1.HttpSecurity中的requestMatcher,antMatcher ,mvcMatcher,regexMatcher,requestMatchers方法
首先FilterChainProxy中
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
DefaultSecurityFilterChain中的matches方法
public boolean matches(HttpServletRequest request) {
return requestMatcher.matches(request);
}
也就是说在filterchains中依靠每个filterchain的requestMatcher来匹配request,之前提到的那些Matcher就是用来设置requestMatcher的
public HttpSecurity requestMatcher(RequestMatcher requestMatcher) {
this.requestMatcher = requestMatcher;
return this;
}
这个是用户可以自己实现一个RequestMatcher,然后调用这个requestMatcher方法设置。
antMatcher ,mvcMatcher,regexMatcher,参数都是字符串,然后利用字符串根据相应规则进行匹配,可查看相关代码
这里说说requestMatchers,他用了实现匹配多个路径,因为其他那些也就能设置一个路径。
public RequestMatcherConfigurer requestMatchers() {
return requestMatcherConfigurer;
}
它是返回一个requestMatcherConfigurer,然后我们可以通过这个对象中的方法来设置匹配路径 比如RequestMatcherConfigurer中的mvcMatchers AbstractRequestMatcherRegistry的一些antMatchers regexMatchers 这些方法最后都会调用到HttpSecurity中的
private void setMatchers(List<? extends RequestMatcher> requestMatchers) {
this.matchers.addAll(requestMatchers);
requestMatcher(new OrRequestMatcher(this.matchers));
}
OrRequestMatcher比较简单,就是逐个遍历里面的路径设置,看看有没有匹配的。
如果我们不去调用这些方法,那requestMatcher是一个默认的AnyRequestMatcher,那是匹配所有路径,那如果在filterchains中的后面的filterchain就无法被调用了,因为这个filterchain截获了所有request。
authorizeRequests