Spring Security的Web基礎結構只能通過委托`FilterChainProxy`實例來使用。 安全過濾器本身不應使用。 從理論上講，您可以在應用程序上下文文件中聲明所需的每個Spring Security過濾器bean，并為每個過濾器添加相應的`DelegatingFilterProxy`條目到`web.xml`，確保它們正確排序，但這會很麻煩并且會使 如果您有很多過濾器，請快速使用web.xml文件。` FilterChainProxy`允許我們向web.xml添加一個條目，并完全處理應用程序上下文文件以管理我們的Web安全bean。 它使用`DelegatingFilterProxy`連接，就像上面的例子一樣，但`filter-name`設置為bean名稱“`filterChainProxy`”。 然后，在應用程序上下文中使用相同的bean名稱聲明過濾器鏈。 這是一個例子： ~~~ <bean id="filterChainProxy" class="org.springframework.security.web.FilterChainProxy"> <constructor-arg> <list> <sec:filter-chain pattern="/restful/**" filters=" securityContextPersistenceFilterWithASCFalse, basicAuthenticationFilter, exceptionTranslationFilter, filterSecurityInterceptor" /> <sec:filter-chain pattern="/**" filters=" securityContextPersistenceFilterWithASCTrue, formLoginFilter, exceptionTranslationFilter, filterSecurityInterceptor" /> </list> </constructor-arg> </bean> ~~~ 命名空間元素過濾器鏈用于方便設置應用程序中所需的安全過濾器鏈。 [6]。它將特定的URL模式映射到根據filters元素中指定的bean名稱構建的過濾器列表，并將它們組合在SecurityFilterChain類型的bean中。 pattern屬性采用Ant路徑，最具體的URI應首先出現[7]。在運行時，FilterChainProxy將找到與當前Web請求匹配的第一個URI模式，并且filters屬性指定的過濾器bean列表將應用于該請求。過濾器將按照定義的順序調用，因此您可以完全控制應用于特定URL的過濾器鏈。 您可能已經注意到我們在過濾器鏈中聲明了兩個SecurityContextPersistenceFilter（ASC是allowSessionCreation的縮寫，是SecurityContextPersistenceFilter的一個屬性）。由于Web服務永遠不會出現未來請求的jsessionid，因此為這樣的用戶代理創建HttpSession將是浪費。如果您的大批量應用程序需要最大的可擴展性，我們建議您使用上面顯示的方法。對于較小的應用程序，使用單個SecurityContextPersistenceFilter（默認的allowSessionCreation為true）可能就足夠了。 請注意，FilterChainProxy不會在配置的過濾器上調用標準過濾器生命周期方法。我們建議您使用Spring的應用程序上下文生命周期接口作為替代方法，就像使用任何其他Spring bean一樣。 當我們查看如何使用命名空間配置設置Web安全性時，我們使用了名為“springSecurityFilterChain”的DelegatingFilterProxy。您現在應該能夠看到這是由命名空間創建的FilterChainProxy的名稱。