6.SpringSecurity-基本原理(过滤器链)

已于 2022-04-11 23:44:51 修改
阅读量281 收藏
点赞数
分类专栏: Spring Security OAuth2.0 文章标签: java
于 2022-03-30 21:55:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stubborn_bull/article/details/123858237
版权

  SpringSecurity 本质是一个过滤器链:
  从启动是可以获取到过滤器链:

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
org.springframework.security.web.context.SecurityContextPersistenceFilter
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.authentication.www.BasicAuthenticationFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter
org.springframework.security.web.session.SessionManagementFilter
org.springframework.security.web.access.ExceptionTranslationFilter
org.springframework.security.web.access.intercept.FilterSecurityInterceptor

  代码底层流程:重点看三个过滤器:

FilterSecurityInterceptor

  是一个方法级的权限过滤器, 基本位于过滤链的最底部承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。

public void doFilter(ServletRequest request, ServletResponse response,
      FilterChain chain) throws IOException, ServletException {
   FilterInvocation fi = new FilterInvocation(request, response, chain);
   invoke(fi);
}

public void invoke(FilterInvocation fi) throws IOException, ServletException {
   if ((fi.getRequest() != null)
         && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
         && observeOncePerRequest) {
      // filter already applied to this request and user wants us to observe
      // once-per-request handling, so don't re-do security checking
      fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
   }
   else {
      // first time this request being called, so perform security checking
      if (fi.getRequest() != null && observeOncePerRequest) {
         fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
      }
      //super.beforeInvocation(fi) 表示查看之前的 filter 是否通过 
      InterceptorStatusToken token = super.beforeInvocation(fi);

      try {
     //fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务
         fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
      }
      finally {
         super.finallyInvocation(token);
      }

      super.afterInvocation(token, null);
   }
}

ExceptionTranslationFilter

  是个异常过滤器,用来处理在认证授权过程中抛出的异常。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;

   try {
      chain.doFilter(request, response);

      logger.debug("Chain processed normally");
   }
   catch (IOException ex) {
      throw ex;
   }
   catch (Exception ex) {
      // Try to extract a SpringSecurityException from the stacktrace
      Throwable[] causeChain = throwableAnalyzer.determineCauseChain(ex);
      RuntimeException ase = (AuthenticationException) throwableAnalyzer
            .getFirstThrowableOfType(AuthenticationException.class, causeChain);

      if (ase == null) {
         ase = (AccessDeniedException) throwableAnalyzer.getFirstThrowableOfType(
               AccessDeniedException.class, causeChain);
      }

      if (ase != null) {
         if (response.isCommitted()) {
            throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", ex);
         }
         handleSpringSecurityException(request, response, chain, ase);
      }
      else {
         // Rethrow ServletExceptions and RuntimeExceptions as-is
         if (ex instanceof ServletException) {
            throw (ServletException) ex;
         }
         else if (ex instanceof RuntimeException) {
            throw (RuntimeException) ex;
         }

         // Wrap other Exceptions. This shouldn't actually happen
         // as we've already covered all the possibilities for doFilter
         throw new RuntimeException(ex);
      }
   }
}

UsernamePasswordAuthenticationFilter

  对/login 的 POST 请求做拦截,校验表单中用户名,密码。

public Authentication attemptAuthentication(HttpServletRequest request,
      HttpServletResponse response) throws AuthenticationException {
   if (postOnly && !request.getMethod().equals("POST")) {
      throw new AuthenticationServiceException(
            "Authentication method not supported: " + request.getMethod());
   }

   String username = obtainUsername(request);
   String password = obtainPassword(request);

   if (username == null) {
      username = "";
   }

   if (password == null) {
      password = "";
   }

   username = username.trim();
    //做用户名和密码的认证
   UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
         username, password);

   // Allow subclasses to set the "details" property
   setDetails(request, authRequest);

