Spring Security Web 5.1.2 源码解析 -- LoginUrlAuthenticationEntryPoint

最新推荐文章于 2024-03-14 11:30:00 发布
最新推荐文章于 2024-03-14 11:30:00 发布
阅读量7k 收藏 5
点赞数 2
分类专栏: spring Spring Security 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy_zhang2007/article/details/85209178
版权

概述

ExceptionTranslationFilter使用一个AuthenticationEntryPoint在需要的时候来启动表单认证流程,缺省使用的实现是类LoginUrlAuthenticationEntryPoint,它的认证表单的请求提交由UsernamePasswordAuthenticationFilter负责处理。

在安全配置时可以给ExceptionTranslationFilter设定一个其他的AuthenticationEntryPoint,而不一定要是LoginUrlAuthenticationEntryPoint
比如 :

  http.
     ///...
  	.exceptionHandling()
		.authenticationEntryPoint(new CustomizedLoginUrlAuthenticationEntryPoint("/loginPage"))

LoginUrlAuthenticationEntryPoint带有一个属性loginFormUrl指向表单登录页面的位置,基于此可以构建到表单登录页面的重定向URL。如果该属性是一个绝对路径URL,则可以直接用于重定向。

如果loginFormUrl是一个相对路径URL,可以设置另外一个属性forceHttpstrue,这样即使原来请求的URL基于HTTP,现在都会强制跳转到使用HTTPS的登录页面。这种情况下,基于HTTPS的认证流程成功时,原来的资源访问仍然使用HTTP

强制HTTPS登录认证的forceHttps机制依赖PortMapper获取HTTP:HTTPS两种协议之间的端口映射。

loginFormUrl使用绝对路径URL时,forceHttps机制不工作。

源代码解析

package org.springframework.security.web.authentication;

import java.io.IOException;

import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.DefaultRedirectStrategy;
import org.springframework.security.web.PortMapper;
import org.springframework.security.web.PortMapperImpl;
import org.springframework.security.web.PortResolver;
import org.springframework.security.web.PortResolverImpl;
import org.springframework.security.web.RedirectStrategy;
import org.springframework.security.web.access.ExceptionTranslationFilter;
import org.springframework.security.web.util.RedirectUrlBuilder;
import org.springframework.security.web.util.UrlUtils;
import org.springframework.util.Assert;
import org.springframework.util.StringUtils;


public class LoginUrlAuthenticationEntryPoint implements AuthenticationEntryPoint,
		InitializingBean {
	// ~ Static fields/initializers
	// ============================================================================

	private static final Log logger = LogFactory
			.getLog(LoginUrlAuthenticationEntryPoint.class);

	// ~ Instance fields
	// ============================================================================

	private PortMapper portMapper = new PortMapperImpl();

	private PortResolver portResolver = new PortResolverImpl();

	private String loginFormUrl;

	// 缺省是否强制使用HTTPS进行登录认证
	private boolean forceHttps = false;

	// 指定是否要使用 forward, 缺省为 false, 
	// true -- 使用 forward
	// false -- 使用 redirect
	private boolean useForward = false;

	// 跳转到登录页面的重定向策略
	private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

	/**
	 *
	 * @param loginFormUrl 登录页面的url。可以是相对路径,相对于 web-app context path ,前头带/,
	 * 也可以是绝对路径url
	 */
	public LoginUrlAuthenticationEntryPoint(String loginFormUrl) {
		Assert.notNull(loginFormUrl, "loginFormUrl cannot be null");
		this.loginFormUrl = loginFormUrl;
	}

	// ~ Methods
	// =============================================================================

	// InitializingBean 接口定义的方法,在该bean创建后初始化阶段会调用该方法,主要是对属性 loginFormUrl进行
	// 格式检查和断言
	public void afterPropertiesSet() throws Exception {
		Assert.isTrue(
				StringUtils.hasText(loginFormUrl)
						&& UrlUtils.isValidRedirectUrl(loginFormUrl),
				"loginFormUrl must be specified and must be a valid redirect URL");
		if (useForward && UrlUtils.isAbsoluteUrl(loginFormUrl)) {
			throw new IllegalArgumentException(
					"useForward must be false if using an absolute loginFormURL");
		}
		Assert.notNull(portMapper, "portMapper must be specified");
		Assert.notNull(portResolver, "portResolver must be specified");
	}

