Spring Security3学习-鉴权过滤器

最新推荐文章于 2024-04-30 18:39:20 发布
最新推荐文章于 2024-04-30 18:39:20 发布
阅读量452 收藏 1
点赞数
分类专栏: Spring Security3 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c04s31602/article/details/84614420
版权

鉴权过滤器FilterSecurityInterceptor是11个默认过滤器的最后一个,也是流程很复杂的一个过滤器。它的鉴权不仅仅针对web领域,我们主要讨论对web的鉴权



 这个图是大概的流程,首先有几个相关的对象

FilterSecurityInterceptor:安全过滤器

SecurityMetadataSource:资源元数据

ConfigAttribute:访问该资源的配置信息

AccessDecisionManager:访问决策管理器,可以用<http>元素的access-decision-manager-ref属性来指明一个实现了AccessDecisionManager的Spring Bean。

AuthenticationManager:认证管理器,通过getAuthorities()方法返回权限列表,这里是由ProviderManager实现的。

voter(投票器)是在授权过程中的一个重要角色,它的作用是评估以下的内容: 

  • 要访问受保护资源的请求所对应上下文(如URL请求的IP 地址); 
  • 用户的凭证信息(如果存在的话); 
  • 要试图访问的受保护资源; 
  • 系统的配置以及要访问资源本身的配置参数。

怎么配置的,我们看解析security命名空间时对过滤器的初始化方法createFilterSecurityInterceptor

    void createFilterSecurityInterceptor(BeanReference authManager) {
        //解析use-expressions  
        boolean useExpressions = FilterInvocationSecurityMetadataSourceParser.isUseExpressions(httpElt);
        //配置资源元数据对象
        BeanDefinition securityMds = FilterInvocationSecurityMetadataSourceParser.createSecurityMetadataSource(interceptUrls, httpElt, pc);
        //访问决策器对象
        RootBeanDefinition accessDecisionMgr;
        //voter对象集合
        ManagedList<BeanDefinition> voters =  new ManagedList<BeanDefinition>(2);

        if (useExpressions) {
            voters.add(new RootBeanDefinition(WebExpressionVoter.class));
        } else {
            voters.add(new RootBeanDefinition(RoleVoter.class));
            voters.add(new RootBeanDefinition(AuthenticatedVoter.class));
        }
        //访问决策对象默认是AffirmativeBased,即如果有任何一个投票器允许访问,请求将被立刻允许,而不管之前可能有的拒绝决定。
        accessDecisionMgr = new RootBeanDefinition(AffirmativeBased.class);
        accessDecisionMgr.getPropertyValues().addPropertyValue("decisionVoters", voters);
        accessDecisionMgr.setSource(pc.extractSource(httpElt));

        // Set up the access manager reference for http
        // 获取配置文件中决策控制器bean的id
        String accessManagerId = httpElt.getAttribute(ATT_ACCESS_MGR);

        //如果配置文件没有指定访问控制器,定义默认的
        if (!StringUtils.hasText(accessManagerId)) {
            accessManagerId = pc.getReaderContext().generateBeanName(accessDecisionMgr);
            pc.registerBeanComponent(new BeanComponentDefinition(accessDecisionMgr, accessManagerId));
        }
        //设置过滤器对象
        BeanDefinitionBuilder builder = BeanDefinitionBuilder.rootBeanDefinition(FilterSecurityInterceptor.class);
        
        builder.addPropertyReference("accessDecisionManager", accessManagerId);
        //设置authenticationManager认证对象
        builder.addPropertyValue("authenticationManager", authManager);
        //设置observeOncePerRequest属性,是否每个请求只鉴权一次
        if ("false".equals(httpElt.getAttribute(ATT_ONCE_PER_REQUEST))) {
            builder.addPropertyValue("observeOncePerRequest", Boolean.FALSE);
        }

        builder.addPropertyValue("securityMetadataSource", securityMds);
        BeanDefinition fsiBean = builder.getBeanDefinition();
        String fsiId = pc.getReaderContext().generateBeanName(fsiBean);
        pc.registerBeanComponent(new BeanComponentDefinition(fsiBean,fsiId));