   return this.getAuthenticationManager().authenticate(authRequest);
}
九宫格输入法
关注
专栏目录
01-SpringSecurity-Demo.zip
09-18
1. **Filter Chain**: 这是一系列过滤器,每个过滤器执行特定的安全任务,如认证、授权等。在SpringSecurity中,这个过滤由`DelegatingFilterProxy`指向`springSecurityFilterChain`。 2. **Authentication**: ...
spring security 3 auto-config=“true”
04-21 1129
SecurityContextPersistenceFilter LogoutFilter UsernamePasswordAuthenticationFilter BasicAuthenticationFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter Anonymous
Spring Security addFilter() 顺序问题
热门推荐
猫吻鱼的博客
11-02 3万+
文章目录1. 分析0. FilterComparator1. HttpSecurity#addFilterAt1.1 `this.comparator.registerAt(filter.getClass(), atFilter);`1.2 `HttpSecurity#addFilter(Filter filter)`2. 总结: 1. 分析 在上面Spring Security + Jwt...
一文带你读懂Spring Security 6.0的实现原理
m0_71777195的博客
07-28 586
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
Spring Security中 默认过滤器
qq_33767353的博客
09-19 312
这只是一些常见的默认过滤器,实际上,Spring Security还提供了其他过滤器,可以根据需求进行自定义和配置。改变默认过滤器的执行顺序可能会影响登录认证流程,特别是涉及到身份验证和授权的过滤器。因此,在调整过滤器的执行顺序时,需要仔细考虑其影响,并确保新的顺序符合需求和安全要求。这个默认的过滤器顺序是经过精心设计的,以确保在处理身份验证、授权和其他安全相关任务时的正确顺序和逻辑。Spring Security中,默认的过滤器包含了多个过滤器,用于处理身份验证、授权和其他安全相关的任务。
libconfig c语言实例
weixin_43608153的博客
06-05 3010
在工作项目中,使用到了配置文件导入导出等功能(否则程序就不是可配置的),所以就需要合理选择配置文件得读写操作,libconfig就是这么样一个东西。 Libconfig是一个结构化的配置文件库,它可以定义一些配置文件,例如test.cfg . 它比xml可读性更好,而且更简洁。libconfig主要是通过路读取对应的 .cfg文件来获取其中的内容,不必要去解析字符串等内容,直接通过函数获取数据,...
spring-security-core-2.0.6.RELEASE
07-14
1. **Filter Chain**:Spring Security通过一系列过滤器实现其功能,这些过滤器按照特定顺序组织成一个过滤。每个过滤器负责处理请求的特定方面,如认证、授权等。 2. **AuthenticationManager**:这是Spring ...
spring-security-in-action
03-31
1. **过滤器**:在Spring Security中,安全功能通过一系列过滤器实现,这些过滤器构成了过滤器。当HTTP请求到达时,过滤器会检查请求并执行相应的安全操作。 2. **身份验证(Authentication)**:Spring ...
spring-security-3.1.3.RELEASE.jar
08-29
在实际应用中,Spring Security还提供了过滤器(Filter Chain)的概念,这是实现Web安全的关键。每个过滤器都有特定的职责,例如,`HttpSessionAuthenticationStrategy`处理会话相关的认证,而`...
cjs-springsecurity-example
05-11
1. **Spring Security配置**:项目可能包含一个`spring-security.xml`或`WebSecurityConfig.java`(如果使用Java配置)文件,其中定义了安全规则,如URL拦截、访问控制、过滤器等。 2. **安全拦截器**:Spring ...
SpringSecurity】学习笔记(一)
lushixuan12345的博客
04-15 676
简介、创建测试项目、SpringSecurity基本原理、用户认证
记一次使用SpringSecurity出现的异常security.authentication.BadCredentialsException: Bad credentials
小小心大大梦的博客
11-27 1万+
org.springframework.security.authentication.BadCredentialsException: Bad credentials at org.springframework.security.authentication.dao.DaoAuthenticationProvider.additionalAuthenticationChecks(DaoAu...
SpringSecurity的几个核心过滤器
最新发布
Zzn_caomao的博客
06-12 1238
这个过程主要是比对请求所需的角色和用户已有的角色,如果匹配则允许访问,否则拒绝。1,Username Password Authentication Filter是Spring Security提供的默认身份验证过滤器,它负责监听POST请求的"/login"路,接收用户提交的用户名和密码等凭证。1,用户凭据传递:在基本认证过程中,前端应用程序会将用户的凭据(用户名和密码)进行Base64编码,并将编码后的字符串添加到HTTP请求的Authorization头部中。
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
Ccww_的博客
07-24 1422
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   在...
WebAsyncManagerIntegrationFilter
mzr122的专栏
09-10 710
过滤器用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager。 package org.springframework.security.web.context.request.async; import java.io.IOException; import java.util.concurrent.Callable; import javax.servlet.FilterChain; import javax.servlet.ServletExcep
SpringSecurity之添加过滤器
xkshihaoren的博客
11-28 4742
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2456
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
springsecurity整合springboot实现简单认证授权
足迹人生的博客
01-12 511
springsecurity整合springboot实现简单认证授权
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 4384
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器中。
SpringSecurity入门精通:过滤器与用户认证流程详解
总结来说,Spring Security的核心在于构建一个过滤器,确保每个用户请求都要经过身份验证检查。通过使用`UsernamePasswordAuthenticationToken`和`AuthenticationManager`,可以实现安全的用户登录和会话管理。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值