	/**
	 * Allows subclasses to modify the login form URL that should be applicable for a
	 * given request.
	 * 确定登录页面的url,子类可以覆盖实现该方法修改最终要应用的url。
	 * 缺省等同于方法 getLoginFormUrl()
	 * @param request the request
	 * @param response the response
	 * @param exception the exception
	 * @return the URL (cannot be null or empty; defaults to #getLoginFormUrl()}
	 */
	protected String determineUrlToUseForThisRequest(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException exception) {

		return getLoginFormUrl();
	}

	/**
	 * Performs the redirect (or forward) to the login form URL.
	 * 开始登录认证流程:重定向(redirect)或者forward到登录页面URL
	 */
	public void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException {

		String redirectUrl = null;

		if (useForward) {
			// 使用 forward 的情况
			
			if (forceHttps && "http".equals(request.getScheme())) {
				// First redirect the current request to HTTPS.
				// When that request is received, the forward to the login page will be
				// used.
				// 如果强制使用HTTPS进行登录认证则并忽略 useForward 指令,
				// 构建相应的url,随后仍然进行 redirect
				redirectUrl = buildHttpsRedirectUrlForRequest(request);
			}

			if (redirectUrl == null) {
				// redirectUrl == null表示没有要求强制使用HTTPS
				// 则获取 loginFormUrl 执行 forward
				String loginForm = determineUrlToUseForThisRequest(request, response,
						authException);

				if (logger.isDebugEnabled()) {
					logger.debug("Server side forward to: " + loginForm);
				}

				RequestDispatcher dispatcher = request.getRequestDispatcher(loginForm);

				dispatcher.forward(request, response);

				return;
			}
		}
		else {
			// redirect to login page. Use https if forceHttps true		
			// 构建登录页面重定向URL,包含对forceHttps==true的处理
			redirectUrl = buildRedirectUrlToLoginPage(request, response, authException);

		}

		// 重定向到登录认证页面
		redirectStrategy.sendRedirect(request, response, redirectUrl);
	}

	protected String buildRedirectUrlToLoginPage(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException authException) {

		String loginForm = determineUrlToUseForThisRequest(request, response,
				authException);

		if (UrlUtils.isAbsoluteUrl(loginForm)) {
			// 如果loginForm url是绝对路径,直接返回使用
			return loginForm;
		}

		int serverPort = portResolver.getServerPort(request);
		String scheme = request.getScheme();

		RedirectUrlBuilder urlBuilder = new RedirectUrlBuilder();

		urlBuilder.setScheme(scheme);
		urlBuilder.setServerName(request.getServerName());
		urlBuilder.setPort(serverPort);
		urlBuilder.setContextPath(request.getContextPath());
		urlBuilder.setPathInfo(loginForm);

		// 如果启用了 forceHttps , 则替换 协议部分和端口部分
		if (forceHttps && "http".equals(scheme)) {
			Integer httpsPort = portMapper.lookupHttpsPort(Integer.valueOf(serverPort));

			if (httpsPort != null) {
				// Overwrite scheme and port in the redirect URL
				urlBuilder.setScheme("https");
				urlBuilder.setPort(httpsPort.intValue());
			}
			else {
				logger.warn("Unable to redirect to HTTPS as no port mapping found for HTTP port "
						+ serverPort);
			}
		}

		return urlBuilder.getUrl();
	}

	/**
	 * Builds a URL to redirect the supplied request to HTTPS. Used to redirect the
	 * current request to HTTPS, before doing a forward to the login page.
	 */
	protected String buildHttpsRedirectUrlForRequest(HttpServletRequest request)
			throws IOException, ServletException {

		int serverPort = portResolver.getServerPort(request);
		Integer httpsPort = portMapper.lookupHttpsPort(Integer.valueOf(serverPort));

		if (httpsPort != null) {
			RedirectUrlBuilder urlBuilder = new RedirectUrlBuilder();
			urlBuilder.setScheme("https");
			urlBuilder.setServerName(request.getServerName());
			urlBuilder.setPort(httpsPort.intValue());
			urlBuilder.setContextPath(request.getContextPath());
			urlBuilder.setServletPath(request.getServletPath());
			urlBuilder.setPathInfo(request.getPathInfo());
			urlBuilder.setQuery(request.getQueryString());

