Spring Security Web 5.1.2 源码解析 -- 安全相关Filter清单

最新推荐文章于 2024-02-06 16:38:28 发布
最新推荐文章于 2024-02-06 16:38:28 发布
阅读量3.1k 收藏 26
点赞数 9
分类专栏: Spring Boot Spring Security 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy_zhang2007/article/details/84726992
版权
名称简介
WebAsyncManagerIntegrationFilter为请求处理过程中可能发生的异步调用准备安全上下文获取途径
SecurityContextPersistenceFilter整个请求处理过程所需的安全上下文对象SecurityContext的准备和清理
不管请求是否针对需要登录才能访问的页面,这里都会确保SecurityContextHolder中出现一个SecurityContext对象:
1.未登录状态访问登录保护页面:空SecurityContext对象,所含Authenticationnull
2.登录状态访问某个页面:从SecurityContextRepository获取的SecurityContext对象
HeaderWriterFilter将指定的头部信息写入响应对象
CsrfFilter对请求进行csrf保护
LogoutFilter检测用户退出登录请求并做相应退出登录处理
UsernamePasswordAuthenticationFilter检测用户名/密码表单登录认证请求并作相应认证处理:
  1.session管理,比如为新登录用户创建新session(session fixation防护)和设置新的csrf token
  2.经过完全认证的Authentication对象设置到SecurityContextHolder中的SecurityContext上;
  3.发布登录认证成功事件InteractiveAuthenticationSuccessEvent
  4.登录认证成功时的Remember Me处理
  5.登录认证成功时的页面跳转
DefaultLoginPageGeneratingFilter生成缺省的登录页面
DefaultLogoutPageGeneratingFilter生成缺省的退出登录页面
BasicAuthenticationFilter检测和处理http basic认证
RequestCacheAwareFilter提取请求缓存中缓存的请求
1.请求缓存在安全机制启动时指定
2.请求写入缓存在其他地方完成
3.典型应用场景:
    1.用户请求保护的页面,
    2.系统引导用户完成登录认证,
    3.然后自动跳转到到用户最初请求页面
SecurityContextHolderAwareRequestFilter包装请求对象使之可以访问SecurityContextHolder,从而使请求真正意义上拥有接口HttpServletRequest中定义的getUserPrincipal这种访问安全信息的能力
RememberMeAuthenticationFilter针对Remember Me登录认证机制的处理逻辑
AnonymousAuthenticationFilter如果当前SecurityContext属性Authenticationnull,将其替换为一个AnonymousAuthenticationToken
SessionManagementFilter检测从请求处理开始到目前是否有用户登录认证,如果有做相应的session管理,比如针对为新登录用户创建新的session(session fixation防护)和设置新的csrf token等。
ExceptionTranslationFilter处理AccessDeniedExceptionAuthenticationException异常,将它们转换成相应的HTTP响应
FilterSecurityInterceptor一个请求处理的安全处理过滤器链的最后一个,检查用户是否已经认证,如果未认证执行必要的认证,对目标资源的权限检查,如果认证或者权限不足,抛出相应的异常:AccessDeniedException或者AuthenticationException

注意 :

  • 上面的Filter并不总是同时被起用,根据配置的不同,会启用不同的Filter
  • 对于被起用的Filter,在对一个请求进行处理时,位于以上表格上部的过滤器先被调用。
  • 上面的Filter被启用时并不是直接添加到Servlet容器的Filter chain中,而是先被组织成一个FilterChainProxy, 然后这个Filter会被添加到Servlet容器的Filter chain中。

    FilterChainProxy也是一个Filter,它应用了代理模式和组合模式,它将上面的各个Filter组织到一起在自己内部形成一个filter chain,当自己被调用到时,它其实把任务代理给自己内部的filter chain完成。

