Spring Security Web 5.1.2 源码解析 -- FilterSecurityInterceptor

最新推荐文章于 2021-08-14 14:27:09 发布
最新推荐文章于 2021-08-14 14:27:09 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: spring Spring Security 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy_zhang2007/article/details/85168419
版权

概述

此过滤器FilterSecurityInterceptor是一个请求处理过程中安全机制过滤器链中最后一个filter,它执行真正的HTTP资源安全控制。

具体代码实现上,FilterSecurityInterceptor主要是将请求上下文包装成一个FilterInvocation然后对它进行操作。FilterSecurityInterceptor仅仅包含调用FilterInvocation的主要流程。具体的安全控制细节,在其基类AbstractSecurityInterceptor中实现。

源代码解析

package org.springframework.security.web.access.intercept;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements
		Filter {
	// ~ Static fields/initializers
	// =================================================================

	private static final String FILTER_APPLIED = "__spring_security_filterSecurityInterceptor_filterApplied";

	// ~ Instance fields
	// =================================================================

	private FilterInvocationSecurityMetadataSource securityMetadataSource;
	private boolean observeOncePerRequest = true;

	// ~ Methods
	// =================================================================

	
	public void init(FilterConfig arg0) throws ServletException {
	}

	
	public void destroy() {
	}


	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
       // 封装请求上下文为一个FilterInvocation,然后调用该FilterInvocation执行安全认证     
		FilterInvocation fi = new FilterInvocation(request, response, chain);
		invoke(fi);
	}

	public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
		return this.securityMetadataSource;
	}

	public SecurityMetadataSource obtainSecurityMetadataSource() {
		return this.securityMetadataSource;
	}

	public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource newSource) {
		this.securityMetadataSource = newSource;
	}

	public Class<?> getSecureObjectClass() {
		return FilterInvocation.class;
	}

	public void invoke(FilterInvocation fi) throws IOException, ServletException {
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
          // 如果被指定为在整个请求处理过程中只能执行最多一次 ,并且监测到已经执行过,
          // 则直接放行,继续 filter chain 的执行
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null && observeOncePerRequest) {
            // 如果被指定为在整个请求处理过程中只能执行最多一次 ,并且监测到尚未执行,
            // 则设置已经执行标志,随后执行职责逻辑
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}

          // 这里是该过滤器进行安全检查的职责逻辑,具体实现在基类AbstractSecurityInterceptor
          // 主要是进行必要的认证和授权检查,如果遇到相关异常则抛出异常,之后的过滤器链
          // 调用不会继续进行
			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
              // 如果上面通过安全检查,这里继续过滤器的执行  
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
	}

	// 指定是否在整个请求处理过程中该过滤器只被执行一次,缺省是 true。
    // 也存在在整个请求处理过程中该过滤器需要执行多次的情况,比如JSP foward/include
    // 等情况。
	public boolean isObserveOncePerRequest() {
		return observeOncePerRequest;
	}

	public void setObserveOncePerRequest(boolean observeOncePerRequest) {
		this.observeOncePerRequest = observeOncePerRequest;
	}
}


    // AbstractSecurityInterceptor 类源代码
	protected InterceptorStatusToken beforeInvocation(Object object) {
		Assert.notNull(object, "Object was null");
		final boolean debug = logger.isDebugEnabled();

		if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
			throw new IllegalArgumentException(
					"Security invocation attempted for object "
						+ object.getClass().getName()
						+ " but AbstractSecurityInterceptor only configured to support secure objects of type: "
						+ getSecureObjectClass());
		}

        // 从安全配置中获取安全元数据,记录在 attributes
		Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
				.getAttributes(object);

		if (attributes == null || attributes.isEmpty()) {
            // 说明该安全对象没有配置安全控制,可以被公开访问
			if (rejectPublicInvocations) {
            // 如果系统配置了拒绝公开调用,则抛出异常拒绝当前请求
				throw new IllegalArgumentException(
						"Secure object invocation "
								+ object
								+ " was denied as public invocations are not allowed via this interceptor. "
								+ "This indicates a configuration error because the "
								+ "rejectPublicInvocations property is set to 'true'");
			}

			if (debug) {
				logger.debug("Public object - authentication not attempted");
			}

			publishEvent(new PublicInvocationEvent(object));

