spring security 基于FilterSecurityInterceptor过滤链中增加SSO单点登录

最新推荐文章于 2022-11-03 09:35:48 发布
最新推荐文章于 2022-11-03 09:35:48 发布
阅读量227 收藏
点赞数
文章标签: spring security sso

 

目前我们的项目中使用基于基于FilterSecurityInterceptor过滤链对系统资web资源进行保护,升级ss3后发现原来使用的filter的SSO登录方式不再适用。

昨天研究FilterSecurityInterceptor源码发现其实这个实现其实很简单,发出来分享下。

分析:

我们一般在过滤链时使用实现AbstractSecurityInterceptor构成整个链,AbstractSecurityInterceptor的机制可以分为几个步骤:

1、事前评估--检查请求资源是否为受保护资源;

2、查找认证--当前安全上下文中是否是通过安全认证的用户;

3、认证用户--查找认证时认证失败会抛出异常来重新认证用户;

4、实施投票--获取认证用户后检查是否有资源权限。

...

原来基于表单提交认证的方式就是在认证失败后跳转认证页面进行用户认证的,我们现在要加入SSO方式直接在认证用户阶段将SSO用户加入即可。

根据源码,认证用户环节在AbstractSecurityInterceptor事前评估内部方法中,其主要访问对象为安全上下文中的Authentication对象。

因此我们在事前评估前将安全上下文中的Authentication对象替换为SSO用户。实现如下:

 

public void invoke(FilterInvocation filter) throws IOException, ServletException {
        // 加入对SSO方式登录的判断,并进行SSO登录
     Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication.getPrincipal()==null||"anonymousUser".equals(authentication.getPrincipal())) {
         String ssoUser = filter.getHttpRequest().getHeader("iv-user");
String ssoPassword = filter.getHttpRequest().getHeader("iv-password");
         if(StringUtils.isNotBlank(ssoUser)){
         authentication = new UsernamePasswordAuthenticationToken(ssoUser,  ssoPassword);
             SecurityContextHolder.getContext().setAuthentication(authentication);
         }
        }
        InterceptorStatusToken token = super.beforeInvocation(filter);
        filter.getChain().doFilter(filter.getRequest(), filter.getResponse());
        super.afterInvocation(token, null);
    }

增加这个处理后只需在用户认证的authenticationManager认证判断通过验证。

PS:这里只是一个简单的实现,真实环境中这样的实现是不安全的,在SSO方式登录判断环节需增加一系列的安全判断多次握手匹配。

 

