy的原理及使用

DelegatingFilterProxy就是一个对于servlet filter的代理，用这个类的好处主要是通过Spring容器来管理servlet filter的生命周期，还有就是如果filter中需要一些Spring容器的实例，可以通过spring直接注入，另外读取一些配置文件这些便利的操作都可以通过Spring来配置实现。

 

DelegatingFilterProxy的使用方法，

 

首先在web.xml中配置：

<filter>
< filter-name>myFilter</filter-name>
< filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
< filter-name>myFilter</filter-name>
< url-pattern>/*</url-pattern>
</filter-mapping>

 

然后在Spring的配置文件中，配置具体的Filter类的实例。

<bean name="myFilter" class="com.*.MyFilter"></bean>

 

在Spring中配置的bean的name要和web.xml中的<filter-name>一样

 

或者在DelegatingFilterProxy的filter配置中配置初始参数：targetBeanName，对应到Spring配置中的beanname

 

如果要保留Filter原有的init，destroy方法的调用，还需要配置初始化参数targetFilterLifecycle为true，该参数默认为false

----------------------------------------------------

使用过springSecurity的朋友都知道，首先需要在web.xml进行以下配置，

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
 </filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>

 </filter-mapping>

从这个配置中，可能会给我们造成一个错觉，以为DelegatingFilterProxy类就是springSecurity的入口，但其实这个类位于spring-web-3.0.5.RELEASE.jar这个jar下面，说明这个类本身是和springSecurity无关。DelegatingFilterProxy类继承于抽象类GenericFilterBean,间接地implement 了javax.servlet.Filter接口，Servlet容器在启动时，首先会调用Filter的init方法,GenericFilterBean的作用主要是可以把Filter的初始化参数自动地set到继承于GenericFilterBean类的Filter中去。在其init方法的如下代码就是做了这个事：

1 2 3 4 5 6

PropertyValues pvs = new FilterConfigPropertyValues(filterConfig, this.requiredProperties); BeanWrapper bw = PropertyAccessorFactory.forBeanPropertyAccess(this); ResourceLoader resourceLoader = new ServletContextResourceLoader(filterConfig.getServletContext()); bw.registerCustomEditor(Resource.class, new ResourceEditor(resourceLoader)); initBeanWrapper(bw); bw.setPropertyValues(pvs, true);

 另外在init方法中调用了initFilterBean()方法，该方法是GenericFilterBean类是特地留给子类扩展用的，

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

protected void initFilterBean() throws ServletException {         // If no target bean name specified, use filter name.         if (this.targetBeanName == null) {             this.targetBeanName = getFilterName();         }           // Fetch Spring root application context and initialize the delegate early,         // if possible. If the root application context will be started after this         // filter proxy, we'll have to resort to lazy initialization.         synchronized (this.delegateMonitor) {             WebApplicationContext wac = findWebApplicationContext();             if (wac != null) {                 this.delegate = initDelegate(wac);             }         }     }

 可以看出上述代码首先看Filter是否提供了targetBeanName初始化参数，如果没有提供则直接使用filter的name做为beanName,产生了beanName后，由于我们在web.xml的filter的name是springSecurityFilterChain,从spring的IOC容器中取出bean的代码是initDelegate方法，下面是该方法代码：

1 2 3 4 5 6 7

protected Filter initDelegate(WebApplicationContext wac) throws ServletException {         Filter delegate = wac.getBean(getTargetBeanName(), Filter.class);         if (isTargetFilterLifecycle()) {             delegate.init(getFilterConfig());         }         return delegate; }

 通过跟踪代码，发现取出的bean是org.springframework.security.FilterChainProxy，该类也是继承于GenericFilterBean,取出bean后，判断targetFilterLifecycle属性是false还是true,决定是否调用该类的init方法。这个FilterChainProxy bean实例最终被保存在DelegatingFilterProxy类的delegate属性里,

下面看一下DelegatingFilterProxy类的doFilter方法

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)             throws ServletException, IOException {           // Lazily initialize the delegate if necessary.         Filter delegateToUse = null;         synchronized (this.delegateMonitor) {             if (this.delegate == null) {                 WebApplicationContext wac = findWebApplicationContext();                 if (wac == null) {                     throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");                 }                 this.delegate = initDelegate(wac);             }             delegateToUse = this.delegate;         }           // Let the delegate perform the actual doFilter operation.         invokeDelegate(delegateToUse, request, response, filterChain);     }