           // 该资源没有设置安全,可以公开访问,不做相应的安全检查,返回 null,
           // 表示不需要做后续处理
			return null; // no further work post-invocation
		}

		if (debug) {
			logger.debug("Secure object: " + object + "; Attributes: " + attributes);
		}

		if (SecurityContextHolder.getContext().getAuthentication() == null) {
        // 如果安全认证token不存在,则抛出异常 AuthenticationCredentialsNotFoundException
			credentialsNotFound(messages.getMessage(
					"AbstractSecurityInterceptor.authenticationNotFound",
					"An Authentication object was not found in the SecurityContext"),
					object, attributes);
		}

        // 如果安全认证token存在,则检查是否需要认证,如果需要,则执行认证并更行
        // 安全上下文中的安全认证token,如果认证失败,抛出异常 AuthenticationException
		Authentication authenticated = authenticateIfRequired();

		// Attempt authorization
		try {
            // 现在已经确保用户通过了认证,现在基于登录的当前用户信息,和目标资源的安全配置属性
            // 进行相应的权限检查,如果检查失败,则抛出相应的异常 AccessDeniedException
			this.accessDecisionManager.decide(authenticated, object, attributes);
		}
		catch (AccessDeniedException accessDeniedException) {
			publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
					accessDeniedException));

			throw accessDeniedException;
		}

		if (debug) {
			logger.debug("Authorization successful");
		}

		if (publishAuthorizationSuccess) {
			publishEvent(new AuthorizedEvent(object, attributes, authenticated));
		}

		// Attempt to run as a different user
       // 如果设置了 RunAsManager, 尝试将当前安全认证token修改为另外一个run-as用户,
       // 缺省是 NullRunAsManager, 其实相当于没有启用 run-as, 下面的 runAs 缺省会是
       // null
		Authentication runAs = this.runAsManager.buildRunAs(authenticated, object,
				attributes);

		if (runAs == null) {
			if (debug) {
				logger.debug("RunAsManager did not change Authentication object");
			}

			// no further work post-invocation
          // 注意这里第二个参数为 false, 表示请求处理完之后再次回到该filter时不需要在刷新安全认证token  
			return new InterceptorStatusToken(SecurityContextHolder.getContext(), false,
					attributes, object);
		}
		else {
			if (debug) {
				logger.debug("Switching to RunAs Authentication: " + runAs);
			}

			SecurityContext origCtx = SecurityContextHolder.getContext();
			SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
			SecurityContextHolder.getContext().setAuthentication(runAs);

			// need to revert to token.Authenticated post-invocation
          // 注意这里第二个参数为 true, 表示请求处理完之后再次回到该filter时需要在刷新安全认证token :
          // 恢复到 run-as 之前的安全认证token
			return new InterceptorStatusToken(origCtx, true, attributes, object);
		}
	}

