AnonymousAuthenticationFilter详解

最新推荐文章于 2024-06-09 21:33:06 发布
最新推荐文章于 2024-06-09 21:33:06 发布
阅读量1.4k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51945027/article/details/119608249
版权

匿名认证过滤器,可能有人会想:匿名了还有身份?我自己对于Anonymous匿名身份的理解是Spirng Security为了整体逻辑的统一性,即使是未通过认证的用户,也给予了一个匿名身份。而AnonymousAuthenticationFilter该过滤器的位置也是非常的科学的,它位于常用的身份认证过滤器(如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter)之后,意味着只有在上述身份过滤器执行完毕后,SecurityContext依旧没有用户信息,AnonymousAuthenticationFilter该过滤器才会有意义—-基于用户一个匿名身份。

源码分析

org.springframework.security.web.authentication.AnonymousAuthenticationFilter

public class AnonymousAuthenticationFilter extends GenericFilterBean implements
      InitializingBean {

   private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();
   private String key;
   private Object principal;
   private List<GrantedAuthority> authorities;


   //自动创建一个"anonymousUser"的匿名用户,其具有ANONYMOUS角色
   public AnonymousAuthenticationFilter(String key) {
      this(key, "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
   }

   /**
    *
    * @param key key用来识别该过滤器创建的身份
    * @param principal principal代表匿名用户的身份
    * @param authorities authorities代表匿名用户的权限集合
    */
   public AnonymousAuthenticationFilter(String key, Object principal,
         List<GrantedAuthority> authorities) {
      Assert.hasLength(key, "key cannot be null or empty");
      Assert.notNull(principal, "Anonymous authentication principal must be set");
      Assert.notNull(authorities, "Anonymous authorities must be set");
      this.key = key;
      this.principal = principal;
      this.authorities = authorities;
   }

   ...

   public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
         throws IOException, ServletException {
      //过滤器链都执行到匿名认证过滤器这儿了还没有身份信息,塞一个匿名身份进去
      if (SecurityContextHolder.getContext().getAuthentication() == null) {
         SecurityContextHolder.getContext().setAuthentication(
               createAuthentication((HttpServletRequest) req));
      }
      chain.doFilter(req, res);
   }

   protected Authentication createAuthentication(HttpServletRequest request) {
     //创建一个AnonymousAuthenticationToken
      AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key,
            principal, authorities);
      auth.setDetails(authenticationDetailsSource.buildDetails(request));

      return auth;
   }
   ...
}

其实对比AnonymousAuthenticationFilter和UsernamePasswordAuthenticationFilter就可以发现一些门道了,UsernamePasswordAuthenticationToken对应AnonymousAuthenticationToken,他们都是Authentication的实现类,而Authentication则是被SecurityContextHolder(SecurityContext)持有的,一切都被串联在了一起。

