spring-security(四)

spring-security(四)

摘自《pro spring security》基于spring security 4.2.2.RELEASE

过滤器链机制(The Filters and Filter Chain)

spring security就是使用过滤器链机制模式去保护web应用安全的，而这个模式是基于标准的servlet filter功能之上实现的。像拦截器模式(Intercepting Filter)一样,spring security中的filter chain构建了一些职责单一的包含了应用所需要的所有安全约束。

filter chain是由spring bean组成，但是基于servlet的web应用不能感知到spring bean,出于这个原因，需要一个特殊的servlet过滤器，可以跨越边界，可以在标准的servlet API和spring bean之间驻存。这就是定义在web.xml中org.springframework.web.filter.DelegatingFilterProxy的职责所在，可以通过WebApplicationContextUtils.getWebApplicationContext方法去检索在应用程序中的根应用上下文(root application context)。