Spring Security3源码分析-AnonymousAuthenticationFilter分析

最新推荐文章于 2023-02-09 16:29:45 发布
最新推荐文章于 2023-02-09 16:29:45 发布
阅读量172 收藏
点赞数
分类专栏: Spring Security 文章标签: anonymousauthenticationfilter security
AnonymousAuthenticationFilter过滤器对应的类路径为
org.springframework.security.web.authentication.AnonymousAuthenticationFilter
AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter这些过滤器后面的,所以如果这三个过滤器都没有认证成功,则为当前的SecurityContext中添加一个经过匿名认证的token,但是通过servlet的getRemoteUser等方法是获取不到登录账号的。因为SecurityContextHolderAwareRequestFilter过滤器在AnonymousAuthenticationFilter前面。 


    //省略了日志部分
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        //applyAnonymousForThisRequest永远返回ture
        if (applyAnonymousForThisRequest((HttpServletRequest) req)) {
            //如果当前SecurityContext中没有认证实体
            if (SecurityContextHolder.getContext().getAuthentication() == null) {
                //产生一个匿名认证实体,并保存到SecurityContext中
                SecurityContextHolder.getContext().setAuthentication(createAuthentication((HttpServletRequest) req));
            } else {
            }
        }

        chain.doFilter(req, res);
    }

    protected Authentication createAuthentication(HttpServletRequest request) {
        //产生匿名认证token,注意这里的key、userAttribute是通过解析标签注入的
        AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key, userAttribute.getPassword(),
                userAttribute.getAuthorities());
        auth.setDetails(authenticationDetailsSource.buildDetails(request));

