Spring Security3源码分析(16)-RequestCacheAwareFilter分析

最新推荐文章于 2023-05-31 14:51:32 发布
最新推荐文章于 2023-05-31 14:51:32 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: Spring-Security 文章标签: RequestCacheAwareFil
RequestCacheAwareFilter过滤器对应的类路径为 
org.springframework.security.web.savedrequest.RequestCacheAwareFilter 

这个filter的用途官方解释是 
用于用户登录成功后,重新恢复因为登录被打断的请求  
这个解释也有几点需要说明 
被打算的请求:简单点说就是出现了AuthenticationException、AccessDeniedException两类异常 
重新恢复:既然能够恢复,那肯定请求信息被保存到cache中了 

首先看被打断请求是如何保存到cache中的 
实际上,上一篇的ExceptionTranslationFilter分析已经提到了 
requestCache.saveRequest(request, response)  
是的,如果出现AuthenticationException或者是匿名登录的抛出了AccessDeniedException,都会把当前request保存到cache中。这里的cache是HttpSessionRequestCache,接着看HttpSessionRequestCache的saveRequest方法 
Java代码   收藏代码
  1. public void saveRequest(HttpServletRequest request, HttpServletResponse response) {  
  2.     //由于构造HttpSessionRequestCache的bean时,没有设置justUseSavedRequestOnGet属性,所以该属性为默认值false。  
  3.     if (!justUseSavedRequestOnGet || "GET".equals(request.getMethod())) {  
  4.         //构造DefaultSavedRequest,并且设置到session中  
  5.         DefaultSavedRequest savedRequest = new DefaultSavedRequest(request, portResolver);  
  6.   
  7.         if (createSessionAllowed || request.getSession(false) != null) {  
  8.             request.getSession().setAttribute(DefaultSavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY, savedRequest);  
  9.         }  
  10.     }  
  11.   
  12. }  

这里应该知道,实际上被打断的请求被封装成DefaultSavedRequest对象保存到session中了 

分析完保存被打断的请求,接着就分析如何恢复被打断的请求了。RequestCacheAwareFilter过滤器就是完成恢复的工作。看doFilter方法 
Java代码   收藏代码
  1. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
  2.         throws IOException, ServletException {  
  3.     //根据当前session取出DefaultSavedRequest,如果有被打断的请求,就把当前请求与被打断请求做匹配。如果匹配成功,对当前请求封装,再传递到下一个过滤器  
  4.     HttpServletRequest wrappedSavedRequest =  
  5.         requestCache.getMatchingRequest((HttpServletRequest)request, (HttpServletResponse)response);  
  6.     chain.doFilter(wrappedSavedRequest == null ? request : wrappedSavedRequest, response);  
  7. }  

继续看HttpSessionRequestCache处理过程 
Java代码   收藏代码
  1. //从当前session中提取DefaultSavedRequest对象  
  2. public SavedRequest getRequest(HttpServletRequest currentRequest, HttpServletResponse response) {  
  3.     HttpSession session = currentRequest.getSession(false);  
  4.   
  5.     if (session != null) {  
  6.         return (DefaultSavedRequest) session.getAttribute(DefaultSavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY);  
  7.     }  
  8.   
  9.     return null;  
  10. }  
  11. //清除被打断请求  
  12. public void removeRequest(HttpServletRequest currentRequest, HttpServletResponse response) {  
  13.     HttpSession session = currentRequest.getSession(false);  
  14.   
  15.     if (session != null) {  
  16.         logger.debug("Removing DefaultSavedRequest from session if present");  
  17.         session.removeAttribute(DefaultSavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY);  
  18.     }  
  19. }  
  20. //请求匹配  
  21. public HttpServletRequest getMatchingRequest(HttpServletRequest request, HttpServletResponse response) {  
  22.     DefaultSavedRequest saved = (DefaultSavedRequest) getRequest(request, response);  
  23.     //如果没有被打断请求,直接返回null,不做处理  
  24.     if (saved == null) {  
  25.         return null;  
  26.     }  
  27.     //如果当前请求与被打断请求不匹配,直接返回null,不做处理  
  28.     if (!saved.doesRequestMatch(request, portResolver)) {  
  29.         logger.debug("saved request doesn't match");  
  30.         return null;  
  31.     }  
  32.     //清除被打断请求  
  33.     removeRequest(request, response);  
  34.     //重新包装当前请求为被打断请求的各项信息  
  35.     return new SavedRequestAwareWrapper(saved, request);  
  36. }  


