Spring Security3源码分析(9)-SecurityContextHolderAwareRequestFilter分析

最新推荐文章于 2022-09-17 16:25:37 发布
最新推荐文章于 2022-09-17 16:25:37 发布
阅读量5.3k 收藏 1
点赞数
分类专栏: Spring-Security 文章标签: SecurityContextHolde
SecurityContextHolderAwareRequestFilter过滤器对应的类路径为 
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter 

从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码 
Java代码   收藏代码
  1. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
  2.         throws IOException, ServletException {  
  3.     chain.doFilter(new SecurityContextHolderAwareRequestWrapper((HttpServletRequest) req, rolePrefix), res);  
  4. }  


SecurityContextHolderAwareRequestWrapper类对request包装的目的主要是实现servlet api的一些接口方法isUserInRole、getRemoteUser 
Java代码   收藏代码
  1. //从SecurityContext中获取认证实体Authentication  
  2. private Authentication getAuthentication() {  
  3.     Authentication auth = SecurityContextHolder.getContext().getAuthentication();  
  4.   
  5.     if (!authenticationTrustResolver.isAnonymous(auth)) {  
  6.         return auth;  
  7.     }  
  8.   
  9.     return null;  
  10. }  
  11.   
  12. //实现getRemoteUser方法。首先获取认证实体,再从认证实体中获取登录账号  
  13. @Override  
  14. public String getRemoteUser() {  
  15.     Authentication auth = getAuthentication();  
  16.   
  17.     if ((auth == null) || (auth.getPrincipal() == null)) {  
  18.         return null;  
  19.     }  
  20.   
  21.     if (auth.getPrincipal() instanceof UserDetails) {  
  22.         return ((UserDetails) auth.getPrincipal()).getUsername();  
  23.     }  
  24.   
  25.     return auth.getPrincipal().toString();  
  26. }  
  27.   
  28. //实现getUserPrincipal方法  
  29. @Override  
  30. public Principal getUserPrincipal() {  
  31.     Authentication auth = getAuthentication();  
  32.   
  33.     if ((auth == null) || (auth.getPrincipal() == null)) {  
  34.         return null;  
  35.     }  
  36.   
  37.     return auth;  
  38. }  
  39.   
  40. //判断是否授权。这里注意一下rolePrefix,就是角色的前缀  
  41. private boolean isGranted(String role) {  
  42.     Authentication auth = getAuthentication();  
  43.   
  44.     if( rolePrefix != null ) {  
  45.         role = rolePrefix + role;  
  46.     }  
  47.   
  48.     if ((auth == null) || (auth.getPrincipal() == null)) {  
  49.         return false;  
  50.     }  
  51.   
  52.     Collection<GrantedAuthority> authorities = auth.getAuthorities();  
  53.   
  54.     if (authorities == null) {  
  55.         return false;  
  56.     }  
  57.   
  58.   
  59.     for (GrantedAuthority grantedAuthority : authorities) {  
  60.         if (role.equals(grantedAuthority.getAuthority())) {  
  61.             return true;  
  62.         }  
  63.     }  
  64.   
  65.     return false;  
  66. }  
  67.   
  68. //实现isUserInRole  
  69. @Override  
  70. public boolean isUserInRole(String role) {  
  71.     return isGranted(role);  
  72. }  


