spring-security 3.2.8 配置及部分源码分析

最新推荐文章于 2022-07-07 10:59:54 发布
最新推荐文章于 2022-07-07 10:59:54 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: java spring 领悟
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZY_cookie/article/details/49532975
版权

最近本来想研究下spring security oauth2的配置,可是oauth2的配置是基于spring security的,没办法只能先搞懂spring security的配置了

先说下spring security的工作流程


以上是我自己总结的spring security的流程图 如有不正确的地方还请及时指教。

看完流程图之后我们再来分析下spring security的主要类与方法


org.springframework.security.web
publicclass FilterChainProxy extends GenericFilterBean 
public void doFilter(ServletRequest request, ServletResponse response ) throws IOException, ServletException{
            if (currentPosition == size ) {
                if (logger .isDebugEnabled()) {
                    logger.debug(UrlUtils.buildRequestUrl( firewalledRequest)
                            + " reached end of additional filter chain; proceeding with original chain");
                }

                // Deactivate path stripping as we exit the security filter chain
                this.firewalledRequest .reset();

                originalChain.doFilter(request , response );
            } else {
                 currentPosition++;

                Filter nextFilter = additionalFilters .get(currentPosition - 1);

                if (logger .isDebugEnabled()) {
                    logger.debug(UrlUtils.buildRequestUrl( firewalledRequest) + " at position " + currentPosition + " of "
                        + size + " in additional filter chain; firing Filter: '"
                        + nextFilter.getClass().getSimpleName() + "'" );
                }

                nextFilter.doFilter(request , response , this);
            }
        }

该类是spring在web.xml中注册的org.springframework.web.filter.DelegatingFilterProxy对象中管理所有spring拦截器的一个拦截链,该类的主要方法是doFilter

我们可以看到拦截链中注册的所有spring的拦截器


其中第4个UsernamePasswordAuthenticationFilter是我注册用来自定义处理登录请求的拦截器
"LogoutFilter"用于拦截登出请求
"RequestCacheAwareFilter"用于记录这次请求的信息(看了下代码可能是的)
"AnonymousAuthenticationFilter"用于获取用户访问是的权限 如果没有权限则新建一个anymouse
"ExceptionTranslationFilter"用于拦截异常的拦截器 主要作用是拦截access_denied等异常
"FilterSecurityInterceptor"用于权限校验,其中AccessDecisionManager在这里对访问的路径和用户权限进行控制,一旦拒绝访问则抛出access_denied异常被“ExceptionTranslationFilter ”捕获进而被accessdeniedhandle处理
注意spring默认的用户登录处理拦截器: 
public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    //~ Static fields/initializers =====================================================================================

    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "j_username";
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "j_password";
    /**
     * @deprecated If you want to retain the username, cache it in a customized {@code AuthenticationFailureHandler}
     */
    @Deprecated
    public static final String SPRING_SECURITY_LAST_USERNAME_KEY = "SPRING_SECURITY_LAST_USERNAME" ;