iteye_9219
关注
SpringSecurity OAuth实现单点登录源码解析-彻彻底底
程序员劝退师的博客
11-17 309
前言 这篇文章是建立在对SpringSecuritySpringSecurity OAuth 、OAuth2.0协议、SSO单点登录流程有所了解的基础上,如果这部分不了解的话,源码分析起来就会比较处理,这个流程都稀里糊涂的,这篇文章会从一个未登录授权的请求,从SpringBoot集成的Tomcat一步一步到SpringSecurity再到SpringSecurity OAuth整个授权过程和单点登录的源码流程分析 环境准备 一个完整流程的SSO单点登录项目! 项目clone下来后项目结构如下 这里建议不
(原创)springboot+springsecurity+redis+jwt+vue+iframe 做一个前后端分离的SSO单点登陆鉴权系统 类似淘宝天猫单点登陆
热门推荐
xuexishaguo的博客
12-20 3万+
1 前言 单点登陆系统,简单说就是用户登陆了www.aaa.com之后,再登陆www.bbb.com,就不需要重新输入用户名密码进行登陆,中间会有一个www.sso.com的验证中心。这点类似于淘宝 ,天猫,当然淘宝的验证中心域名是login.taobao.com,和www.taobao.com是同一个域名。要做到无缝登陆,就需要iframe这个技术,淘宝天猫也是用的iframe,iframe还...
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍了Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity3.0.5 filterSecurityInterceptor 使用和配置
rabbit0708的专栏
06-20 3247
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     xmlns:aop="http://www.springframework.org/schema/aop"     xmlns:context="http://www.springframework.org/schema/context"     xmlns:jdbc="htt
Spring Security源码分析十二:Spring Security OAuth2基于JWT实现单点登录
郑龙飞
01-25 4967
单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性,当用户登录,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指,只需
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3596
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
浅析Spring Security 的认证过程及相关过滤
weixin_34292924的博客
10-15 277
原文博客地址: pjmike的博客 前言 上一篇文章浅析Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security的认证过程。 Spring Security 的核心之一就是它的过滤,我们就从它的过滤入手,下图是Spring Security 过滤的一个执行过程,本文将依照该过程来逐...
Spring Security安全框架 入门及基于微服务单点登录认证】
qq_46652775的博客
03-17 5523
文章目录前言一、Spring Security的概念二、Spring Security的实现原理1.过滤的各个进行说明:2.简易流程概述:3. 具体认证流程三 、springsecurity使用redis实现单点登录四 、测试认证服务器的功能五、认证服务器也可以是资源服务器 前言 Spring Security是一个当前流行的安全框架,它不仅实现了访问资源(crud)权限的控制,还可以基于它可以实现单点登陆认证业务. 本文主要介绍Spring Security的概念,认证及权限控制原理,以及单点登录的实
SpringSecurity以及SSO
YangzaiLeHeHe的博客
04-13 833
文章目录一、DelegatingFilterProxy二、SpringSecurity三、使用SpringSecurity集成CAS2、常用的几种鉴权方式:1、MspCasAuthenticationFilter【服务之间调用】2、PseudoCasAuthenticationFilter【服务间接口鉴权】3、SystemSsoAuthenticationFilter【给第三方厂商用】4、OAuth2ClientAuthenticationProcessingFilter【Oauth2.0认证 多节点服务,
基于springsecurity的用户角色权限
08-24
2. **OAuth2集成**:添加OAuth2支持,允许第三方服务的单点登录(SSO)。 3. **RESTful API安全**:扩展配置以保护REST API,可能需要处理JSON Web Tokens(JWT)。 4. **角色和权限的动态管理**:实现一个后台系统,...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring-boot添加拦截器---------Interceptor进行认证验证
最新发布
我是一只蘑菇17的博客
11-03 685
void afterCompletion()该方法也是需要当前对应的Interceptor的preHandle方法的返回值为true才会执行,该方法将在整个请求结束之后,也就是在DispatcherServlet 渲染了对应的视图之后执行,也就是页面已经渲染完毕后调用此方法。找了本SpringBoot应用书籍,直接看书有的候看的有点晕,就索性结合着博客学习,感觉博客里的兄弟搞的挺好的,通俗易懂。比如在登入一个页面,如果要求用户密码、权限等的验证,就可以用自定义的拦截器进行密码验证和权限限制。
spring boot security FilterSecurityInterceptor 使用要点记录
qushapos的博客
12-10 1万+
spring security FilterSecurityInterceptor 使用要点记录 FilterSecurityInterceptor是一个方法级的权限过滤器, 基本位于过滤的最底部 该过滤器用于控制method级别的权限控制. 官方提供了2种默认的方法权限控制写法 一种是在方法上加注释实现, 另一种是在configure配置中通过 @Secured("ROLE_ADMIN")...
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 930
FilterSecurityInterceptor.doFilter中调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
安全进入过入SecurityFilter
okkeqin的专栏
10-11 1186
Web.xml     securityfilter             com.XXXX.oss.commons.filter.SecurityFilter         securityfilter     *.jsp     securityfilter     *.do SecurityFilter类: package com.XXXX
spring boot使用监听和拦截器实现用户单点登录
maybe的博客
06-13 5891
这两天突然想做一个功能,让用户在 一个地点登录之后,另一个地方再次登录之后,把之前的用户挤掉,也就是单点登录。项目spring boot,使用监听和拦截器写的。先说一下思路:1,用户1登录,创建session,将用户信息放入session,并以username和session作为键值对,放入一个map。以供后续比对。用户2再次登录,踢掉用户1.这里由于操作都是session,一个是session的...
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security过滤链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
深入理解Spring Security 3.2过滤配置
- 对于`/**`的过滤,配置则略有不同,使用了有状态的安全上下文持久化,以及表单登录过滤器,同样包含异常处理和安全拦截器。这表明对于所有其他请求,Spring Security会采用更为全面的身份验证和授权策略。 4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值