  • 上面的Spring Security Filter被组合到一个FilterChainProxy的过程可以参考配置类WebSecurityConfiguration的方法Filter springSecurityFilterChain(),这是一个bean定义方法,使用的bean名称为AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME:springSecurityFilterChain
安迪源文
关注
  • 9
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring-framework-5.1.2.RELEASE-disk
11-11
Spring框架5.1.2.RELEASE深度解析Spring框架是Java开发中的核心组件,以其模块化、可扩展性和全面的企业级功能而备受推崇。本文将深入探讨Spring Framework 5.1.2.RELEASE这一版本,揭示其背后的强大功能和...
spring-security-5.1.2.RELEASE
04-13
Spring Security为提供安全服务。 Spring Security 5.0至少需要Spring 5.0,并且还需要Java 8。 有关功能的详细列表以及对最新版本的访问,请访问。 行为守则 该项目遵守《贡献者公约》。 通过参与,您将遵守此代码...
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3940
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
1 Spring Security详解(入门篇)
人生智慧的博客
02-01 1124
1 权限管理 1.1 权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份(用户登录后获取角色身份)。 授权:系统根据当前用户的角色,给其授予对应可以操作的...
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4302
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
SpringSecurity过滤器分析
04-03 303
无怪网友大多说SpringSecurity使用成本高,但是价值不大,许多功能看起来很鸡肋,添加的过滤器有点多,从一些过滤器来看,有前后端不分离时代的味道。本人配置的SpringSecurity,几乎没剩下什么了,自己写几个Filter估计也不是太难,网友诚不欺我。
Spring Security 过滤器链基础组件
Littlemotor
08-09 2001
Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器链。
官方原版源码spring-framework-5.1.2.RELEASE.zip
10-30
Spring Framework是中国乃至全球开发者广泛使用的Java企业级应用开发框架,其5.1.2.RELEASE版本是该框架的一个稳定版本。这个压缩包包含了官方发布的原始源码,对于深入理解Spring的工作原理、进行自定义扩展或者...
spring-framework-5.1.2.RELEASE.rar
06-20
其中,有4个是Spring的基础包,对应Spring核心容器的4个模块,是Spring项目必需的: spring-core-5.1.8.RELEASE.jar //Spring的核心工具类,其它jar包是建立这个包基础上的,都要用到这个包中的类。 spring-beans-...
官方原版spring-framework-5.1.2.RELEASE-dist.zip
12-05
在 `spring-framework-5.1.2-dist` 压缩包中,你将找到 Spring 框架的所有组件,包括核心容器、数据访问/集成、Web、AOP、测试等相关模块的 JAR 文件,以及文档和示例代码,帮助开发者更好地理解和使用 Spring 框架...
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security介绍(三)过滤器(1)过滤器链
最新发布
w_t_y_y的博客
02-06 530
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 727
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
Spring Security过滤链FilterChain
Jianyang_usst的博客
11-17 9164
Spring Security过滤链FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤链机制! 1.Filters概述 图1 过滤链 当客户端发送一个请求到应用时,容器会创建一个过滤链FilterChain,该过滤链包含了Filt
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 1992
Security Filter ChainSpring SecurityWeb模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
SpringSecurity WebFlux 过滤链生成源码分析
qq_39220528的博客
11-13 4339
概述 SpringSecurity主要采用建造者模式构造过滤器。
Spring Web DelegatingFilterProxy和Spring Security Web Filter Chain
来啊 快活啊
06-12 1271
概述用过Spring Security XML配置方式的肯定属性下面的代码: springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy
Spring Security Web : Web安全过滤器链代理对象 FilterChainProxy
Details Inside Spring
05-19 2798
FilterChainProxy是Spring Security Web添加到Servlet容器用于安全控制的一个Filter。从Servlet容器的角度来看,Spring Security Web所提供的安全逻辑就是一个Filter,实现类为FilterChainProxy。实际上FilterChainProxy是一个代理对象,FilterChainProxy内部组合了多个SecurityFil...
springSecurity注入springSecurityFilterChain的过程
qq_38077040的博客
03-15 361
​ 被注入的springSecurityFilterChain对象由webSecurity.build();生成。​ build时,先读取自定义的配置,进行init,configure,performBuild,在performBuild时,会加载Springboot封装好的配置,然后遍历,分别执行init,configure,performBuild方法,最后将加载的filters生成chain,然后再进行代理。最后注入。
soapui-pro-x64-5.1.2 protection
07-27
此外,soapui-pro-x64-5.1.2还提供了访问控制列表(ACL)的功能,可以对用户的访问权限进行细粒度的控制,确保只有具备相关权限的用户才能进行操作。 此外,该工具还对输入进行严格的校验和过滤,以防止恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值