        // Create and register a DefaultWebInvocationPrivilegeEvaluator for use with taglibs etc.
        BeanDefinition wipe = new RootBeanDefinition(DefaultWebInvocationPrivilegeEvaluator.class);
        wipe.getConstructorArgumentValues().addGenericArgumentValue(new RuntimeBeanReference(fsiId));

        pc.registerBeanComponent(new BeanComponentDefinition(wipe, pc.getReaderContext().generateBeanName(wipe)));

        this.fsi = new RuntimeBeanReference(fsiId);
    }

 下面再看默认的鉴权流程

FilterSecurityInterceptor继承了AbstractSecurityInterceptor,看他的doFilter方法

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

 invoke方法

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
                && observeOncePerRequest) {
            // filter already applied to this request and user wants us to observe
            // once-per-request handling, so don't re-do security checking
            // 如果已经鉴权、且只进行一次鉴权
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            // first time this request being called, so perform security checking
            if (fi.getRequest() != null) {
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
            }

            // 鉴权发生在这里
            InterceptorStatusToken token = super.beforeInvocation(fi);

            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                super.afterInvocation(token, null);
            }
        }
    }

 看看AbstractSecurityInterceptor的beforeInvocation流程

    protected InterceptorStatusToken beforeInvocation(Object object) {
        Assert.notNull(object, "Object was null");
        final boolean debug = logger.isDebugEnabled();

        if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
            throw new IllegalArgumentException("Security invocation attempted for object "
                    + object.getClass().getName()
                    + " but AbstractSecurityInterceptor only configured to support secure objects of type: "
                    + getSecureObjectClass());
        }

        // 获取此次访问的资源元数据,默认是从ExpressionBasedFilterInvocationSecurityMetadataSource,根据url和http method获取的
        Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);

        if (attributes == null) {
            if (rejectPublicInvocations) {
                throw new IllegalArgumentException("Secure object invocation " + object +
                        " was denied as public invocations are not allowed via this interceptor. "
                                + "This indicates a configuration error because the "
                                + "rejectPublicInvocations property is set to 'true'");
            }

            if (debug) {
                logger.debug("Public object - authentication not attempted");
            }

            publishEvent(new PublicInvocationEvent(object));

            return null; // no further work post-invocation
        }

        if (debug) {
            logger.debug("Secure object: " + object + "; Attributes: " + attributes);
        }

        // authentication对象也不能为空
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",
                    "An Authentication object was not found in the SecurityContext"), object, attributes);
        }

        // 校验authentication对象,如果isAuthenticated是flase则再次校验,不通过会抛出AuthenticationException
        Authentication authenticated = authenticateIfRequired();

        // Attempt authorization
        try {
            //访问决策管理器的decide方法
            this.accessDecisionManager.decide(authenticated, object, attributes);
        }
        catch (AccessDeniedException accessDeniedException) {
            publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
                    accessDeniedException));
            // 如果鉴权失败抛出AccessDeniedException
            throw accessDeniedException;
        }

        if (debug) {
            logger.debug("Authorization successful");
        }

        publishEvent(new AuthorizedEvent(object, attributes, authenticated));

        // Attempt to run as a different user
        // 将此资源元数据中以RUN_AS开头的角色赋予此用户
        Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attributes);

        if (runAs == null) {
            if (debug) {
                logger.debug("RunAsManager did not change Authentication object");
            }

            // no further work post-invocation
            return new InterceptorStatusToken(authenticated, false, attributes, object);
        } else {
            if (debug) {
                logger.debug("Switching to RunAs Authentication: " + runAs);
            }

            SecurityContextHolder.getContext().setAuthentication(runAs);

            // need to revert to token.Authenticated post-invocation
            return new InterceptorStatusToken(authenticated, true, attributes, object);
        }
    }

