关于spring-security登录后重定向至拦截前访问的url的实现原理

最新推荐文章于 2024-05-30 15:04:31 发布
最新推荐文章于 2024-05-30 15:04:31 发布
阅读量2w 收藏 19
点赞数 4
分类专栏: java 领悟 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZY_cookie/article/details/49535413
版权

首先我们来看下我们整个流程图


这就是我自己摸索出来的关于整个访问拦截登录重定向的流程图 其中3,6,7步是对拦截前访问的request的处理
接下来是对以上几个步骤中关键代码的分析
1.
首先我们先了解下关于 FilterSecurityIntercepto所在的位置


我们看到他在最后一位从这个拦截器的下面代码:

        // Attempt authorization
        try {
            this.accessDecisionManager .decide(authenticated , object , attributes );
        }
        catch (AccessDeniedException accessDeniedException ) {
            publishEvent( new AuthorizationFailureEvent(object , attributes , authenticated, accessDeniedException ));

            throw accessDeniedException;
        }

2.
我们能够看出当其在身份的权限验证失败的情况下会抛出 accessDeniedException异常,这个时候上一层的拦截器也就是倒数第二个拦截器ExceptionTranslationFilter捕获了该异常并进一步处理具体代码如下 
    private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response , FilterChain chain,
            RuntimeException exception) throws IOException, ServletException {
        if (exception instanceof AuthenticationException) {
            logger.debug( "Authentication exception occurred; redirecting to authentication entry point", exception);

            sendStartAuthentication( request, response, chain, (AuthenticationException) exception );
        }
        else if (exception instanceof AccessDeniedException ) {
            if (authenticationTrustResolver .isAnonymous(SecurityContextHolder.getContext().getAuthentication())) {
                logger.debug( "Access is denied (user is anonymous); redirecting to authentication entry point",
                            exception);

                sendStartAuthentication( request, response, chain, new InsufficientAuthenticationException(
                        "Full authentication is required to access this resource"));
            }
            else {
                logger.debug( "Access is denied (user is not anonymous); delegating to AccessDeniedHandler", exception);

