SpringSecurity源码解析--SecurityContextPersistenceFilter

最新推荐文章于 2024-05-19 19:04:00 发布
置顶 最新推荐文章于 2024-05-19 19:04:00 发布
阅读量298 收藏
点赞数
分类专栏: # SpringSecurity
原文链接:https://blog.csdn.net/andy_zhang2007/article/details/84717438
版权

概述

SecurityContextPersistenceFilter有两个主要任务:

  1. 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder;
  2. 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。

通过SecurityContextPersistenceFilter的这种机制,在整个请求处理过程中,开发人员都可以通过使用SecurityContextHolder获取当前访问用户的安全上下文信息。

缺省情况下,SecurityContextPersistenceFilter使用的SecurityContextRepository是HttpSessionSecurityContextRepository,也就是将安全上下文的信息保存在用户的会话中。

为了解决不同Serlvet容器上,尤其是weblogic上的兼容性问题,此Filter必须在整个request处理过程中被调用最多一次。

该Filter也必须在任何认证机制逻辑发生之前被调用。因为这些认证机制都依赖于SecurityContextHolder所包含的安全上下文对象。

public class SecurityContextPersistenceFilter extends GenericFilterBean {

	// 确保该Filter在一个request处理过程中最多被调到用一次的机制:
	// 一旦该Fitler被调用过,他会在当前request增加该属性值为true,利用此标记
	// 可以避免Filter被调用二次。
	static final String FILTER_APPLIED = "__spring_security_scpf_applied";

	// 安全上下文存储库
	private SecurityContextRepository repo;

	private boolean forceEagerSessionCreation = false;

	public SecurityContextPersistenceFilter() {
		// 缺省使用http session 作为安全上下文对象存储
		this(new HttpSessionSecurityContextRepository());
	}

	public SecurityContextPersistenceFilter(SecurityContextRepository repo) {
		this.repo = repo;
	}

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (request.getAttribute(FILTER_APPLIED) != null) {
			// ensure that filter is only applied once per request
			// 检查调用标志,如果request上已经存在属性FILTER_APPLIED,
			// 表明该Filter在该request的处理过程中已经被调用过
			chain.doFilter(request, response);
			return;
		}

		final boolean debug = logger.isDebugEnabled();

		// 设置该Filter已经被调用的标记
		request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

		if (forceEagerSessionCreation) {
			HttpSession session = request.getSession();

			if (debug && session.isNew()) {
				logger.debug("Eagerly created session: " + session.getId());
			}
		}

		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
				response);
		// 从安全上下文存储库(缺省是http session)中读取安全上下文对象		
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

		try {
			// 设置安全上下文对象到SecurityContextHolder然后才继续Filter chain的调用
			SecurityContextHolder.setContext(contextBeforeChainExecution);

			chain.doFilter(holder.getRequest(), holder.getResponse());

		}
		finally {
			SecurityContext contextAfterChainExecution = SecurityContextHolder
					.getContext();
			// Crucial removal of SecurityContextHolder contents - do this before anything
			// else.
			// 当前请求已经被处理完成了,清除SecurityContextHolder并将最新的
			// 安全上下文对象保存回安全上下文存储库(缺省是http session)
			SecurityContextHolder.clearContext();
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),
					holder.getResponse());
			request.removeAttribute(FILTER_APPLIED);

			if (debug) {
				logger.debug("SecurityContextHolder now cleared, as request processing completed");
			}
		}
	}

	public void setForceEagerSessionCreation(boolean forceEagerSessionCreation) {
		this.forceEagerSessionCreation = forceEagerSessionCreation;
	}
}