 再看访问控制管理器的decide方法,默认的控制器是AffirmativeBased,只要有一个投票器通过就通过。

    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException {
        // 被禁止数
        int deny = 0;

        for (AccessDecisionVoter voter : getDecisionVoters()) {
            int result = voter.vote(authentication, object, configAttributes);

            if (logger.isDebugEnabled()) {
                logger.debug("Voter: " + voter + ", returned: " + result);
            }

            switch (result) {
            // 只要有一个投票器通过,即返回
            case AccessDecisionVoter.ACCESS_GRANTED:
                return;
            // 不通过数+1
            case AccessDecisionVoter.ACCESS_DENIED:
                deny++;

                break;

            default:
                break;
            }
        }

        if (deny > 0) {
            throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                    "Access is denied"));
        }

        // To get this far, every AccessDecisionVoter abstained
        checkAllowIfAllAbstainDecisions();
    }

 在鉴权不通过时都会抛出AccessDeniedException异常,整个鉴权的流程大概就是这样的。

c04s31602
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 过滤器鉴权_编写身份验证过滤器
weixin_35952290的博客
02-25 473
编写身份验证过滤器本文案例是在过滤器中完成身份验证。大致流程是:先在过滤器类中检查用户提供的密码,如果给定的密码是admin,将请求转发到AdminServlet,否则将显示错误消息。1 编写登录表单index.jsp:一点教程网-过滤器完成用户权限验证用户名:密码:2 编写AdminServletAdminServlet:import java.io.*;import javax.servlet...
过滤器实现鉴权
11-20
过滤器实现分目录权限控制 servlet+jsp 没加数据库
【自研网关系列】过滤器链 -- 鉴权过滤器
m0_63208096的博客
04-30 877
在自研网关这个项目中,主要是使用 Jwt 来实现简易的鉴权功能
Spring Security之认证过滤器
Evan_L的博客
03-24 1038
上回我们探讨了关于Spring Security,着实复杂。这次咱们聊的认证过滤器就先聊聊认证功能。涉及到多方协同的功能,咱分开聊。也给小伙伴喘口气,嘻嘻。此外也是因为只有登录认证了,才有后续的更多功能集成的可能。
java 过滤器鉴权_Servlet身份验证过滤器
weixin_32172693的博客
02-25 369
可以在过滤器中执行身份认证。 在这里,我们将如何在过滤器类检查由用户提交的密码,如果给定密码为admin,它将把请求转发到WelcomeAdmin servlet,否则会显示错误消息。使用过滤器验证用户的示例下面来看看如何使用过滤器验证用户的简单示例。在这个示例中创建了以下几个主要的代码文件:index.html - 首页MyFilter.java - 过滤器,用于处理用户登录信息和跳转。Admi...
java 过滤器鉴权_SpringCloud------自定义Zuul过滤器实现登录鉴权
weixin_36102776的博客
02-25 135
importcom.alibaba.fastjson.JSON;importcom.netflix.zuul.ZuulFilter;importcom.netflix.zuul.context.RequestContext;importcom.netflix.zuul.exception.ZuulException;importorg.apache.commons.lang.StringUtils...
Shiro框架:Shiro用户访问控制鉴权流程-内置过滤器方式源码解析
博客园
01-18 1448
​Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器前面文章已经进行了详细解析;在此基础上,上篇文章已对Shiro用户登录认证流程进行了源码跟踪,本篇文章继续对下一个核心流程---用户访问控制鉴权流程进行源码解析;