 真正要关注invokeDelegate(delegateToUse, request, response, filterChain);这句代码,在下面可以看出DelegatingFilterProxy类实际是用其delegate属性即org.springframework.security.FilterChainProxy实例的doFilter方法来响应请求。

1 2 3 4 5 6

protected void invokeDelegate(             Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)             throws ServletException, IOException {           delegate.doFilter(request, response, filterChain);     }

 

以上就是DelegatingFilterProxy类的一些内部运行机制，其实主要作用就是一个代理模式的应用,可以把servlet 容器中的filter同spring容器中的bean关联起来。

----------------------------------------------------------------

安全过滤器链 
Spring Security的web架构是完全基于标准的servlet过滤器的。 它没有在内部使用servlet或任何其他基于servlet的框架（比如spring mvc）， 所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest 和HttpServletResponse，不关心请求时来自浏览器，web服务客户端，HttpInvoker还是一个AJAX应用。 

Spring Security维护了一个过滤器链，每个过滤器拥有特定的功能，过滤器需要服务也会对应添加和删除。 过滤器的次序是非常重要的，它们之间都有依赖关系。 如果你已经使用了命名空间配置，过滤器会自动帮你配置， 你不需要定义任何Spring Bean，但是有时候你需要完全控制Spring过滤器链， 因为你使用了命名空间没有提供的特性，或者你需要使用你自己自定义的类。 

1. DelegatingFilterProxy 
当使用servlet过滤器时，你很需要在你的web.xml中声明它们， 它们可能被servlet容器忽略。在Spring Security，过滤器类也是定义在xml中的spring bean， 因此可以获得Spring的依赖注入机制和生命周期接口。 spring的DelegatingFilterProxy提供了在 web.xml和application context之间的联系。 

当使用DelegatingFilterProxy，你会看到像 web.xml文件中的这样内容： 

<filter> <filter-name>myFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>myFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 
注意这个过滤器其实是一个DelegatingFilterProxy，这个过滤器里没有实现过滤器的任何逻辑。 DelegatingFilterProxy做的事情是代理Filter的方法，从application context里获得bean。 这让bean可以获得spring web application context的生命周期支持，使配置较为轻便。 bean必须实现javax.servlet.Filter接口，它必须和filter-name里定义的名称是一样的。查看DelegatingFilterProxy的javadoc获得更多信息。 

2. FilterChainProxy 
现在应该清楚了，你可以声明每个Spring Security过滤器bean，你在application context中需要的。 把一个DelegatingFilterProxy入口添加到web.xml， 确认它们的次序是正确的。 这是一种繁琐的方式，会让web.xml显得十分杂乱，如果我们配置了太多过滤器的话。 我们最好添加一个单独的入口，在web.xml中，然后在application context中处理实体， 管理我们的web安全bean。 这就是FilterChainProxy所做的事情。它使用DelegatingFilterProxy （就像上面例子中那样），但是对应的class是org.springframework.security.web.FilterChainProxy。 过滤器链是在application context中声明的。这里有一个例子： 

<bean > 
             ...... 
             </bean> 
       </property> 
</bean> 

-------------------------------------------------- 
1、web.xml 

Java代码  

1. <!-- 所有filter,委托给spring -->  
2.     <filter>  
3.         <filter-name>appFilters</filter-name>  
4.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
5.         <init-param>  
6.             <param-name>targetFilterLifecycle</param-name>  
7.             <param-value>true</param-value>  
8.         </init-param>  
9.     </filter>  
10.     <filter-mapping>  
11.         <filter-name>appFilters</filter-name>  
12.         <url-pattern>/*</url-pattern>  
13.     </filter-mapping>  

2、applicationContext-filter.xml 

Java代码  

1. <bean id="appFilters" class="org.springframework.security.util.FilterChainProxy">  
2.         <security:filter-chain-map path-type="ant">  
3.             <security:filter-chain filters="characterEncodingFilter,commonParamsFilter"  
4.                 pattern="/**" />  
5.         </security:filter-chain-map>  
6.     </bean>  
7.   
8.     <bean id="characterEncodingFilter" class="org.springframework.web.filter.CharacterEncodingFilter">  
9.         <property name="encoding" value="UTF-8" />  
10.         <property name="forceEncoding" value="true" />  
11.     </bean>  
12.     <bean id="commonParamsFilter" class="com.renren.wap.fuxi.filter.CommonParamsFilter" />