spring-security(十八)核心Filter-FilterSecurityInterceptor

最新推荐文章于 2023-05-28 17:03:19 发布
最新推荐文章于 2023-05-28 17:03:19 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyilin_henu/article/details/84916639
版权
前言:
当用spring security时,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。
和这个类相关的对象如下图所示
[img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-3202-9103-503dcb506b64.png[/img]
一、FilterSecurityInterceptor功能和属性
1.FilterSecurityInterceptor的主要职责是处理http资源的安全性。从上面的关系图中,可以知道这个类中主要有以下属性
[list]
[*]AuthenticationManager-认证
[*]AccessDecisionManager-鉴权
[*]SecurityMetadataSource-获取属性列表
[*]RunAsManager-替换认证用户
[*]AfterInvocationManager-鉴权完成后续处理
[/list]
上面的属性会在下面三个主要的方法中被使用到
[list]
[*]beforeInvocation
[*]finallyInvocation
[*]afterInvocation
[/list]
1.1.beforeInvocation方法
这个方法是最主要的方法,我们的权限判断逻辑主要在这个方法里进行,主要执行下面几步逻辑
[list]
[*]调用SecurityMetadataSource(实际执行时spring boot为我们装配的实例是ExpressionBasedFilterInvocationSecurityMetadataSource,可以通过FilterSecurityInterceptor.setSecurityMetadataSource方法修改)来获取匹配当前请求的ConfigAttribute列表,如果获取的列表为null并且rejectPublicInvocations属性配置的是true(不允许存在不受保护的调用),则直接抛出异常,否则鉴权处理结束,如果不为null,执行下一步,因为ExpressionBasedFilterInvocationSecurityMetadataSource在获取当前request相匹配的ConfigAttribute列表时是按照定义的顺序来查找的,一旦找到匹配的就直接返回,所有越具体的匹配规则应配置的越靠前
[*]判断SecurityContextHolder中是否包含Authentication对象,如果没有,就是说程序执行到这个鉴权的filter了却还没有认证过,直接抛出AuthenticationException异常,如果有Authentication,执行下一步
[*]判断alwaysReauthenticate的值,如果设置成true,即所有请求在鉴权前都需要重新认证,则会调用AuthenticationManager(实际执行时是ProviderManager实例)的authenticate方法,进行具体的再认证过程,并把认证结果放入SecurityContextHolder中。
[*]接着调用AccessDecisionManager(默认情况下是AffirmativeBased实例)decide方法,传入Authentication对象、当前的安全对象、以及对应的ConfigAttribute列表开始鉴权,在鉴权过程中如果发生AccessDeniedException,发布鉴权异常事件并抛出异常
[*]如果配置了RunAsManager(在有些特殊场合下,如我们的业务层的某个方法中需要访问外部系统,需要我们提供一个不同的证书,我们可以配置这个RunAsManager,将当前认证过的用户替换成外部系统需要的认证者,之后spring security会自动把安全证书传递到外部系统中,默认是NullRunAsManager即不需要转换用户),则对用户进行转换,将转换后的用户存入SecurityContextHolder中,放回一个InterceptorStatusToken,否则直接返回InterceptorStatusToken对象
[/list]
另外说下FilterSecurityInterceptor的securityMetadataSource属性实际定义的是SecurityMetadataSource的子类FilterInvocationSecurityMetadataSource,这个接口是一个标记接口,里面没有方法,仅仅说明用这个接口的实现类知道传入的安全对象是一个FilterInvocation,并能从里面获取到request, 

