Spring Security API: AbstractAuthenticationProcessingFilter

最新推荐文章于 2022-09-14 10:53:19 发布
最新推荐文章于 2022-09-14 10:53:19 发布
阅读量873 收藏 2
点赞数 1
分类专栏: Spring Security

文章目录

AbstractAuthenticationProcessingFilter

Declared

package org.springframework.security.web.authentication;
public abstract class AbstractAuthenticationProcessingFilter 
        extends GenericFilterBean
        implements ApplicationEventPublisherAware, MessageSourceAware

Class Jdoc

基于浏览器的基于HTTP的身份认证请求的抽象的处理器。

认证过程

过滤器要求您设置authenticationManager属性。由实现类创建的身份认证请求令牌需要AuthenticationManager来处理。
如果请求与setRequiresAuthenticationRequestMatcher(RequestMatcher)匹配,此过滤器将拦截请求并尝试进行身份认证。
身份认证由attemptAuthentication方法执行,该方法必须由子类实现。

认证成功

如果身份验证成功,则生成的Authentication对象将被放入当前线程的SecurityContext中,该线程保证已由之前的过滤器创建。
登陆成功后,调用配置的AuthenticationSuccessHandler,跳转到合适的目标。默认行为在SavedRequestAwareAuthenticationSuccessHandler中实现,它将使用ExceptionTranslationFilter设置的任何DefaultSavedRequest,并将用户重定向到其中包含的URL。否则将重定向到webapp根“/”。您可以通过注入该类的不同配置实例或使用不同的实现来自定义此行为。
更多相关信息,请参阅successfulAuthentication(HttpServletRequest、HttpServletResponse、FilterChain、Authentication)方法。

认证失败

如果身份认证失败,它将委托给配置的AuthenticationFailureHandler,以便将失败信息传递给客户端。默认的实现是SimpleUrlAuthenticationFailureHandler,它向客户端发送401错误代码。它也可以配置一个故障URL作为替代。同样,你可以在这里注入任何你需要的行为。

事件发布

如果身份认证成功,则将通过应用程序上下文发布InteractiveAuthenticationSuccessEvent事件。如果身份认证不成功,则不会发布任何事件,因为通常是通过特定于AuthenticationManager的应用程序事件进行记录。

Session认证

AbstractAuthenticationProcessingFilter中有一个可选的SessionAuthenticationStrategy,在成功调用attemptAuthentication()后将立即调用它。可以通过注入不同的实现以启用预防会话固定攻击之类的功能,或者控制主体可能同时拥有的会话数。

Method doFilter

Declared

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException

Method Jdoc

调用requiresAuthentication方法来确定请求是否用于身份验证,是否应该由此过滤器处理。如果是身份认证请求,将调用attemptAuthentication方法进行身份认证。接下来有三种可能的结果:

  1. 返回一个Authentication对象。在调用successfulAuthentication(HttpServletRequest、HttpServletResponse、FilterChain、Authentication)方法之后,将调用所配置的SessionAuthenticationStrategy(用于处理任何与SessionAuthenticationStrategy相关的行为,如创建一个新会话以防止会话固定攻击)
  2. 认证过程中产生AuthenticationException。unsuccessfulAuthentication方法被调用。
  3. 返回Null,表示身份认证过程不完整。然后该方法将立即返回,假设子类已经完成了继续身份验证过程所需的任何工作(例如重定向)。此假设是指稍后会有一个请求被该方法接收,其中返回的Authentication对象不是null。

Method Code

//过滤器默认执行方法
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;

    //确定请求是否用于身份验证,是否应该由此过滤器处理?
    if (!requiresAuthentication(request, response)) {
        chain.doFilter(request, response);

        return;
    }

    if (logger.isDebugEnabled()) {
        logger.debug("Request is to process authentication");
    }

    Authentication authResult;

    try {
        //进行身份认证
        authResult = attemptAuthentication(request, response);
        if (authResult == null) {
            // return immediately as subclass has indicated that it hasn't completed
            // 当子类表示它还没有完成时立即返回
            // authentication
            return;
        }
        // session认证
        sessionStrategy.onAuthentication(authResult, request, response);
    } catch (InternalAuthenticationServiceException failed) {
        logger.error( "An internal error occurred while trying to authenticate the user.", failed);
        unsuccessfulAuthentication(request, response, failed);

        return;
    } catch (AuthenticationException failed) {
        // Authentication failed
        // 认证失败
        unsuccessfulAuthentication(request, response, failed);

        return;
    }

    // Authentication success
    // 认证成功
    if (continueChainBeforeSuccessfulAuthentication) {
        chain.doFilter(request, response);
    }

    successfulAuthentication(request, response, chain, authResult);
}

Method requiresAuthentication

Declared

protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response)