这个过滤器看起来很简单。目的仅仅是实现java ee中servlet api一些接口方法。 
一些应用中直接使用getRemoteUser方法、isUserInRole方法,在使用spring security时其实就是通过这个过滤器来实现的。
Benjamin_whx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
security-parent
04-15
过滤器 0 = {WebAsyncManagerIntegrationFilter @ 7761} 1 = {SecurityContextPersistenceFilter @ 7760} 2 = {HeaderWriterFilter @ 7759} 3 = {CsrfFilter @ 7758} 4 = {LogoutFilter @ 7757} 5 = {UsernamePasswordAuthenticationFilter @ 7755} 6 = {RequestCacheAwareFilter @ 9937} 7 = {SecurityContextHolderAwareRequestFilter @ 9938} 8 = {AnonymousAuthenticationFilter @ 9939} 9 = {SessionManagementFilter @ 9940} 10
spring security 学习笔记(一)
m0_37723564的博客
02-19 680
目录 引言 框架概述 过滤器SecurityFilter 引言 之前写了几篇有关shiro和spring之间整合的文章。在实际的开发过程中除了用shiro作为安全管理框架之外,用的比较多的就是spring security框架了。相对于shiro而言spring security作为spring全家桶中的一员和spring boot的整合也会更加方便,同时功能也更加的丰富,属于重量级的安全框架。而且随着spring框架体系的日益完善,java 开发中spring框架的比重...
SpingSecurity框架重要知识点(理解)
tigerhhzz的博客
05-10 393
一,SpingSecurity本质是一个过滤器链(11个过滤器) 1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到Se
Spring Security学习笔记一
小夏陌的博客
11-21 3807
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架,能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在 Web 请求级和方法调用级处理身份确认和授权。为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(Spring Boot使Spring Security更加易用,也使...
spring security------过滤器源码解析(二)
java线程池
07-21 623
我们上篇已经解析过了前三个过滤器的源码,这篇将会去解析之前剩下的几个类 - BasicAuthenticationFilter - RequestCacheAwareFilter - SecurityContextHolderAwareRequestFilter - AnonymousAuthenticationFilter 废话不多说,直接进入主题吧 BasicAuthe...
Spring Security Web 5.1.2 源码解析 -- SecurityContextHolderAwareRequestFilter
Details Inside Spring
12-07 1463
概述 SecurityContextHolderAwareRequestFilter对请求HttpServletRequest采用Wrapper/Decorator模式包装成一个可以访问SecurityContextHolder中安全上下文的SecurityContextHolderAwareRequestWrapper。这样接口HttpServletRequest上定义的getUserPrinc...
[9] SecurityContextHolderAwareRequestFilter
既无风雨也无晴
03-16 2万+
SecurityContextHolderAwareRequestFilter 介绍 Spring Security TokenEndpoint中获取token的请求,有这样一个参数:Principal。 对于一个普通HttpServletRequest,是没有Principal参数类型的。SecurityContextHolderAwareRequestFilter通过HttpServletR...
Acegi(八): securityContextHolderAwareRequestFilter
rmn190
03-01 137
  上篇 中我们说了下 LogoutFilter的配置, 这篇里接着看另一个常见的配置SecurityContextHolderAwareRequestFilter. 下面先看怎么把它配置到Acegi里.     应该说对 securityContextHolderAwareRequestFilter 的配置要比LogoutFilter的更简单些. 有以下两步:          Ste...
Spring Security3源码分析-SecurityContextHolderAwareRequestFilter分析
Dead_Knight的专栏
05-07 345
SecurityContextHolderAwareRequestFilter过滤器对应的类路径为 org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter 从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码 [code="java"] public...
Acegi(十): securityContextHolderAwareRequestFilter
rmn190
03-04 160
     在Acegi(八) 和Acegi(九) 里, 我们对securityContextHolderAwareRequestFilter有了个较为全面的剖析.在这篇做个小结, 也把一些漏落补上.          在上两篇里,我们实际上是介绍了三个类: SecurityContextHolderAwareRequestFilterSecurityContextHolderAwareReq...
SpringSecurity(七)用户数据获取之SpringSecurityContextHolder深度剖析(上)
陈橙橙
03-11 3775
登录用户数据获取 登录成功之后,在后续的业务逻辑中,我们可能还需要获取登录成功用户的用户对象,如果我们不使用任何安全框架,我们可以将用户信息保存在HttpSession中,需要的话就从HttpSession中获取数据。在SpringSecurity中,用户登录信息本质上还是保存在HttpSession中,但是为了方便使用,SpringSecurity对HttpSession中的用户信息进行了封装,封装之后,我们在想获取用户登录数据就会有两种不同的思路: 从SecurityContextHolder中获取
Spring Security 参考手册
qq_35327757的博客
06-07 1450
Spring Security 参考手册Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 前言 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,我们试图为你提供一个有用的并且高度可配置的安全系统。 安全是一个不断移动的目标,采取一个全面的全系统的方法
深入浅出SpringSecurity和OAuth2(四)—— SecurityContextPersistenceFilter以及ExceptionTranslationFilter
你要悄悄的拔尖,然后惊艳所有人
08-19 635
前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth2的知识没有一个整体概念的把握,知识体系没有形成系统,遂决定写一个关于SpringSecurity和OAuth2的系列专栏,在建造自己知识体系的同时还希望能帮助有同
Spring Security 中跨 request 请求保持 SecurityContext
Details Inside Spring
08-10 3848
在一个ServletWeb应用中,对于一个请求进行处理的全过程,服务端使用的是同一个线程,通过利用SecurityContextHolder的MODE_THREADLOCAL安全上下文SecurityContext保持机制,无论该处理过程中使用到了哪些对象的哪些方法,这些方法内都可以获得当前访问者的安全上下文SecurityContext。但是,如果跨多个请求需要保持同样的安全上下文Securit...
java multipartrequestwrapper,如何从Servlet3SecurityContextHolderAwareRequestWrapper中获取MultipartRequest...
weixin_30716611的博客
03-01 1247
I'm using Grails 2.4.3 and I have a with method set to post, but I'm not getting a MutlipartRequest in my controller action. Instead I'm getting a Servlet3SecurityContextHolderAwareRequestWrapper wh...
SpringSecurity基础:SecurityContext对象
Leon_Jinhai_Sun的博客
09-17 1049
SpringSecurity基础:SecurityContext对象
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
springSecurity系列之 SecurityContextHolder与SecurityContext
weixin_39802680的博客
03-27 1456
SecurityContextHolder SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext。 安全上下文 SecurityContext SecurityContext 可以理
spring security实现原理
最新发布
09-15
3. FilterChainProxy会根据配置的规则,依次执行Spring Security用于认证和授权管理的各种Filter。 4. 这些Filter会进行用户认证、权限检查等操作,以确保请求的安全性。 在默认情况下,使用spring-boot-starter-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值