Spring Security的Web基础结构只能通过委托`FilterChainProxy`实例来使用。 安全过滤器本身不应使用。 从理论上讲，您可以在应用程序上下文文件中声明所需的每个Spring Security过滤器bean，并为每个过滤器添加相应的`DelegatingFilterProxy`条目到`web.xml`，确保它们正确排序，但这会很麻烦并且会使 如果您有很多过滤器，请快速使用web.xml文件。` FilterChainProxy`允许我们向web.xml添加一个条目，并完全处理应用程序上下文文件以管理我们的Web安全bean。 它使用`DelegatingFilterProxy`连接，就像上面的例子一样，但`filter-name`设置为bean名称“`filterChainProxy`”。 然后，在应用程序上下文中使用相同的bean名称声明过滤器链。 这是一个例子： ~~~ <bean id="filterChainProxy" class="org.springframework.security.web.FilterChainProxy"> <constructor-arg> <list> <sec:filter-chain pattern="/restful/**" filters=" securityContextPersistenceFilterWithASCFalse, basicAuthenticationFilter, exceptionTranslationFilter, filterSecurityInterceptor" /> <sec:filter-chain pattern="/**" filters=" securityContextPersistenceFilterWithASCTrue, formLoginFilter, exceptionTranslationFilter, filterSecurityInterceptor" /> </list> </constructor-arg> </bean> ~~~ 命名空间元素过滤器链用于方便设置应用程序中所需的安全过滤器链。 [6]。它将特定的URL模式映射到根据filters元素中指定的bean名称构建的过滤器列表，并将它们组合在SecurityFilterChain类型的bean中。 pattern属性采用Ant路径，最具体的URI应首先出现[7]。在运行时，FilterChainProxy将找到与当前Web请求匹配的第一个URI模式，并且filters属性指定的过滤器bean列表将应用于该请求。过滤器将按照定义的顺序调用，因此您可以完全控制应用于特定URL的过滤器链。 您可能已经注意到我们在过滤器链中声明了两个SecurityContextPersistenceFilter（ASC是allowSessionCreation的缩写，是SecurityContextPersistenceFilter的一个属性）。由于Web服务永远不会出现未来请求的jsessionid，因此为这样的用户代理创建HttpSession将是浪费。如果您的大批量应用程序需要最大的可扩展性，我们建议您使用上面显示的方法。对于较小的应用程序，使用单个SecurityContextPersistenceFilter（默认的allowSessionCreation为true）可能就足够了。 请注意，FilterChainProxy不会在配置的过滤器上调用标准过滤器生命周期方法。我们建议您使用Spring的应用程序上下文生命周期接口作为替代方法，就像使用任何其他Spring bean一样。 当我们查看如何使用命名空间配置设置Web安全性时，我们使用了名为“springSecurityFilterChain”的DelegatingFilterProxy。您现在应该能够看到这是由命名空间创建的FilterChainProxy的名称。