Method Jdoc

表明此过滤器是否能处理当前调用的登陆请求。
在与filterProcessesUrl属性匹配之前,它从请求URL的path部分删除所有参数(例如:https://host/myapp/index.html;jsessionid=blah中的jsessionid参数)
对于特殊的需求,比如Tapestry集成,子类可以重写。

Method Code

protected boolean requiresAuthentication(HttpServletRequest request,
        HttpServletResponse response) {
    return requiresAuthenticationRequestMatcher.matches(request);
}

Method attemptAuthentication

Declared

public abstract Authentication attemptAuthentication(HttpServletRequest request,HttpServletResponse response) throws AuthenticationException, IOException,ServletException;

Method Jdoc

实际执行身份认证。
实现应执行以下操作之一:

  1. 为认证成功对用户返回一个完整的认证令牌,表示认证成功。
  2. 返回null,表示身份认证正在进行中。在返回之前,实现应执行完过程中需要的任何额外工作。
  3. 如果身份验证过程失败,则抛出AuthenticationException。

Method unsuccessfulAuthentication

Declared

protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException

Method Jdoc

认证不成功的默认行为。

  1. 清理SecurityContextHolder。
  2. 将异常存储在Session会话中(如果它存在或allowSesssionCreation设置为true)
  3. 通知配置的RememberMeServices登陆失败。
  4. 将其他行为委托给AuthenticationFailureHandler。

Method Code

protected void unsuccessfulAuthentication(HttpServletRequest request,
        HttpServletResponse response, AuthenticationException failed)
        throws IOException, ServletException {
    //清理SecurityContextHolder。
    SecurityContextHolder.clearContext();

    if (logger.isDebugEnabled()) {
        logger.debug("Authentication request failed: " + failed.toString(), failed);
        logger.debug("Updated SecurityContextHolder to contain null Authentication");
        logger.debug("Delegating to authentication failure handler " + failureHandler);
    }

    //通知配置的RememberMeServices登陆失败。
    rememberMeServices.loginFail(request, response);

    //将其他行为委托给AuthenticationFailureHandler。
    failureHandler.onAuthenticationFailure(request, response, failed);
}

Method successfulAuthentication

Declared

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException

Method Jdoc

认证成功的默认行为。

  1. 在SecurityContextHolder中设置成功的Authentication对象。
  2. 通知已配置的RememberMeServices–登陆成功
  3. 通过配置的ApplicationEventPublisher触发InteractiveAuthenticationSuccessEvent事件
  4. 将其他行为委托给AuthenticationSuccessHandler。

Method Code

protected void successfulAuthentication(HttpServletRequest request,
        HttpServletResponse response, FilterChain chain, Authentication authResult)
        throws IOException, ServletException {

    if (logger.isDebugEnabled()) {
        logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
                + authResult);
    }
    
    //在SecurityContextHolder中设置成功的Authentication对象。
    SecurityContextHolder.getContext().setAuthentication(authResult);

    //通知已配置的RememberMeServices--登陆成功
    rememberMeServices.loginSuccess(request, response, authResult);

    // Fire event
    //通过配置的ApplicationEventPublisher触发InteractiveAuthenticationSuccessEvent事件
    if (this.eventPublisher != null) {
        eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
                authResult, this.getClass()));
    }