                accessDeniedHandler.handle(request , response , (AccessDeniedException) exception);
            }
        }
    }
3.
进入 sendStartAuthentication这个函数后我们看到了 
    protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response , FilterChain chain,
            AuthenticationException reason) throws ServletException, IOException {
        // SEC-112: Clear the SecurityContextHolder's Authentication, as the
        // existing Authentication is no longer considered valid
        SecurityContextHolder. getContext().setAuthentication(null);
        requestCache.saveRequest(request , response );
        logger.debug( "Calling Authentication entry point." );
        authenticationEntryPoint.commence(request , response , reason );
    }
这里就有 requ
最低0.47元/天 解锁文章
倔强的曲奇
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录
jiaoqi6132的博客
04-04 2366
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
使用spring security当页面跳转后,请求参数获取不到
qq314499182的博客
11-22 1592
一、问题 项目使用spring security安全框架,在跳转登陆页时需要获取地址参数,进行业务处理。但是request中并没有任何参数携带。 二、处理问题 原来spring security在进行页面跳转处理时,相当于二次跳转,并将所有参数存放与session中的一个对象中,key为 SPRING_SECURITY_SAVED_REQUEST,返回一个DefaultSavedRequest对象...
Spring Security3.0版本
最新发布
c_yanxin_ru的博客
05-30 1187
核心: A >>?>> B?代表判断层,由Security实现这是之的版本浓缩,现在3.0版本添加了更匹配的内容描写,匹配了mvc模式非mvc模式 核心:client(用户)>> filter(过滤器)>> servlet(业务)mvc模式ps:不要在意图片中的英文,有拼错的。
spring security 认证通过后跳转原始路径
weixin_43931625的博客
06-03 2189
springsecurity认证通过后跳转原始路径 默认情况下,通过认证后会自动跳转到原始访问路径,也可通过设置跳转到原始访问路径 *********************** 示例 ...
Spring Security缓存请求详解
Fouy_风度玉门。
07-22 4768
请求流程 代码实现 ExceptionTranslationFilter AbstractAuthenticationProcessingFilter 我们在Java开发中,可能会经常使用到Spring Security来实现系统的权限控制。在企业级应用中,也有可能会使用Spring Security集成CAS来实现单点登录和权限控制。当然一些独立的系统(如人事管理系统等),也有...
Spring Security SavedRequestAwareAuthenticationSuccessHandler类
fggdgh的博客
05-28 2590
Spring Security SavedRequestAwareAuthenticationSuccessHandler类
spring security3 笔记
K的博客
07-29 738
1、使用代理。 web.xml中配置的org.springframework.web.filter.DelegatingFilterProxy,是一个代理bean,并且依赖org.springframework.security.web.FilterChainProxy对执行所有的过滤器。在启动的时候,spring会解析spring-security.xml中的所有配置,初始化FilterC
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
spring-security3入门教程.doc
09-04
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。在 Spring Security 3.x 版本中,它引入了许多改进和新特性,使得安全控制更加灵活和易于配置。以下是一份针对 ...
spring-security-getting-start:http
05-05
6. **拦截器**:Spring Security 的工作原理基于请求拦截。它通过 `FilterSecurityInterceptor` 过滤请求,检查是否有权访问,并在必要时执行身份验证和授权过程。 7. **Spring Boot 整合**:如果项目是基于 Spring...
Spring security实现权限管理示例
08-31
在本文中,我们将深入探讨如何使用Spring Security实现权限管理。Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,适用于Java应用程序。通过它,我们可以对用户访问资源进行精细控制,确保只有...
01-SpringSecurity-Demo.zip
09-18
- **LoginController**:处理登录请求,例如处理登录表单提交和登录失败后的重定向。 - **ResourceController**:包含受保护的资源,测试授权规则。 通过运行并分析这个Demo项目,你可以了解SpringSecurity如何拦截...
SpringSecurity登录重定向登录访问页面策略
沐霜枫叶
03-02 1047
RequestCacheAwareFilter 只负责从缓存中提取缓存的请求,并转发到该请求 览器发出的请求优先被拦截器RequestCacheAwareFilter拦截,RequestCacheAwareFilter通过其持有的RequestCache对象实现request的恢复。 public class RequestCacheAwareFilter extends GenericFilterBean { private RequestCache requestCache; public
Spring Security登录成功后重定向到登陆页面 解决方案
超哥的博客
02-20 6610
问题:今天拿security做权限控制的时候,出现了特别灵异的一幕,security配置类写好了,正常登录的情况下,第一次登陆,登陆成功后总会莫名其妙重定向到项目的根路径,但是确实已经登陆成功了,访问主页可以进行访问了。 问题如图所示,打码部分为项目根路径。 配置类配置登陆成功后转向的是一个action,如图所示 具体解决过程十分坎坷,省略了 重点感谢一个大佬给我提了一句,我这个有可能不是重定向到首页,而是重定向登录的页面了。 经检查后发现产生这个问题的原因是我项目启动默认访问路径就是 http:
SpringBoot过滤器OncePerRequestFilter
花&败
05-01 2122
springboot中javax.servlet.Filter原生接口的实现;而Spring的OncePerRequestFilter类实际上是一个实现了Filter接口的抽象类。spring对Filter进行了一些封装处理。 OncePerRequestFilter,顾名思义,它能够确保在一次请求中只通过一次filter,而需要重复的执行。大家常识上都认为,一次请求本来就只filter一次,为什么还要由此特别限定呢,往往我们的常识和实际的实现并不真的一样,经过一番资料的查阅,此方法是为了...
User must be authenticated with Spring Security before authorization can be completed
honor_zhang的博客
08-10 8767
问题描述 利用Spring cloud oauth2实现Oauth 2权限控制时,调用/oauth/authorize获取授权码,抛出了User must be authenticated with Spring Security before authorization can be completed异常? 请求接口: 控制台异常信息为: 接口部分源码为: @RequestMapping(value = "/oauth/authorize") public ModelAndV...
Spring Security 登陆成功后的处理
guanry的博客
06-21 5322
       Spring Security 完成登陆后一般需要一些自定义的处理,例如,记录登陆日志,初始化用户菜单等等 这里就需要自定义的 登陆成功处理了,Spring  提供了 AuthenticationSuccessHandler 接口,完成这个接口就可以了。 但是,修改到这里处理后,原先系统的自动转向处理就没有了,接口中应该怎么写,才可以保持原来的功能呢?   代码如下:   ...
SpringSecurity登陆失败后错误信息回显
黑马程序员官方博客
11-22 1691
static {//查询到用户信息 TbUser tbUser = users . get(username);} else {//未查询到用户信息 //return null;对比上述代码,修改内容如下 throw new UsernameNotFoundException("用户名不存在");} } }通过上述方式即可将错误信息进行自定义展示,当springsecurity默认的错误信息还有非常多,大家可以根据自己的需要将错误信息进行自定义展示。
SSO单点登录实战:Spring-Security集成CAS详解
Spring-Security应用中,需要进行准备工作,如设置项目环境,然后配置CASFilter,该过滤器负责拦截请求并引导用户至CAS服务器进行身份验证。Spring-Security子系统API提供了丰富的功能,可以定制化安全策略,控制...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值