        return auth;
    }

anonymous标签配置为。 

<anonymous granted-authority="ROLE_ANONYMOUS" enabled="true" username="test"/>

这里username属性容易混淆,username默认为anonymousUser,实际上是注入到UserAttribute的password变量中的。
granted-authority属性注入到UserAttribute的authorities授权列表
Dead_Knight
关注
专栏目录
SpringSecurity源码分析-未登录下如何进行拦截与转发
u011439259的博客
09-16 1178
前言 基于SpringSecurity 5.1.6.RELEASE进行登录认证源码分析 1、引入库 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> <version>2.1.3.RELEASE</version> </..
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8093
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
springsecurity 源码解读之 AnonymousAuthenticationFilter
weixin_33841722的博客
04-03 739
我们知道springsecutity 是通过一系列的 过滤器实现的,我们可以看看这系列的过滤器到底长成什么样子呢? 一堆过滤器,这个过滤器的设计设计上是 责任链设计模式。 这里我们可以看到有一个AnonymousAuthenticationFilter 过滤器。 顾名思义我们知道这个是一个叫 匿名登录人过滤器,他的作用是什么呢? 我们看看代码 ,他做了什么? if (apply...
Spring Security Web 5.1.2 源码解析 -- AnonymousAuthenticationFilter
Details Inside Spring
12-08 933
概述 此过滤器过滤请求,检测SecurityContextHolder中是否存在Authentication对象,如果不存在,说明 用户尚未登录,此时为其提供一个匿名Authentication对象:AnonymousAuthentication。 注意:在整个请求处理的开始,无论当前请求所对应的session中用户是否已经登录,SecurityContextPersistenceFilter ...
springSecurity报错:AnonymousAuthenticationToken cannot be cast to UsernamePasswordAuthenticationToken
m0_47743175的博客
11-24 3962
记录 java.lang.String cannot be cast to org.example.bean.LoginUser 或 org.springframework.security.authentication.AnonymousAuthenticationToken cannot be cast to org.springframework.security.authentication.UsernamePasswordAuthenticationToken 报错问题
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
最新发布
secretdaixin的博客
02-09 2325
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问。
聊一聊源码学习,AnonymousAuthenticationFilter如何初始化
kiranet的专栏
09-08 2961
关于Spring Security的过滤器分析,在kirito的https://mp.weixin.qq.com/s?__biz=MzUzNTY4NTYxMA==&amp;mid=2247484293&amp;idx=2&amp;sn=62ca751be311ba6ddcdf2790bd0c4ac6&amp;chksm=fa80f300cdf77a16c7f0e38200dcc3fe8010bbc...
SpringBoot_SpringSecurity-源码.rar
10-10
源码分析中,你可能会看到SpringSecurity如何利用过滤器链来处理HTTP请求,如`UsernamePasswordAuthenticationFilter`用于处理登录请求,`AnonymousAuthenticationFilter`确保未认证用户默认有一个匿名角色,还有`...
spring security源码分析.pdf
07-11
### Spring Security 源码分析知识...以上内容涵盖了 Spring Security 3 的源码分析中几个关键点的具体内容。通过对这些内容的深入学习和理解,可以更好地掌握 Spring Security 的工作原理及其在实际项目中的应用技巧。
spring-security源码,直接引用这个压缩文件即可
08-28
分析`spring-security 5.0`的源码时,我们可以深入理解其核心机制,帮助我们更好地使用和扩展该框架。 1. **模块结构**: Spring Security 5.0 的源码包含多个模块,如`core`、`config`、`web`等。`core`模块...
AnonymousAuthenticationFilter详解
小汤圆
08-11 1564
匿名认证过滤器,可能有人会想:匿名了还有身份?我自己对于Anonymous匿名身份的理解是Spirng Security为了整体逻辑的统一性,即使是未通过认证的用户,也给予了一个匿名身份。而AnonymousAuthenticationFilter该过滤器的位置也是非常的科学的,它位于常用的身份认证过滤器(如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter)之后,意味着只
springSecurity -------AnonymousAuthenticationFilter
wangtao753的博客
06-13 2032
描述:AnonymousAuthenticationFilterspringsecurity在配置一些url可在未登录未授权的时候默认给他授权通过,可在配置文件中指定一些url赋予permitAll()方法即可使用该过滤器,接下来我们从源码的角度来看看这个过滤器具体是怎么工作的 AnonymousAuthenticationFilter public class AnonymousAuthenticationFilter extends GenericFilterBean implements Initi
12、spring security拦截器之AnonymousAuthenticationFilter
u012153127的博客
06-26 942
AnonymousAuthenticationFilter:如果当前安全上下文的Authentication为空,则创建一个匿名的Authentication用户 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException //判断SecurityContext中的Authentication是否为空 i
无状态Spring安全性第2部分:无状态身份验证
最佳 Java 编程
05-24 203
Spring Stateless Security系列的第二部分是关于以无状态方式探索身份验证的方法。 如果您错过了CSRF的第一部分,可以在这里找到。 因此,在谈论身份验证时,其全部内容就是让客户端以可验证的方式向服务器标识自己。 通常,这始于服务器向客户端提供挑战,例如要求填写用户名/密码的请求。 今天,我想着重介绍在通过此类初始(手动)挑战后会发生什么情况,以及如何处理其他HTTP...
匿名认证(Anonymous Authentication
呜呼哈
04-05 4538
通常认为采用“默认拒绝”是一种良好的安全实践,在这种情况下,您可以明确指定允许的内容,并禁止其他内容。定义未经身份验证的用户可以访问的内容也是类似的情况,特别是对于 web 应用程序。许多站点要求用户必须对除了一些 url (例如主页和登录页面)以外的任何内容进行身份验证。在这种情况下,为这些特定 url 定义访问配置属性比为每个安全资源定义访问配置属性更容易。换句话说,有时候说 role_something 是默认需要的,并且只允许该规则的某些异常,比如用于应用程序的登录、注销和主页。您还可以从过滤器链中
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 8489
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
踩坑记录 - 关于使用Spring security的一个坑(自定义登录页面访问配置的login.do报404)
SkyWalker的博客
03-22 1万+
今天分享一个使用Spring security的一个坑。。。 废话不说,上代码: <!-- 登录页面login.html --> <form id="login-form" action="/login.do"> 用户名:<input type="text" name="username"/> <br> 密码:<input type="p...
Spring Security出现问题:Access is denied 及我的解决方案
热门推荐
txd2016_5_11的博客
01-24 6万+
近日使用spring security,xml文件如下: ...... <!-- 页面拦截规则 --> <http pattern="/shoplogin.html" security="none"></http> <http pattern="/loginerror.html" security="none"></http> ...
解决:org.springframework.security.access.AccessDeniedException: Access is denied
东天里的冬天
06-30 6万+
最近在使用SpringSecurity时涉及到从数据库中获取用户,结果一直报错,错误如下 Secure object: FilterInvocation: URL: /index.jsp; Attributes: [hasRole('ROLE_USER')] 2017-06-29 23:02:27 731 [DEBUG] Previously Authenticated: org.springf
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值