SpringSecurity Filter处理流程

最新推荐文章于 2024-07-08 16:53:33 发布
最新推荐文章于 2024-07-08 16:53:33 发布
阅读量7.5k 收藏 3
点赞数 1
分类专栏: Spring Security Java 文章标签: Java security spring filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenxuegui1234/article/details/20834407
版权
首先,看一下调试的配置

FilterChainProxy的处理过程
这是一个典型的责任链模式,推荐看一下这个博客

SecurityContextPersistenceFilter

功能:负责从SecurityContextRepository获取或存储SecurityContext。SecurityContext代表了用户安全和认证过的session。



HttpRequestResponseHolder其实就是当前请求中的request、response的一个包装,

而repo就是一个HttpSessionSecurityContextRepostory就是包含当前用户线程中的SecurityContext(Session)的一个类,并从中取出SecurityContext



再进去看一下HttpSessionSecurityContextRepository的loadContext做了什么事呢





由于之前还没有登录,所以访问,所以进去之后获取的SecurityContext中的authentication为null


LogOutFilter
功能:监控一个实际为退出功能的URL(默认为/j_spring_security_logout),并且在匹配的时候完成用户的退出功能。




UserNamePasswrodAuthenticationFilter
功能:监控一个使用用户名和密码基于form认证的URL(默认为/j_spring_security_check),并在URL匹配的情况下尝试认证该用户。


这是他的继承关系





上面由于requiresAuthentication()不需要验证,也就是不是以/j_spring_security_check结尾的请求行,所以,没有进行下面的验证
验证就下次吧,这可是SpringSecurity的重点


DefaultLoginPageGeneratingFilter
功能:监控一个要进行基于forn或OpenID认证的URL(默认为/spring_security_login),并生成展现登录form的HTML



BasicAuthenticationFilter
功能:监控HTTP 基础认证的头信息并进行处理



由于没有配置Basic去验证,看一下这篇博客http://sishuok.com/forum/blogPost/list/4305.html,写的还不错


RequestCacheAwareFilter
功能:用于用户登录成功后,重新恢复因为登录被打断的请求。



那requestCache.getMatchingRequest()里面又发生什么事呢
可见,在请求需要登录权限的时候,SpringSecurity会把当前的request缓存起来,以便在登录成功之后重新响应那个request



SecurityContextHolderAwareRequestFilter
功能:主要对当前request进行一个封装成一个SecurityContextHolderAwareRequestWrapper



AnonymousAuthenticationFilter
功能:如果用户到这一步还没有经过认证,将会为这个请求关联一个认证的token,标识此用户是匿名的。


所以,没被验证的用户就有了一个ROLE_ANONYMOUS的权限了

这里,还有一个问题,那key是怎么得来的?                                                



SessionManagerFilter
功能:根据认证的安全实体信息跟踪session,保证所有关联一个安全实体的session都能被跟踪到。

这个过滤器,推荐读一下这两篇博客
http://sishuok.com/forum/blogPost/list/4307.html
http://sishuok.com/forum/blogPost/list/4308.html


ExceptionTranslationFilter
功能:解决在处理一个请求时产生的指定异常



FilterSecurityInterceptor
功能:简化授权和访问控制决定,委托一个AccessDecisionManager完成授权的判断

这个filter是filterchain中比较复杂,也是比较核心的过滤器,主要负责授权的工作,这个filter就下次吧



总结:
1、SpringSecurity在过滤链上很重要的设计模式就是过滤链模式,过滤链模式不是一直进行下去的,他是通过filter所过滤的url进行匹配,匹配上了就进行相应的处理,并原路返回
2、SpringSecurity中通过将验证过的securityContext存储在securityContextrepositoty,其中包括登录信息,还有Session等信息,如果登录成功过的,他会同时将session加进去,在下一次访问时可以用session进行匹配登录