public Collection<ConfigAttribute> getAttributes(Object object) {
  
  final HttpServletRequest request = ((FilterInvocation) object).getRequest();
  for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry:requestMap
      .entrySet()) {
最低0.47元/天 解锁文章
高枫-henu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring boot security FilterSecurityInterceptor 使用要点记录
热门推荐
qushapos的博客
12-10 1万+
spring security FilterSecurityInterceptor 使用要点记录 FilterSecurityInterceptor是一个方法级的权限过滤器, 基本位于过滤链的最底部 该过滤器用于控制method级别的权限控制. 官方提供了2种默认的方法权限控制写法 一种是在方法上加注释实现, 另一种是在configure配置中通过 @Secured("ROLE_ADMIN")...
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 889
FilterSecurityInterceptor.doFilter中调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2900
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2389
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
Spring Security3源码分析(10)-FilterSecurityInterceptor分析
Benjamin
09-11 1933
FilterSecurityInterceptor过滤器对应的类路径为  org.springframework.security.web.access.intercept.FilterSecurityInterceptor  这个filterfilterchain中比较复杂,也是比较核心的过滤器,主要负责授权的工作  在看这个filter源码之前,先来看看spring是如何构造filte
Spring Security如何在Servlet中执行
08-19
Spring Security中,这个Bean通常是`FilterSecurityInterceptor`或其他安全相关的Filter。 3. **FilterChainProxy**: `FilterChainProxy`是Spring Security核心组件之一,它扮演着Filter Chain的调度者角色。...
spring security 参考手册中文版
02-01
核心 - spring-security-core.jar 25 远程处理 - spring-security-remoting.jar 25 Web - spring-security-web.jar 25 配置 - spring-security-config.jar 26 LDAP - spring-security-ldap.jar 26 ACL - spring-...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Spring Security-3.0.1 中文官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
SpringSecurity应用指南
10-10
Spring Security核心在于过滤器链,其中`DelegatingFilterProxy`扮演关键角色。这个过滤器代理了其他所有过滤器,并必须在`web.xml`中声明,名为`springSecurityFilterChain`。`DelegatingFilterProxy`按照特定...
spring security 各个filter的主要功能
qq_29415357的博客
03-21 1004
spring security 各个filter的主要功能 spring security是一个安全框架,主要实现登录认证、权限鉴定、session管理等工作。其把工作委托给springsecurityFilterChain来操作,大约有14个Filter。 1、WebAsyncManagerIntegrationFilter: 提供了对securityContext和WebAsyncManager的集成,使其支持把SecurityContext设置基于ThreadLocal的SecurityContext
spring security 3 -- 自定义过滤链
qq:489366879
11-08 297
先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的 &lt;!-- spring security --&gt; &lt;filter&gt; &lt;filter-name&gt;securityFilterChainProxy&lt;/filter-name&gt; &lt;filter-class&gt; ...
SpringSecurity中出现的问题 java.lang.IllegalStateException
yhlly_的博客
07-14 4972
org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/web/configuration/WebSecurityConfiguration.class]: Bean instan
Spring Security技术栈学习笔记(五)使用FilterInterceptor和AOP拦截REST服务
脚踏实地,慢慢来
04-08 7666
一般情况,在访问RESTful风格的API之前,可以对访问行为进行拦截,并做一些逻辑处理,本文主要介绍三种拦截方式,分别是:过滤器Filter、拦截器Interceptor以及面向切面的拦截方式AOP。 一、使用过滤器Filter进行拦截 使用过滤器进行拦截主要有两种方式,第一种是将自定义的拦截器标注为Spring的Bean,在Spring Boot应用就可以对RESTful风格的...
Spring Security AuthorizationFilter代替FilterSecurityInterceptor重大变更逻辑
tof
02-09 972
spring security AuthorizationFilter FilterSecurityInterceptor
spring security
weixin_60223449的博客
07-17 465
Spring是非常流行和成功的Java应用开发框架,Spring Security正是Spring家族中的成员。Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。“Spring Security 开始于 2003
异常记录-4
weekeight
04-16 618
org.springframework.beans.BeanInstantiationException
spring security每个filter的作用和配置顺序
04-21 1667
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xmlns:s
spring security使用filter
最新发布
08-15
Spring Security 使用 Filter 来处理身份验证和授权。它提供了一组 Filter,用于拦截和处理请求。 在 Spring Security 中,最重要的 Filter 是 `FilterChainProxy`。它是一个特殊的 Filter,负责管理一组其他 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值