			return urlBuilder.getUrl();
		}

		// Fall through to server-side forward with warning message
		logger.warn("Unable to redirect to HTTPS as no port mapping found for HTTP port "
				+ serverPort);

		return null;
	}

	/**
	 * Set to true to force login form access to be via https. If this value is true (the
	 * default is false), and the incoming request for the protected resource which
	 * triggered the interceptor was not already <code>https</code>, then the client will
	 * first be redirected to an https URL, even if <tt>serverSideRedirect</tt> is set to
	 * <tt>true</tt>.
	 */
	public void setForceHttps(boolean forceHttps) {
		this.forceHttps = forceHttps;
	}

	protected boolean isForceHttps() {
		return forceHttps;
	}

	public String getLoginFormUrl() {
		return loginFormUrl;
	}

	public void setPortMapper(PortMapper portMapper) {
		Assert.notNull(portMapper, "portMapper cannot be null");
		this.portMapper = portMapper;
	}

	protected PortMapper getPortMapper() {
		return portMapper;
	}

	public void setPortResolver(PortResolver portResolver) {
		Assert.notNull(portResolver, "portResolver cannot be null");
		this.portResolver = portResolver;
	}

	protected PortResolver getPortResolver() {
		return portResolver;
	}

	/**
	 * Tells if we are to do a forward to the {@code loginFormUrl} using the
	 * {@code RequestDispatcher}, instead of a 302 redirect.
	 *
	 * @param useForward true if a forward to the login page should be used. Must be false
	 * (the default) if {@code loginFormUrl} is set to an absolute value.
	 */
	public void setUseForward(boolean useForward) {
		this.useForward = useForward;
	}