其他文章

Spring Security Web 5.1.2 源码解析 – 安全相关Filter清单

安迪源文
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FilterSecurityInterceptor源码解读
weixin_47071411的博客
04-08 481
FilterSecurityInterceptor源码解读 FilterSecurityInterceptor概念: 获取所配置资源访问的授权信息,根据SecurityContextHolder中存储的用户信息来决定其是否有权限。 要实现FilterSecurityInterceptor得有三个条件 (1)决策管理器:决定这个用户能不能访问这个资源 三种类型的决策器 AffirmativeBased:只要有一个voter投同意票,就授权成功,一般用这个 ConsensusBased:只要投同意票的大于投
spring-security FilterSecurityInterceptor 源码分析
qq_30321211的博客
12-25 515
FilterSecurityInterceptor 这个过滤器决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限?这些判断和处理都是由该类进行的 FilterSecurityInterceptor public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter { //默认实现类:ExpressionBasedFilterInvocati
聊聊FilterSecurityInterceptor
weixin_34204057的博客
12-18 189
为什么80%的码农都做不了架构师?>>> ...
Spring Security3源码分析(10)-FilterSecurityInterceptor分析
Benjamin
09-11 1936
FilterSecurityInterceptor过滤器对应的类路径为  org.springframework.security.web.access.intercept.FilterSecurityInterceptor  这个filterfilterchain中比较复杂,也是比较核心的过滤器,主要负责授权的工作  在看这个filter源码之前,先来看看spring是如何构造filte
[13] FilterSecurityInterceptor
热门推荐
既无风雨也无晴
03-19 2万+
FilterSecurityInterceptor 简介 Spring Security对于权限的控制有2种方式,1.通过ExpressionInterceptUrlRegistry进行配置,2.通过注解和切面的方式。FilterSecurityInterceptor是针对于第一种方式权限配置的控制机制,在项目或服务启动时,Spring Security会把ExpressionIntercept...
spring-framework-5.1.2.RELEASE-disk
11-11
Spring框架5.1.2.RELEASE深度解析Spring框架是Java开发中的核心组件,以其模块化、可扩展性和全面的企业级功能而备受推崇。本文将深入探讨Spring Framework 5.1.2.RELEASE这一版本,揭示其背后的强大功能和...
ffmpeg-5.1.2-full-build
12-07
ffmpeg-5.1.2 windows 版本
vcpkg-ffmpeg-5.1.2-windows-x86-64.zip
最新发布
09-23
在"vcpkg-ffmpeg-5.1.2-windows-x86-64.zip"这个压缩包中,我们有两个目录:"x64-windows-static" 和 "x64-windows"。这两个目录分别代表了FFmpeg的不同构建配置: 1. **x64-windows-static**:这是为64位Windows...
spring-framework-5.1.2.RELEASE.rar
06-20
其中,有4个是Spring的基础包,对应Spring核心容器的4个模块,是Spring项目必需的: spring-core-5.1.8.RELEASE.jar //Spring的核心工具类,其它jar包是建立这个包基础上的,都要用到这个包中的类。 spring-beans-...
spring-security-5.1.2.RELEASE
04-13
Spring Security 5.0至少需要Spring 5.0,并且还需要Java 8。 有关功能的详细列表以及对最新版本的访问,请访问。 行为守则 该项目遵守《贡献者公约》。 通过参与,您将遵守此代码。 请向报告不可接受的行为。 ...
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security3源码分析-FilterSecurityInterceptor分析
weixin_34384915的博客
01-20 79
2019独角兽企业重金招聘Python工程师标准>>> ...
FilterSecurityInterceptor详解
小汤圆
08-14 2373
我们已经有了认证,有了请求的封装,有了Session的关联…还缺一个:由什么控制哪些资源是受限的,这些受限的资源需要什么权限,需要什么角色…这一切和访问控制相关的操作,都是由FilterSecurityInterceptor完成的。 FilterSecurityInterceptor的工作流程用笔者的理解可以理解如下:FilterSecurityInterceptorSecurityContextHolder中获取Authentication对象,然后比对用户拥有的权限和资源所需的权限。前者可以通过Aut
Springboot security cas源码陶冶-FilterSecurityInterceptor
weixin_30915275的博客
06-22 122
前言:用户登录信息校验成功后,都会获得当前用户所拥有的全部权限,所以对访问的路径当前用户有无权限则需要拦截验证一发 Spring security过滤器的执行顺序 首先我们需要验证为啥FilterSecurityInterceptor会在UsernamePassowrdAuthenticationFilter/CasAuthenticationFilter之后,这里则可以去看下spring s...
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2751
前言: 当用spring security时,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
Spring Security API: FilterSecurityInterceptor
dengdeying的博客
12-27 228
FilterSecurityInterceptor Declare package org.springframework.security.web.access.intercept; public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter Class Jdoc ...
FilterSecurityInterceptor的简单介绍
youtl
10-23 2307
          在web应用中,spring security是一个filter。而在filter内部,它又自建了一个filter chain(如果不用命名空间,也可以自定义)。spring security按顺序对每个filter进行处理。各filter之间有较大的差异性。与权限验证关系最密切的是FilterSecurityInterceptor。   FilterSecurityI...
史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 9100
FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3566
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
soapui-pro-x64-5.1.2 protection
07-27
soapui-pro-x64-5.1.2是一款用于API测试和集成测试的专业工具。它的“protection”主要指的是该工具在使用过程中的安全保护措施。 首先,soapui-pro-x64-5.1.2具备数据加密功能,可以对敏感数据进行加密处理,保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值