接着分析doesRequestMatch方法,看请求是如何匹配的 
Java代码   收藏代码
  1. //就是比较request与cache中被打断请求的各项信息是否相同  
  2. //这里有个疑惑(由于被打断请求包括POST、GET提交方式的,而这里要求必须为GET方式的请求才会匹配成功)  
  3. public boolean doesRequestMatch(HttpServletRequest request, PortResolver portResolver) {  
  4.   
  5.     if (!propertyEquals("pathInfo"this.pathInfo, request.getPathInfo())) {  
  6.         return false;  
  7.     }  
  8.   
  9.     if (!propertyEquals("queryString"this.queryString, request.getQueryString())) {  
  10.         return false;  
  11.     }  
  12.   
  13.     if (!propertyEquals("requestURI"this.requestURI, request.getRequestURI())) {  
  14.         return false;  
  15.     }  
  16.   
  17.     if (!"GET".equals(request.getMethod()) && "GET".equals(method)) {  
  18.         // A save GET should not match an incoming non-GET method  
  19.         return false;  
  20.     }  
  21.   
  22.     if (!propertyEquals("serverPort"new Integer(this.serverPort), new Integer(portResolver.getServerPort(request))))  
  23.     {  
  24.         return false;  
  25.     }  
  26.   
  27.     if (!propertyEquals("requestURL"this.requestURL, request.getRequestURL().toString())) {  
  28.         return false;  
  29.     }  
  30.   
  31.     if (!propertyEquals("scheme"this.scheme, request.getScheme())) {  
  32.         return false;  
  33.     }  
  34.   
  35.     if (!propertyEquals("serverName"this.serverName, request.getServerName())) {  
  36.         return false;  
  37.     }  
  38.   
  39.     if (!propertyEquals("contextPath"this.contextPath, request.getContextPath())) {  
  40.         return false;  
  41.     }  
  42.   
  43.     if (!propertyEquals("servletPath"this.servletPath, request.getServletPath())) {  
  44.         return false;  
  45.     }  
  46.   
  47.     return true;  
  48. }  

