文章目录
项目来源GIT
1. Security 登录验证
自带案例均继承与 GenericFilterBean
Class | 作用 |
---|---|
ConcurrentSessionFilter | 并发会话处理包所需的过滤器 |
AnonymousAuthenticationFilter | 检测SecurityContextHolder中有没有Authentication对象,并在需要时填充一个。 详细说明 ——AnonymousAuthenticationFilter如何初始化 |
FilterChainProxy | 存放过滤器链 |
SecurityContextHolderAwareRequestFilter | 包装器,针对ServletRequest进行一次包装,使得request具有更加丰富的API |
SecurityContextPersistenceFilter | 在请求之前讲网站获取到的信息填充到SecurityContextHolder一旦请求完成并清除上下文持有者。换句话说,SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从session中获取SecurityContext,然后放到上下文中,之后的filter大多依赖这个来获取登录态。其主要是通过HttpSessionSecurityContextRepository来存取的。更详细的说明 |
ExceptionTranslationFilter | 提供了Java异常与HTTP响应。它只与维护用户界面有关。这个过滤器不执行任何实际的安全性强制措施更多介绍 |
DigestAuthenticationFilter | 处理HTTP请求的摘要授权标头,然后将结果放入SecurityContextHolder |
RequestCacheAwareFilter | 如果一个请求被缓存并且与请求中的请求匹配,则负责重构保存的请求, 提取请求缓存中缓存的请求1、请求缓存在安全机制启动时指定2、请求写入缓存在其他地方完成3、典型应用场景a 用户请求保护的页面, b 系统引导用户完成登录认证, c 然后自动跳转到到用户最初请求页面。更多请求缓存介绍 |
UsernamePasswordAuthenticationFilter | 检测用户名/密码表单登录认证请求并作相应认证处理: 1、session管理,比如为新登录用户创建新session(session fixation防护)和设置新的csrf token等2、经过完全认证的Authentication对象设置到SecurityContextHolder中的SecurityContext上;3、发布登录认证成功事件InteractiveAuthenticationSuccessEvent4、登录认证成功时的Remember Me处理5、登录认证成功时的页面跳转 |
DefaultLoginPageGeneratingFilter | 配置开发使用的登录页面,更多介绍 |
SessionManagementFilter | 该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。更多介绍、源码注解 |
LogoutFilter | 检测用户退出登录请求并做相应退出登录处理 |
RememberMeAuthenticationFilter | 针对Remember Me登录认证机制的处理逻辑,记住我 |
ChannelProcessingFilter | ChannelProcessingFilter决定的是web请求的通道,即必须是http或https或无要求 |
DefaultLoginPageGeneratingFilter | 生成缺省的登录页面 |
RequestAttributeAuthenticationFilter | 一个简单的预认证过滤器,该过滤器从请求属性中获取用户名,用于SSO(单点登录)系统(例如 Stanford WebAuth或 Shibboleth)。与大多数预身份验证的方案一样,必须正确设置外部身份验证系统,因为此过滤器不进行任何身份验证。该属性principalEnvironmentVariable是包含用户名的请求属性的名称。为了与WebAuth和Shibboleth兼容,默认为“ REMOTE_USER”。如果请求中缺少环境变量, getPreAuthenticatedPrincipal将引发异常。您可以通过设置exceptionIfVariableMissing属性来覆盖此行为。 |
更多介绍 | 点击前往 |
// 代码有些重复,将UsernamePasswordAuthenticationFilter中attemptAuthentication方法代码拷贝到此处,没必要
// 支持多种Content-Type的类型请求
if (request.getContentType().contains(MediaType.APPLICATION_JSON_VALUE)
|| request.getContentType().contains(MediaType.APPLICATION_JSON_UTF8_VALUE)) {
Map<String, String> loginData = new HashMap<>();
try {
loginData = new ObjectMapper().readValue(request.getInputStream(), Map.class);
} catch (IOException e) {
}finally {
String code = loginData.get("code");
checkCode(response, code, verify_code);
}
String username = loginData.get(getUsernameParameter());
String password = loginData.get(getPasswordParameter(