「已注销」
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity使用配置详解
03-24
- `AnonymousAuthenticationFilter`:为未认证的用户提供匿名身份。 - `ExceptionTranslationFilter`:处理安全相关的异常。 - `FilterSecurityInterceptor`:执行访问决策。 4. **配置方式**: Spring ...
springSecurity -------AnonymousAuthenticationFilter
wangtao753的博客
06-13 1939
描述:AnonymousAuthenticationFilter:springsecurity在配置一些url可在未登录未授权的时候默认给他授权通过,可在配置文件中指定一些url赋予permitAll()方法即可使用该过滤器,接下来我们从源码的角度来看看这个过滤器具体是怎么工作的 AnonymousAuthenticationFilter public class AnonymousAuthenticationFilter extends GenericFilterBean implements Initi
[10] AnonymousAuthenticationFilter
热门推荐
既无风雨也无晴
03-16 2万+
AnonymousAuthenticationFilter 介绍 该过滤器功能比较简单,请求经过过滤器时,判断一下SecurityContext上下文中身份认证信息是否为null,如果为null,则创建一个匿名的身份认证信息并放到SecurityContext上下文环境中。 代码分析 AnonymousAuthenticationFilter关键代码如下: public void doFilt...
springboot 3 oauth2认证this.authorizationService.save(authorization)生成token报错异常
最新发布
qq_21480329的博客
06-09 368
springboot 3 oauth2认证this.authorizationService.save(authorization)生成token报错异常
springsecurity 源码解读之 AnonymousAuthenticationFilter
weixin_33841722的博客
04-03 721
我们知道springsecutity 是通过一系列的 过滤器实现的,我们可以看看这系列的过滤器到底长成什么样子呢? 一堆过滤器,这个过滤器的设计设计上是 责任链设计模式。 这里我们可以看到有一个AnonymousAuthenticationFilter 过滤器。 顾名思义我们知道这个是一个叫 匿名登录人过滤器,他的作用是什么呢? 我们看看代码 ,他做了什么? if (apply...
12、spring security拦截器之AnonymousAuthenticationFilter
u012153127的博客
06-26 881
AnonymousAuthenticationFilter:如果当前安全上下文的Authentication为空,则创建一个匿名的Authentication用户 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException //判断SecurityContext中的Authentication是否为空 i
浅析Spring Security 的认证过程及相关过滤器
qq_44005305的博客
02-09 419
上一篇文章浅析Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security的认证过程。Spring Security 的核心之一就是它的过滤器链,我们就从它的过滤器链入手,下图是Spring Security 过滤器链的一个执行过程,本文将依照该过程来逐步的剖析其认证过程。
Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析
Benjamin
09-11 1416
AnonymousAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.AnonymousAuthenticationFilter  AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAu
SpringSecurity应用
08-18
**Spring Security 应用详解** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。它提供了全面的安全解决方案,包括登录、授权、会话管理以及防止常见攻击等功能...
弹簧安全
02-16
《Spring Security与JWT详解》 在Java开发领域,Spring Security是一个强大的安全管理框架,它为Web应用程序提供了全面的安全性服务,包括认证、授权以及会话管理等。JWT(JSON Web Token)则是一种轻量级的身份...
Spring Security常用过滤器实例解析
08-24
AnonymousAuthenticationFilter 负责创建一个匿名用户存入到 SecurityContextHolder 中, spring security 为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。 13. org.springframework.security...
SpringBoot_SpringSecurity-源码.rar
10-10
在源码分析中,你可能会看到SpringSecurity如何利用过滤器链来处理HTTP请求,如`UsernamePasswordAuthenticationFilter`用于处理登录请求,`AnonymousAuthenticationFilter`确保未认证用户默认有一个匿名角色,还有`...
Spring Security Web 5.1.2 源码解析 -- AnonymousAuthenticationFilter
Details Inside Spring
12-08 900
概述 此过滤器过滤请求,检测SecurityContextHolder中是否存在Authentication对象,如果不存在,说明 用户尚未登录,此时为其提供一个匿名Authentication对象:AnonymousAuthentication。 注意:在整个请求处理的开始,无论当前请求所对应的session中用户是否已经登录,SecurityContextPersistenceFilter ...
匿名认证(Anonymous Authentication
呜呼哈
04-05 4239
通常认为采用“默认拒绝”是一种良好的安全实践,在这种情况下,您可以明确指定允许的内容,并禁止其他内容。定义未经身份验证的用户可以访问的内容也是类似的情况,特别是对于 web 应用程序。许多站点要求用户必须对除了一些 url (例如主页和登录页面)以外的任何内容进行身份验证。在这种情况下,为这些特定 url 定义访问配置属性比为每个安全资源定义访问配置属性更容易。换句话说,有时候说 role_something 是默认需要的,并且只允许该规则的某些异常,比如用于应用程序的登录、注销和主页。您还可以从过滤器链中
记springSecurity报错:AnonymousAuthenticationToken cannot be cast to UsernamePasswordAuthenticationToken
m0_47743175的博客
11-24 3686
记录 java.lang.String cannot be cast to org.example.bean.LoginUser 或 org.springframework.security.authentication.AnonymousAuthenticationToken cannot be cast to org.springframework.security.authentication.UsernamePasswordAuthenticationToken 报错问题
SpringSecurity框架——认证流程介绍,实战代码
zzztimes的博客
03-17 703
SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。因为是过滤器链的工作形式,所以Security的工作流程是环环相扣的。自定义UsernamePasswordAuthenticationFilter第一个过滤器继承AbstractAuthenticationProcessingFilter类,重写attemptAuthentication()方法,通常这里会在这里对验证码,请求方法类型等进行合法性校验,最后的返回值是Authenticati......
SpringSecurity3.1.2控制一个账户同时只能登录一次
liufeng520的专栏
10-30 1万+
网上看了很多资料,发现多多少少都有一些不足(至少我在使用的时候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同时只能登录一次的配置实现。   网上很多配置是这样的,在标签中加入concurrency-control配置,设置max-sessions=1。 Xml
11. pring Security 匿名认证
一个人的人生
11-29 999
匿名认证 目录 1.1     配置 1.2     AuthenticationTrustResolver          对于匿名访问的用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se
聊一聊源码学习,AnonymousAuthenticationFilter如何初始化
kiranet的专栏
09-08 2927
关于Spring Security的过滤器分析,在kirito的https://mp.weixin.qq.com/s?__biz=MzUzNTY4NTYxMA==&amp;mid=2247484293&amp;idx=2&amp;sn=62ca751be311ba6ddcdf2790bd0c4ac6&amp;chksm=fa80f300cdf77a16c7f0e38200dcc3fe8010bbc...
springsecurity过滤器详解
09-20
Spring Security是一个用于保护Java应用程序的框架,它提供了一系列过滤器来处理安全相关的任务。在Spring Security中,过滤器被组织成一个过滤器链(Filter Chain),它根据配置的顺序依次执行。以下是一些常用的Spring Security过滤器及其功能: 1. SecurityContextPersistenceFilter:用于在请求处理期间存储和检索SecurityContext,即当前用户的安全上下文。 2. LogoutFilter:处理用户注销请求,并清除当前用户的认证信息。 3. UsernamePasswordAuthenticationFilter:用于处理基于用户名和密码的认证请求。 4. ConcurrentSessionFilter:用于处理并发会话控制,限制同一用户的同时登录数。 5. BasicAuthenticationFilter:用于处理基于HTTP基本身份验证的认证请求。 6. RequestCacheAwareFilter:用于缓存请求,以便在重定向后重新发送请求。 7. SecurityContextHolderAwareRequestFilter:用于包装请求,使其能够识别特定的安全上下文。 8. AnonymousAuthenticationFilter:用于在请求上下文中添加匿名用户的认证信息。 9. SessionManagementFilter:用于处理会话管理,例如过期检查、并发控制等。 10. ExceptionTranslationFilter:用于捕获并处理异常,将其转换为合适的响应。 11. FilterSecurityInterceptor:用于实施访问控制,检查用户是否具有访问资源的权限。 这些过滤器可以根据具体的安全需求进行配置和组合,以提供所需的安全功能。通过指定不同的过滤器顺序、添加自定义过滤器或替换默认过滤器,您可以灵活地定制Spring Security的过滤器链。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值