JoesonChan
关注
专栏目录
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
Ccww_的博客
07-24 1406
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   在...
SpringBoot--Spring Security(一)
fanderboy的博客
01-13 1709
官网:https://spring.io/projects/spring-security
Spring SecurityFilter
最新发布
weixin_44263023的博客
07-08 770
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring SecurityFilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
Security 配置过滤器
云大牛的博客
01-22 2005
配置 LoginInterceptor @Service public class LoginInterceptor implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { System.out.println("in...
FilterInvocationSecurityMetadataSource方法使用
java牛牛的博客
02-06 1万+
1.Collection getAttributes(Object object) throws IllegalArgumentException; 获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合,如果该安全对象object不被当前SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException...
[5]深入浅出工作开源框架Camunda: 解读 camunda-webapp 笔记之SecurityFilterRules
超越梦想,一起飞!!!
04-25 2249
本文的背景是基于camunda 7.16的版本;Camunda 7.16的运行版本在[《\[1\]深入浅出工作开源框架Camunda: 安装和使用》](https://architect.blog.csdn.net/article/details/123289863) 一文中已经提到如何下载;其默认访问的URL为http://127.0.0.1:8080/camunda/app/welcome/default/#!/welcome 那么Camunda Web程序是如何工作的?其代码原理是什么呢?
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
Spring Security验证流程剖析及自定义验证方法
08-27
该框架的核心是通过一系列过滤器(Filter)实现对用户请求的拦截和处理,这些过滤器构成了FilterChainProxy,根据不同的URL配置执行不同的安全策略。下面我们将深入探讨Spring Security的验证流程以及如何自定义验证...
Spring Security模块
09-03
Spring Security 实际上是基于 Filter 的,它通过在请求处理链中插入一系列的安全过滤器来实现其功能。 **一、Spring Security 的核心组件** 1. **Filter Security Interceptor (FSI)**:这是 Spring Security 的...
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
Spring Securityfilter配置及说明
写代码的二妹
10-27 465
以前在PA关注过用户登录授权的过程,看过JAAS的规范,看过WEBLOGIC的实现代码,看过Spring Security的源代码,这么久都忘了。。现在开始,把以前丢掉的技术日记能记得记下来,以后也开始写日记了~~:)   ----   验证 使用 opends 作 ldap 数据库,(运行的脚本在该目录的 ldap.ldif 下) 上下文参数: http:/...
Springboot 自动配置 : SecurityFilterAutoConfiguration
Details Inside Spring
05-20 1749
Spring Boot的自动配置类。用于向Servlet容器 注册一个名称为securityFilterChainRegistration的bean, 实现类是DelegatingFilterProxyRegistrationBean。该 bean 的目的是注册另外一个 Servlet Filter bean 到 Servlet 容器,实现类为 DelegatingFilterProxy 。Del...
SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题
wh2574021892的博客
03-14 1万+
SpringSecurity 忽略路径无效
【转】Spring Security 两种资源放行策略,千万别用错了
魂-淡
07-27 2580
Spring Security 中,到底该怎么样给资源额外放行?
Spring Security笔记:自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken
weixin_33907511的博客
08-03 269
在前面的学习中,配置文件中的<http>...</http>都是采用的auto-config="true"这种自动配置模式,根据Spring Security文档的说明: ------------------ auto-config Automatically registers a login form, BASIC authentication, logout se...
Spring Security3源码分析-LogoutFilter分析
Dead_Knight的专栏
05-06 394
LogoutFilter过滤器对应的类路径为 org.springframework.security.web.authentication.logout.LogoutFilter 通过这个类的源码可以看出,这个类有两个构造函数 [code="java"] public LogoutFilter(LogoutSuccessHandler logoutSuccessHandler, ...
Spring Security(六)—SpringSecurityFilterChain加载流程深度解析
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤器链,前文《Spring Security(四)–核心过滤器源码分析》 中我们分析了 SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
深度解析:Spring Security Filter的工作机制
其核心组件之一是Filter,本文将重点探讨Spring Security Filter的工作流程。 1. **Filter的启动过程** Spring Security Filter 的入口点是 `DelegatingFilterProxy` 类,它在Web应用的`web.xml`中被配置为一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值