    private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY ;
    private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY ;
    private boolean postOnly = tru
最低0.47元/天 解锁文章
倔强的曲奇
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
电子商务平台技术选型和架构设计
最新发布
禅与计算机程序设计艺术
08-04 1819
在这个时代,在线购物网站和电子商务平台已经成为促进互联网经济增长、服务用户和客户的重要平台。如何搭建一个具备高可用性、安全可靠的电商系统,是一个复杂的工程。作为一名技术人员,我们需要了解当前最新的电商平台架构,并对它们进行选择和优化,来满足我们的业务需求。本文将通过“十八篇”的方式,从基础知识、数据库、前端、后端、中间件、缓存、搜索引擎、消息队列等多个角度,带领读者掌握现代电商平台架构的核心技术细节。
spring-security3.2.x的jar包及源码
12-31
压缩包包含了spring security3.2.3和spring security3.2.9的jar包和源码包,如果想研究源码则可以将jar包中带sources的jar包(如spring-security-web-3.2.9.RELEASE-sources.jar)用解压工具解压到本地即可。
spring security源码分析之core包
06-08 105
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能...
Spring3.2.8+Mybatis3.2.6+Maven 整合配置
weixin_34405925的博客
04-02 232
<?xml version="1.0" encoding="UTF-8"?> <beans default-autowire="byName" xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance
编译好的spring-framework-3.2.8.RELEASE源码
03-14
本资源从github下载,版本spring-framework-3.2.8.RELEASE, 经过gradle编译,可直接导入eclipse,方便源码学习
Spring security配置
行云的博客
07-07 2250
SpringSecurity认证一、HttpBasic模式登录认证 SpringSecurity 自带一种基础认证模式实现方式:创建WebSecurityConfig配置类/** * Spring Securtiy配置类 */@Configuration //配置类public class WebSecurityConfig extends WebSecurit...
Spring Boot入门到精通(超详细)
qq_41627024的博客
06-06 5873
本文主要讲了Springboot从基础到高阶涉及到的相关技术,让读者能够快速入门,深入了解Springboot框架,并能够熟练的使用springboot,快速提升个人技能。
SpringBoot概述及使用
9.冄2.7.號的博客
09-11 239
Spring的发展 Spring1.x时代 在Spring1.x时代,都是通过xml文件配置bean,随着项目的不断扩大,需要将xml配置分放到不同的配置文件中,需要频繁的在java类和xml配置文件中切换。 Spring2.x时代 随着JDK 1.5带来的注解支持,Spring2.x可以使用注解对Bean进行申明和注入,大大的减少了xml配置文件,同时也大大简化了项目的开发。 那么,问题来了,究...
Spring Security原理以及实战认证分析开发指南
a1472750149的博客
11-27 1243
前提介绍 本篇文章给大家带来的内容是关于Spring Security原理的介绍,对实际业务开发会有一定的参考价值,希望对你有所帮助。所谓知彼知己方能百战百胜,用Spring Security来满足我们的需求最好了解其原理,这样才能随意拓展,本篇文章主要记录 Spring Security 的基本运行流程。 过滤器的原理机制 Spring Security基本都是通过过滤器来完成配置的身份认证、权限认证以及登出。 Spring Security在Servlet的过滤链(filter chain)中注
java中如何进行状态保护_java-保护有状态的Web服务
weixin_39596835的博客
02-27 77
我们正计划开发一层REST服务,以公开旧系统中托管的服务.这些服务将由经典的Web应用程序和本机移动电话应用程序使用.该旧系统的安全性要求初始用户名密码验证(此过程可能需要5到10秒).初始身份验证后,将返回时间受限的令牌.然后,此令牌必须包含在所有其他请求中,否则请求将被拒绝.由于安全性要求,无法在REST服务层之外返回旧版安全性令牌.这意味着REST服务层需要将该令牌保留在某种形式的用户会话中...
JSESSIONID与SESSION
ZSW
05-30 6489
spring security的时候遇到了一个很诡异的问题: 已经登录的用户,而且没有标记remember-me,在重启服务器之后还会显示已经登录状态 这就严重啦,这样子如果要在session中储存用户的信息,以后反复拿出来用的话,这个session在用户登录的时候set用户信息,那重启服务器之后,session中没有这个字段了,但是还是登录了,这就使得有的场景中得不到用户信息 解析一下发
spring security控制session
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
SpringSecurity 自定义UsernamePasswordAuthenticationFilter
荡的博客
09-17 7769
#UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST...
Spring security实现权限管理
热门推荐
零度的博客专栏
04-08 6万+
1、配置文件 1、POM.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.
使用SpringSecurity定义的登录认证
懒虫翻身的博客
09-29 1192
太久没有发过博客,总结一波SpringSecurity登录认证,记录每次的学习体验。。。。。。。。。。 实现WebSecurityConfigurerAdapter 配置安全框架 //@EnableWebSecurity 的 JavaConfig 配置类到 IoC 容器 @EnableWebSecurity // 启用方法级别的权限认证@EnableGlobalMethodSecurity(prePostEnabled = true) public class SpringSecu...
spring4.1+springmvc4.1+mybatis3.2.8+spring-security3.2.5集成环境搭建
u011687117的专栏
12-21 4270
最近项目中用到了ssi+spring-security 的结构,自己在家搭建了一下这套环境。仅作记录。 项目结构: 类文件:                                                                                                             配置文件:                  
Mybatis 3.2.7与Spring 3.2.8整合教程(注解版)
"Mybatis和Spring的整合教程,特别关注在使用注解的方式,适用于Mybatis 3.2.7、Spring 3.2.8和Struts2.3.16的最新版本。教程提供了一个完整的示例项目,包括四个可运行的整合实例,可在百度云盘找到。项目包含了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值