spring security过滤器注册原理

### Spring Security 过滤器注册机制和工作原理 #### 过滤器链初始化过程 Spring Security 的过滤器链是在应用启动时被创建并初始化的。`DelegatingFilterProxy` 是一个特殊的 Servlet 过滤器，它充当了 Spring 容器与实际安全过滤器之间的桥梁[^1]。 ```java public class DelegatingFilterProxy extends OncePerRequestFilter { // ... } ``` 该类实现了 `javax.servlet.Filter` 接口，在 Web 应用程序上下文中代理调用真正的 Spring Security 过滤器链。当容器接收到 HTTP 请求时，此代理会委托给名为 `springSecurityFilterChain` 的 Bean 来处理请求流中的各个阶段。 #### 过滤器链构建逻辑 在 Spring Boot 环境下，默认情况下，框架自动配置了一个完整的默认过滤器链条。开发者也可以自定义扩展或修改这些预设行为来满足项目需求。具体来说： - **Default Filter Order**: 默认顺序下的标准过滤器列表及其职责范围已经预先设定好； - **Custom Filters Registration**: 开发者能够通过继承 `OncePerRequestFilter` 或其他方式编写自己的业务逻辑，并将其注入到指定位置上； 对于后者而言，通常有两种方法可以完成这项操作：一种是利用 Java 配置类的方式显式声明新的过滤组件实例以及它们的位置关系；另一种则是借助 XML 文件来进行描述说明[^2]。 #### 自定义过滤器集成案例 假设要向现有的过滤器链中添加一个新的身份验证处理器，则可以通过如下代码片段展示如何实现这一点： ```java @Configuration @EnableWebSecurity public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { MyCustomAuthenticationProcessingFilter myCustomAuthFilter = new MyCustomAuthenticationProcessingFilter(); // 设置认证管理器和其他必要属性... AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class); myCustomAuthFilter.setAuthenticationManager(authenticationManager); // 将新过滤器插入到 UsernamePasswordAuthenticationFilter 之后执行 http.addFilterAfter(myCustomAuthFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 这段示例展示了怎样把一个名为 `MyCustomAuthenticationProcessingFilter` 的对象加入到了原有的过滤器序列里，并指定了其相对于另一个已知类型的相对位置——即紧跟在其后面运行[^3]。