cloud微服务-网关鉴权-安全登录-全局过滤器
qq_44691484的博客
06-29 1064
cloud 微服务,我们使用的结构如下:(没使用配置中心,配置文件单独手动更新的) springcloud-gateway:网关,给前台的统一的访问项目,在此处我做了一个网关鉴权,安全登录; springcloud-hystrix-feign:路由,网关调到路由,在此处进行分发路径到各处业务项目,处理之外,熔断、超时也进行设置; springcloud-turbin:项目监控,一般都是固定配置,在配置文件中,写入各项目的访问名 timerbatch-manage:定时项目,定时发送邮件短信 common-m
SpringSecurity鉴权流程解析与动态鉴权 | CSDN新人第二弹
和耳朵
07-09 1265
如果不能谈情说爱,我们可以自怜自爱。 楔子 上一篇文我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。 祝有好收获。 本文代码: 码云地址 GitHub地址 1. ????SpringSecurity鉴权原理 上一篇文我们讲认证的时候曾经放了一个图,就是下图: 整
SpringBoot使用Filter实现签名认证鉴权
java_shm的专栏
11-07 1930
情景说明 鉴权,有很多方案,如:SpringSecurity、Shiro、拦截器、过滤器等等。如果只是对一些URL进行认证鉴权的话,我们完 全没必要引入SpringSecurity或Shiro等框架,使用拦截器或过滤器就足以实现需求。 本文介绍如何使用过滤器Filter实现URL签名认证鉴权。 本人测试软硬件环境:Windows10、idea、SpringBoot...
filter功能演示-鉴权、声明缓存
鹏鹏2077
07-03 4565
本博客将深入介绍Java EE中的Filter功能,并重点探讨如何使用Filter实现鉴权和声明缓存。我们将了解Filter的工作原理、使用方法以及如何在Java EE应用程序中应用它们。通过代码示例和详细解释,你将了解到如何使用Filter来验证用户的身份、保护敏感资源,并使用声明性缓存来提高应用程序的性能和效率。无论你是Java EE开发人员还是对Web开发感兴趣的读者,本博客都将帮助你深入理解Filter的重要性和强大功能。
Security学习笔记2-Filter说明
zmm0422
03-03 137
1:ChannelProcessingFilter:在允许其他过滤器处理之前确保请求是经过合适的通道传输的。 2:ConcurrentSessionFilter:控制并发session 3:HttpSessionContextIntegrationFilter:每次request前 HttpSessionContextIntegrationFilter从Session中获取Authentica...
springboot项目中如何实现过滤器鉴权
hualinger的博客
10-30 516
通常来说鉴权都是写在网关当中,对于单体应用也可以在后台服务中通过一个过滤器实现。其实过程与网关当中的没什么不同,只是在gateway当中目前是基于netty响应式的。
Spring Cloud自定义Zuul过滤器实现登录鉴权实战
曹举的个人博客
12-05 959
上篇讲了zuul网关的搭建和一些基本的访问规则,并且已经可以通过网关访问后端的几个服务 网关搭建好了以后,我们不可能只是用它来简单的作为访问的入口,肯定要实现一些功能在里边的 所以本篇继续讲一下Zuul过滤器实现一个简单的登录鉴权 1、新建一个类,实现ZuulFilter,重写里面的方法 /** * 登陆过滤器 */ @Component public class LoginFilt...
spring boot security FilterSecurityInterceptor 使用要点记录
热门推荐
qushapos的博客
12-10 1万+
spring security FilterSecurityInterceptor 使用要点记录 FilterSecurityInterceptor是一个方法级的权限过滤器, 基本位于过滤链的最底部 该过滤器用于控制method级别的权限控制. 官方提供了2种默认的方法权限控制写法 一种是在方法上加注释实现, 另一种是在configure配置中通过 @Secured("ROLE_ADMIN")...
自定义securityFilter过滤链
xiaozhuanhao的专栏
04-24 1万+
spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤链,看本文章需要读者对spring security3 有一定程度的了解 先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的
springsecurity 新版本自定义鉴权
最新发布
06-27
通过`@Configuration`注解,可以在类中添加自定义的过滤器、授权规则等。 5. 注解支持:Spring Security提供了许多注解,如`@PreAuthorize`、`@PostAuthorize`等,可以直接在方法上标记安全规则。你也可以自定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值