    //将其他行为委托给AuthenticationSuccessHandler。
    successHandler.onAuthenticationSuccess(request, response, authResult);
}
dengdeying
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
spring cloud2.0 eureka server spring security配置
07-12
Spring Security则是一个强大的安全框架,用于保护Web应用和API。 在Spring Cloud 2.0中,Eureka Server的安全配置主要是为了防止未经授权的客户端访问服务注册信息。以下是一些关键知识点: 1. **Eureka Server...
Spring Security 源码解析(一)AbstractAuthenticationProcessingFilter
weixin_33881041的博客
03-21 891
# 前言 最近在做 Spring OAuth2 登录,并在登录之后保存 Cookies。具体而言就是 Spring OAuth2 和 Spring Security 集成。Google一下竟然没有发现一种能满足我的要求。最终只有研究源码了。 有时间会画个 UML 图。 # 一些基础知识 Spring Security 验证身份的方式是利用 Filter,再加上 Htt...
SpringSecurity AbstractAuthenticationProcessingFilter
Claroja
03-22 782
1.AbstractAuthenticationProcessingFilter从HttpServletRequest中创建Authentication Authentication的类型根据AbstractAuthenticationProcessingFilter的子类决定,比如: 1)UsernamePasswordAuthenticationFilter 创建一个UsernamePasswordAuthenticationToken 所以如果遇到不能认证的Token就会抛出异常 2.Authent.
spring security oauth2——AbstractAuthenticationProcessingFilter
疯子也是猖狂
01-13 740
AbstractAuthenticationProcessingFilter的作用 abstractAuthenticationProcessingFilter的职责也就非常明确——处理所有HTTP Request和Response对象,并将其封装成AuthenticationMananger可以处理的Authentication。并且在身份验证成功或失败之后将对应的行为转换为HTTP的Response。同时还要处理一些Web特有的资源比如Session和Cookie。总结成一句话,就是替Authent
SpringSecurity系列 - 07 认证入口:AbstractAuthenticationProcessingFilter 过滤器
你今天真好看呀
09-14 2225
UsernamePasswordAuthenticationFilter 过滤器:SpringSecurity 中默认的是表单登录格式,即用户在表单中输入用户名和密码进行登录,登录参数的提取在 UsernamePasswordAuthenticationFilter 过滤器中完成,UsernamePasswordAuthenticationFilter 是AbstractAuthenticationProcessingFilter 针对使用用户名和密码进行身份认证而定制化的一个过滤器。
Spring SecurityAbstractAuthenticationProcessingFilter 源码解析
weixin_38982591的博客
05-27 5542
SpringSecuritySpring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的。 AbstractAuthenticationProcessingFilter 继承自 GenericFilterBean,而 GenericFilterBean 是 spring 框架中的过滤器类,实现了接口 javax.servlet.Filter。 public abstract class AbstractAuthentication.
详解Spring Security的Web应用和指纹登录实践
08-26
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理。它提供了一整套完善的权限控制机制,能够处理用户的认证(Authentication)和授权(Authorization)需求。在本文中,我们将深入探讨Spring ...
spring-security-web源码所需jar包
12-03
8. **spring-security-web-3.1.2.RELEASE.jar**:我们的主角,包含了处理Web安全的类和过滤器,如`FilterSecurityInterceptor`和`AbstractAuthenticationProcessingFilter`等。 9. **spring-tx-3.1.2.RELEASE.jar**...
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
AbstractAuthenticationProcessingFilter
热门推荐
凌晨12点,说出你的知心话
12-02 1万+
public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware { public void doFilter(ServletRequest req, Servl...
Spring Security小教程 Vol 3. 身份验证的入口-AbstractAuthenticationProcessingFilter
weixin_34352005的博客
03-25 3061
前言 结合上一期我们介绍的AuthenticationManager为入口的身份验证的核心模块,我们这次讨论的是为了使SpringSecuritySpring Web项目提供支持,作为验证请求入口的。 第三期 Authentication核心简介 本期的任务清单 AbstractAuthenticationProcessingFilter的依赖组件; AbstractAuthenticatio...
Spring Security认证流程
DoneSpeak的博客
02-05 869
前言 Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。 相关版本: java: jdk 8 spring-boot: 2.1.6.RELEASE 过滤器链和认证过程 一个认证过程,其实就是过滤器链上的一个绿色矩形Filter所要执行的过程。 基本的认证过程有三步骤: Filter拦截请求,生成一个未认证的Authentic...
源码解析:AbstractAuthenticationProcessingFilter
K10I
08-17 519
源码解析:AbstractAuthenticationProcessingFilter
超详解(源码)SpringSecurity的认证过程!!
qq_42682745的博客
10-11 3056
文章目录AbstractAuthenticationProcessingFilter1.UsernamePasswordAuthenticationFilter的创建2.attemptAuthentication()方法整个认证过程梳理:1. 一号选手UsernamePasswordAuthenticationFilter2.二号选手ProviderManager3.三号选手DaoAuthenticationProvider(主力部队)4.四号选手SecurityContextPersistenceFilt
spring-security设计及集成
john dong
08-31 602
类设计 集成 理清Spring Security的定制点后,就可以在系统内部集成Spring Security了。 使用预认证的方式,以适配第三方认证系统。AbstractPreAuthenticatedProcessingFilter提供了预认证的扩展点,基于该抽象类实现一个自定义认证过滤器。 public class MyPreAuthFilter extends AbstractPreAuthenticatedProcessingFilter { @Override protec
Spring Security 关键的几个Filter(上)
chitiguan0536的博客
12-05 452
虽然Spring Security有很多的拦截器,但是关键的拦截器其实并不多,本人通过查看源码和参照网上其他人的研究成功,大概总结出核心的Filter有如下几个(由于现在流行jwt格式的token认证,所以就不介绍session那块了)。 SecurityContextPersist...
盘点认证框架 : SpringSecurity Filter 篇
black-ant
08-03 596
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 一 . 前言 上一篇聊了聊 Secutity 的基础 , 这一篇我们聊一聊 S
全套Spring Security入门到项目实战课程
最新发布
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 Spring SecuritySpring集成 Spring Security最佳实践 Spring Security安全漏洞与防范

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值