	protected boolean isUseForward() {
		return useForward;
	}
}

参考文章

Spring Security Web 5.1.2 源码解析 – 框架缺省使用的页面重定向策略

安迪源文
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springsecurity之AuthenticationEntryPoint
weixin_34010566的博客
03-12 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
spring-security-5.1.2.RELEASE
04-13
Spring Security 5.0至少需要Spring 5.0,并且还需要Java 8。 有关功能的详细列表以及对最新版本的访问,请访问。 行为守则 该项目遵守《贡献者公约》。 通过参与,您将遵守此代码。 请向报告不可接受的行为。 ...
spring security ajax 跳转登录页
lanyingtianshiabc的专栏
05-07 2416
对于 ajax 无法捕获302的原理参考 http://www.cnblogs.com/dudu/p/ajax_302_found.html 大体流程为 ajax -> browser -> server -> 302 -> browser(redirect) -> server -> browser -> ajax callback 结论  如果你想在ajax请
Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析
kaven
01-23 2万+
ExceptionTranslationFilter ExceptionTranslationFilter(Security Filter)允许将AccessDeniedException和AuthenticationException转换为HTTP响应。ExceptionTranslationFilter作为Security Filters之一插入到FilterChainProxy中。 首先,ExceptionTranslationFilter调用FilterChain.doFilter(reques
AuthenticationEntryPoint:实现自定义的未授权访问处理逻辑
最新发布
wddblog的博客
03-14 761
是一个接口,它用于定义当用户尝试访问受保护的资但没有进行身份验证时应该执行的操作。当用户未通过身份验证就尝试访问安全资时,Spring Security会调用。现在,当用户尝试访问需要身份验证的资但未通过身份验证时,Spring Security将使用我们自定义的。方法被重写以设置响应的状态码为401,并附带一条错误消息"Unauthorized access"。的实现来启动身份验证过程或提供有关未授权访问的反馈。下面是一个简单的示例,展示了如何实现一个自定义的。的bean,并将其设置为。
Spring Security Web : AuthenticationEntryPoint 认证入口点及其实现类简介
热门推荐
Details Inside Spring
06-09 3万+
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 该接口只定义了一个方法...
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
SpringSecurity从0到1搭建详细教程四——自定义认证失败处理与跨域问题
m0_47743175的博客
11-25 860
SpringSecurity从0到1搭建详细教程四——自定义认证失败处理与跨域问题
Spring Security Web 5.1.2 解析 -- HttpSessionRequestCache
Details Inside Spring
12-06 3685
概述 Spring Security Web认证机制(通常指表单登录)中登录成功后页面需要跳转到原来客户请求的URL。该过程中首先需要将原来的客户请求缓存下来,然后登录成功后将缓存的请求从缓存中提取出来。 针对该需求,Spring Security Web 提供了在http session中缓存请求的能力,也就是HttpSessionRequestCache。HttpSessionRequestC...
spring-framework-5.1.2.RELEASE-disk
11-11
spring-framework-5.1.2.RELEASE-disk
spring-framework-5.1.2.RELEASE.rar
06-20
其中,有4个是Spring的基础包,对应Spring核心容器的4个模块,是Spring项目必需的: spring-core-5.1.8.RELEASE.jar //Spring的核心工具类,其它jar包是建立这个包基础上的,都要用到这个包中的类。 spring-beans-...
官方原版spring-framework-5.1.2.RELEASE.zip
10-30
官方原版spring-framework-5.1.2.RELEASE.zip
ffmpeg-n5.1.2-win64
10-08
ffmpeg-n5.1.2-win64
Spring Security 的基本组件 SecurityContextHolder
Details Inside Spring
08-10 3万+
Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContextHolder的工作原理 缺省工作模式 MODE_THREADLOCAL 我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么Securi...
Spring Security Config : 注解 EnableWebSecurity 启用Web安全
Details Inside Spring
05-09 2万+
@EnableWebSecuritySpring Security用于启用Web安全的注解。通常将该注解用在某个Web安全配置类上(实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)。典型的使用例子如下 : @Configuration @EnableWebSecurity public class MyWebSecur...
Spring Security : 概念模型 AuthenticationManager 认证管理器
Details Inside Spring
05-14 2万+
Spring Security中,接口AuthenticationManager用于抽象建模认证管理器,用于处理一个认证请求,也就是Spring Security中的Authentication认证令牌。 AuthenticationManager接口只定义了一个方法: Authentication authenticate(Authentication authentication) throw...
Spring Security Web 应用遇到了 RequestRejectedException 怎么办 ?
Details Inside Spring
05-26 1万+
在我们开发使用Spring SecurityWeb应用时,有的时候会遇到RequestRejectedException,这时候应该怎么办呢 ? 实际上,RequestRejectedException是Spring Security的防火墙机制抛出的。如果遇到了该异常,开发人员可以从以下几个方面是不是存在问题 : 请求路径中是否包含./,/../,/.等字符串序列,这些字符串序列会被认为是有...
Spring Security Web 5.1.2 解析 -- BasicAuthenticationFilter
Details Inside Spring
12-09 1万+
概述 代码解析 参考文章 Spring Security Web 5.1.2 解析 – 安全相关Filter清单
soapui-pro-x64-5.1.2 protection
07-27
soapui-pro-x64-5.1.2是一款用于API测试和集成测试的专业工具。它的“protection”主要指的是该工具在使用过程中的安全保护措施。 首先,soapui-pro-x64-5.1.2具备数据加密功能,可以对敏感数据进行加密处理,保护数据的安全性,防止数据泄露。 其次,该工具提供了身份验证的功能,可以限制只有经过授权的用户才能访问和使用工具。这种身份验证可以是基于用户名和密码的,也可以是基于其他安全认证机制的,如单点登录(SSO)等。 此外,soapui-pro-x64-5.1.2还提供了访问控制列表(ACL)的功能,可以对用户的访问权限进行细粒度的控制,确保只有具备相关权限的用户才能进行操作。 此外,该工具还对输入进行严格的校验和过滤,以防止恶意代码注入或跨站脚本攻击等安全威胁。 最后,soapui-pro-x64-5.1.2还具备日志记录功能,可以详细记录用户的操作日志和系统日志,方便追踪和审计。 总之,soapui-pro-x64-5.1.2通过数据加密、身份验证、访问控制、输入过滤和日志记录等措施,保护用户数据的安全性和工具的合法合规使用,提高用户对该工具的信任度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值