这里为何对POST请求匹配不成功,目前还不知道具体设计思路。知道后会进行补充
Benjamin_whx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
11、spring security拦截器之RequestCacheAwareFilter
u012153127的博客
06-26 766
RequestCacheAwareFilter:从session中获取SavedRequest,如果当前请求信息和SaveRequest信息一致(一般是登录成功后重定向),则返回SavedRequestAwareWrapper的HttpServletRequest包装类,这样的话,可以获取认证失败前的请求参数等信息 //获取包装类SavedRequestAwareWrapper,如果当前的request和session中SavedRequest //是一致的话,返回SavedRequestAwareWr
Spring Security Web 5.1.2 源码解析 -- RequestCacheAwareFilter
Details Inside Spring
12-06 563
概述 Spring Security Web对请求提供了缓存机制,如果某个请求被缓存,它的提取和使用是交给RequestCacheAwareFilter完成的。 系统在启动时,Spring Security Web会首先尝试从容器中获取一个RequestCache bean,获取失败的话,会构建一个缺省的RequestCache对象,然后实例化该过滤器 。 如果容器中不存在RequestCache...
Spring Security3源码分析-RequestCacheAwareFilter分析
Dead_Knight的专栏
05-09 174
RequestCacheAwareFilter过滤器对应的类路径为 org.springframework.security.web.savedrequest.RequestCacheAwareFilter 这个filter的用途官方解释是 [color=red]用于用户登录成功后,重新恢复因为登录被打断的请求[/color] 这个解释也有几点需要说明 被打算的请求:简单点说就是出...
[8] RequestCacheAwareFilter
既无风雨也无晴
03-21 2万+
RequestCacheAwareFilter 介绍 这个Filter官方解释为:“用于用户登录成功后,重新恢复因为登录被打断的请求”,被打断也是有前提条件的,支持打断后可以被恢复的异常有AuthenticationException、AccessDeniedException,这个操作是ExceptionTranslationFilter中触发的,并且RequestCacheAwareFilte...
Spring Security Config : HttpSecurity安全配置器 RequestCacheConfigurer
Details Inside Spring
06-16 1261
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,RequestCacheConfigurer的配置任务如下 : 配置如下安全过滤器Filter RequestCacheAwareFilter 属性RequestCache requestCache 的设置流程如下 : 首先尝试从共享对象获取 其次尝试从bean IoC容器获取 最后...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Spring+Tomcat源码分析-网盘链接提取码下载 .txt
02-15
掌握核心架构课程,课程由一线大厂的工程师带领同学们总览设计模式,然后进阶到核心的Spring源码分析课程。课程还包括了创建型模式讲解,结构型模式介绍,行为模式与Spring框架的整体流程。同时可贵的是没有进行...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring Security Web 5.1.2 源码解析 -- HttpSessionRequestCache
Details Inside Spring
12-06 3720
概述 Spring Security Web认证机制(通常指表单登录)中登录成功后页面需要跳转到原来客户请求的URL。该过程中首先需要将原来的客户请求缓存下来,然后登录成功后将缓存的请求从缓存中提取出来。 针对该需求,Spring Security Web 提供了在http session中缓存请求的能力,也就是HttpSessionRequestCache。HttpSessionRequestC...
Spring实战】----security4.1.3认证的过程以及原请求信息的缓存及恢复(RequestCache
honghailiang的专栏
12-15 1万+
一、先看下认证过程 认证过程分为7步: 1.用户访问网站,打开了一个链接(origin url)。 2.请求发送给服务器,服务器判断用户请求了受保护的资源。 3.由于用户没有登录,服务器重定向到登录页面 4.填写表单,点击登录 5.浏览器将用户名密码以表单形式发送给服务器 6.服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步) 7.服务
关于SpringSecurity+RedisCache的写法
qq_57147093的博客
11-02 227
1.进行认证2.进行授权3.攻击防护 (防止伪造身份)SpringSecurity的核心是一组过滤器链,在项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个spring security中一种过滤器处理一种认证方式。
Spring Security体系结构
最新发布
qq_27890899的博客
05-31 294
Spring Security的过滤器链加载与执行原理。
SpringSecurityOAuth2登录后无法跳转获取授权码地址,直接跳转根路径原因详解
oPeiJie1的博客
04-10 2591
至于UserDetailsService、TokenConfig、ResourceServerConfig 令牌配置、AuthorityServerConfig、Controller请自行到本文开头提到的那篇文章中查看。
Spring Security详解
热门推荐
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
SpringSecurity保存登录前的请求页面和跳转回登录前页面的源码分析
HHoao的博客
05-03 1225
SpringSecurity保存登录前的请求页面和跳转回登录前页面的源码分析 保存 ExceptionTranslationFilter在处理未认证信息异常时会使用RequestCache保存登录前请求页面信息。 所以我们就从创建ExceptionTranslationFilterRequestCache开始分析。 ExceptionTranslationFilterRequestCache都是由ExceptionHandlingConfigurer创建的,如下: ExceptionHandlingC
SpringBoot+SpringSession+Redis实现session共享及唯一
GSON的博客
02-08 473
一.为什么要spring-session 在传统单机web应用中,一般使用tomcat/jetty等web容器时,用户的session都是由容器管理。浏览器使用cookie中记sessionId,容器根据sessionId判断用户是否存在会话session。这里的限制是,session存储在web容器中,被单台服务器容器管理。 但是网站主键演变,分布式应用和集群是趋势(提高性能)。此时用户的请求可能被负载分发至不同的服务器,此时传统的web容器管理用户会话session的方式即行不通。除非集群或者分布式
三、Spring Security过滤器链
付之一笑的专栏
08-22 3059
一、Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不再赘述了。 Spring Security中过滤器的介绍: org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值