其他过滤器总和

SpringSecurity过滤器清单

程序员劝退师-TAO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
spring-security-web码所需jar包
12-03
《Spring Security Web解析与相关依赖》 Spring Security Web是Spring Security框架的重要组成部分,它主要负责Web应用程序的安全性,包括认证和授权等核心功能。本文将深入探讨Spring Security Web的码,并...
史上最简单的Spring Security教程(四十):SecurityContextPersistenceFilter详解
银河架构师的博客
11-11 2330
SecurityContextPersistenceFilter,为Spring Security框架Filter Chain过滤器链的第一个 Filter,具有不可或缺的作用。 /** * Populates the {@link SecurityContextHolder} with information obtained from the * configured {@link SecurityContextRepository} prior to the request an...
SecurityContextPersistenceFilter详解
小汤圆
08-11 1654
试想一下,如果我们不使用Spring Security,如果保存用户信息呢,大多数情况下会考虑使用Session对吧?在Spring Security中也是如此,用户在登录过一次之后,后续的访问便是通过sessionId来识别,从而认为用户已经被认证。SecurityContextHolder存放用户信息,认证相关的信息是如何被存放到其中的,便是通过SecurityContextPersistenceFilter。SecurityContextPersistenceFilter的两个主要作用便是请求来临时,
Spring Security之认证信息的处理
最新发布
Evan_L的博客
05-19 1012
我们通常将当前用户信息保存在session中,由HttpSessionSecurityContextRepository来管理。在请求进入后,先通过SecurityContextPersistenceFilter将HttpSessionSecurityContextRepository中的SecurityContext恢复到SecurityContextHolder,这样后续的处理就能通过它来获取SecurityContext了。
Spring Security 自定义SecurityContextRepository
m13012606980的专栏
02-08 1674
spring security的逻辑是判断一个请求如果需要进行身份验证,它需要通过SecurityContextRepository#loadContext方法看是否能获取到已验证的身份信息,如果获取到则直接访问对应的请求,获取不到则说明用户没有进行身份认证,则需要跳转到“/login”进行登录,登录成功,会把已验证的身份信息存储起来,调用SecurityContextRepository#saveContext方法。
spring security-码流程分析(三)
luoxiaomei999的博客
03-31 1936
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪码,剖析security内在 一、模拟一次请求,过滤器执行流程 本次重点关注以上几个过滤器的部分执行过程 SecurityContextPersistenceFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) .
SpringSecurity过滤器链SecurityContextPersistenceFilter
sdaujsj1的博客
07-03 854
SecurityContextPersistenceFilter SecurityContextPersistenceFilter是Springsecurity链中第二道防线,位于WebAsyncManagerIntegrationFilter之后,作用是为了存储SecurityContext而设计的。 SecurityContextPersistenceFilter主要做两件事: 当请求到来时,从HttpSession中获取SecurityContext并存入SecurityContextHolder中
spring-security4.0.zip
08-21
- `spring-security-messaging-4.0.0.RELEASE.jar`: 为Spring Messaging提供安全支持,保护消息传输过程中的安全性。 11. **CAS集成** - `spring-security-cas-4.0.0.RELEASE.jar`: 支持与Central Authentication...
spring-security3.1
02-28
以上只是Spring Security 3.1 码中的部分核心概念和功能。深入研究码可以帮助开发者更好地理解其工作原理,定制和扩展安全功能,以满足复杂的应用场景需求。通过分析码,我们可以学习如何实现自定义的身份验证...
springsecurity码(鉴权有缺陷)
05-20
然而,正如标题所提及的,Spring Security 的码可能存在鉴权缺陷。这个话题涉及到多个知识点,包括Spring Security的基本架构、鉴权流程、潜在的安全风险以及如何修复这些问题。 1. **Spring Security 基本架构**...
spring-security-core-3.1.0.RC1.jar
04-29
二、`spring-security-core-3.1.0.RC1.jar`解析 1. **核心组件**:此jar包包含了Spring Security框架的基本组件,如Authentication(认证)、Authorization(授权)和Access Control(访问控制)机制。其中,...
【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
yqqの博客
03-18 246
SpringSecurity中的jar分为4个,作用分别为。
SpringSecurity------Persisting Authentication(十一)
豢龙先生
06-20 815
当用户第一次请求受保护的资时,客户端HTTP请求的汇总:1、未经认证的用户请求受保护资 2、用户提交他们的用户名和密码 4、后续请求包括会话cookie,该cookie用于在会话剩余时间对用户进行身份验证 二、SecurityContextRepository Spring Security使用SecurityContextRepository关联登录用户和登录之后发往服务器的请求HttpSecurityContextRepository是SecurityContextRepository的默认实现,它
Spring Security Web 5.1.2 解析 -- HttpSessionSecurityContextRepository
Details Inside Spring
12-02 5691
Spring Security Web提供的类HttpSessionSecurityContextRepository是一个SecurityContextRepository接口的实现,用于在HttpSession中保存安全上下文(security context),这样属于同一个HttpSession的多个请求,就能够利用此机制访问同一安全上下文了。 package org.springfram...
Markdonw语法
吴大侠的博客
11-25 2595
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
分布式工程搭建--spring cloud alibaba(spring security网关鉴权)
asdcctv882的博客
08-21 3301
Nacos-注册中心搭建 1.1 注册中心Nacos与Eureka对比 在此项目中naocs服务器是通过mysql来进行连接的,nacos不用手动搭建服务器,对于开发者来说,上手很快。 1.2 Nacos安装和启动 nacos 的下载和启动方法请参考Nacos 官网。 在启动nacos2.01的时候,有个坑,默认启动方式是以集群的方式启动,需要修改, 直接使用命令启动 startup.sh -m standalone 1.3 注册中心客户端搭建 Pom依赖导入: <dependency&.
浅析Spring Security 的认证过程及相关过滤器
Innocence_0的博客
02-18 283
浅析Spring Security 的认证过程及相关过滤器
java技术专家 【安全框架第九篇】 SpringSecurity核心过滤器-SecurityContextPersistenceFilter
大壮
12-23 883
java技术专家 安全框架【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
spring security实现原理
09-15
在默认情况下,使用spring-boot-starter-security引入Spring Security后,会默认注入一些Filter,包括: - SecurityContextPersistenceFilter:用于在请求间持久化SecurityContext。 - ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值