SpringSecurity中对过滤器的配置：addFilterBefore

SpringSecurity中对过滤器的配置：addFilterBefore

SpringSecurity基于Filter技术，通过一系列内置的或自定义的安全Filter，实现接口的认证与授权。我们一定在使用的过程中，定义过WebSecurityConfigurerAdapter的扩展，为程序自定义配置逻辑。

比如，我们想要自定义基于JWT拦截的过滤器，我们可以通过addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);的方式，将过滤器按照一定顺序加入过滤器链。

addFilterBefore在HttpSecurity类中：

public HttpSecurity addFilterBefore(Filter filter,
                                    Class<? extends Filter> beforeFilter) {
    comparator.registerBefore(filter.getClass(), beforeFilter);
    return addFilter(filter);
}

见名知义，意思是在指定的beforeFilter之前加入filter。这里的comparator是内置的一个用于比较注册顺序的一个类，可以大致看一看：可以看到构造器初始化了map，key为过滤器的类对象，value为order。

order的顺序也是确定的，举个例子，ChannelProcessingFilter的order值为100，后面每多一个，就加上100。

final class FilterComparator implements Comparator<Filter>, Serializable {
    private static final int INITIAL_ORDER = 100;
    private static final int ORDER_STEP = 100;
    private final Map<String, Integer> filterToOrder = new HashMap<>();

    FilterComparator() { //初始化了一些默认的Filter并规定的order
        Step order = new Step(INITIAL_ORDER, ORDER_STEP);//越往下order越大
        put(ChannelProcessingFilter.class, order.next()); //100
        put(ConcurrentSessionFilter.class, order.next()); //200
        put(WebAsyncManagerIntegrationFilter.class, order.next());
        put(SecurityContextPersistenceFilter.class, order.next());
        put(HeaderWriterFilter.class, order.next());
        put(CorsFilter.class, order.next());
        put(CsrfFilter.class, order.next());
        put(LogoutFilter.class, order.next());
        //...省略
    }

compare方法定义了比较的规则：依照order排序，小的在前，大的在后。

public int compare(Filter lhs, Filter rhs) {
    Integer left = getOrder(lhs.getClass());
    Integer right = getOrder(rhs.getClass());
    return left - right;
}

registerBefore

以registerBefore为例，其他类似的还有registerAt,registerAfter。

public void registerBefore(Class<? extends Filter> filter,
                           Class<? extends Filter> beforeFilter) {
    Integer position = getOrder(beforeFilter);//得到要加入的filter的位置
    if (position == null) {}
    put(filter, position - 1);//将当的filter存入map
}

addFilter

向List<Filter> 中加入filter。

public HttpSecurity addFilter(Filter filter) {
    Class<? extends Filter> filterClass = filter.getClass();
    if (!comparator.isRegistered(filterClass)) {}
    this.filters.add(filter);//向List<Filter> 中加入filter
    return this;
}

在所有的Filter添加完成之后，Filter其实并没有按照order进行排序，因为暂时还是按照读取的顺序进行加入的List，只有当执行了HttpSecurity.performBuild之后，才形成按照order排序的Filter数组。

在进行sort之后，根据order进行排序，生成的列表List就是最终的Filter列表。