Spring securty<七> 认证--匿名用户拦截器源码分析

最新推荐文章于 2024-03-24 12:56:54 发布
最新推荐文章于 2024-03-24 12:56:54 发布
阅读量1.2k 收藏 3
点赞数 2
分类专栏: Spring securty 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28410283/article/details/120411881
版权

Spring securty<七> 认证–匿名用户拦截器源码分析

文章目录


本地项目的基础环境

环境版本
jdk1.8.0_201
maven3.6.0
Spring-boot2.3.3.RELEASE

1、简介

spring security是一个提供身份验证、授权和防止常见攻击的框架,它对命令式和反应式应用程序都有一流的支持,是保护基于Spring的应用程序的事实上的标准。详细可以参看《spring security官网》

《Spring securty<一> 简介入门案例》

《Spring securty<二> 配置项详解》

《Spring securty<三> 认证案例代码》

《Spring securty<四> 认证的源码解析》

《Spring securty<五> 认证–帐号/邮箱/手机号+密码》

《Spring securty<六> 认证–手机号+验证码》

2、特性

2.1、身份验证

springsecurity作为身份验证,身份验证是验证试图访问特定资源的用户的身份的方法。对用户进行身份验证的常见方法是要求用户输入用户名和密码。一旦执行身份验证,我们就知道身份并可以执行授权。

2.2、资源保护,防止跨站点请求伪造(CSRF)

springsecurity提供了针对常见漏洞利用的保护。只要可能,默认情况下都会启用保护。

3、鉴权说明

前面的文章中,我们一直在说的是认证这块的事,安全框架上,认证是一个比较复杂的事,认证也是基于拦截器链,来实现的;鉴权当然也一样,也是基于拦截器链实现的;

下面的图中,是基于上一篇的项目badger-spring-security-5来的;

当上述的认证的拦截器,没有异常的时候,就会走到上图中,下标为8的,匿名用户的拦截器;也就是鉴权的开始;这篇文章,也是主要讲解下这块的源码;

4、匿名用户拦截器源码分析

4.1、源码明细

package org.springframework.security.web.authentication;

import java.io.IOException;
import java.util.*;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.InitializingBean;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.util.Assert;
import org.springframework.web.filter.GenericFilterBean;

public class AnonymousAuthenticationFilter extends GenericFilterBean implements
		InitializingBean {

	private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();
	private String key;
	private Object principal;
	private List<GrantedAuthority> authorities;

	//构造方法
	public AnonymousAuthenticationFilter(String key) {
		this(key, "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
	}
	//构造方法
	public AnonymousAuthenticationFilter(String key, Object principal,
			List<GrantedAuthority> authorities) {
		Assert.hasLength(key, "key cannot be null or empty");
		Assert.notNull(principal, "Anonymous authentication principal must be set");
		Assert.notNull(authorities, "Anonymous authorities must be set");
		this.key = key;
		this.principal = principal;
		this.authorities = authorities;
	}

	@Override
	public void afterPropertiesSet() {
		Assert.hasLength(key, "key must have length");
		Assert.notNull(principal, "Anonymous authentication principal must be set");
		Assert.notNull(authorities, "Anonymous authorities must be set");
	}

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			SecurityContextHolder.getContext().setAuthentication(
					createAuthentication((HttpServletRequest) req));

			if (logger.isDebugEnabled()) {
				logger.debug("Populated SecurityContextHolder with anonymous token: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
			}
		}
		else {
			if (logger.isDebugEnabled()) {
				logger.debug("SecurityContextHolder not populated with anonymous token, as it already contained: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
			}
		}

		chain.doFilter(req, res);
	}

	protected Authentication createAuthentication(HttpServletRequest request) {
		AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key,
				principal, authorities);
		auth.setDetails(authenticationDetailsSource.buildDetails(request));

		return auth;
	}

	public void setAuthenticationDetailsSource(
			AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource) {
		Assert.notNull(authenticationDetailsSource,
				"AuthenticationDetailsSource required");
		this.authenticationDetailsSource = authenticationDetailsSource;
	}

	public Object getPrincipal() {
		return principal;
	}

	public List<GrantedAuthority> getAuthorities() {
		return authorities;
	}
}

4.2、构造方法

初始化源码

org.springframework.security.config.annotation.web.configurers.AnonymousConfigurer.class类中的init方法

	private Object principal = "anonymousUser";	
	private List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS");
	@Override
	public void init(H http) {
		if (authenticationProvider == null) {
			authenticationProvider = new AnonymousAuthenticationProvider(getKey());
		}
		if (authenticationFilter == null) {
			authenticationFilter = new AnonymousAuthenticationFilter(getKey(), principal,
					authorities);
		}
		authenticationProvider = postProcess(authenticationProvider);
		http.authenticationProvider(authenticationProvider);
	}

	private String getKey() {
		if (key == null) {
			key = UUID.randomUUID().toString();
		}
		return key;
	}

上述可以看到,有三个参数:

  • key:启动的时候,默认一个随机uuid;
  • principal:可以理解成用户名anonymousUser
  • authorities:默认权限ROLE_ANONYMOUS

4.3、拦截器的执行方法

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		//当前会话中,认证的对象为空
		if (SecurityContextHolder.getContext().getAuthentication() == null) {
            //把当前会话,认证成匿名用户
			SecurityContextHolder.getContext().setAuthentication(
					createAuthentication((HttpServletRequest) req));

			if (logger.isDebugEnabled()) {
				logger.debug("Populated SecurityContextHolder with anonymous token: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
			}
		}
		else {
			if (logger.isDebugEnabled()) {
				logger.debug("SecurityContextHolder not populated with anonymous token, as it already contained: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
			}
		}

		chain.doFilter(req, res);
	}

	protected Authentication createAuthentication(HttpServletRequest request) {
		//创建一个匿名用户的token对象
		AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key,
				principal, authorities);
		auth.setDetails(authenticationDetailsSource.buildDetails(request));

		return auth;
	}

代码比较简单,步骤也是中文注释了;其实就是,当用户未登录的时候,给当前访问者一个匿名用户,权限是ROLE_ANONYMOUS

这样,每个用户进来,无论是登录或者未登录的,上下文对象中SecurityContextHolder.getContext(),都有用户,并且都有权限信息;

匿名用户,在之后的鉴权中,也是有需要和用到的。

5、SessionManagementFilter、ExceptionTranslationFilter

5.1、SessionManagementFilter 会话管理的拦截器

这个拦截器,是管理会话信息的,有兴趣的,自己看下源码就好了,分布式的会话中,可以重写这个,也可以直接在登录成功后,就存入三方组件中(例如:redis);

5.2、ExceptionTranslationFilter 异常处理的拦截器

这个拦截器,自己看源码就可以了,主要是处理全局异常的;

详细的代码,可以查看《码云》

葵花下的獾
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springsecurityanonymous_Spring Security教程(一)
weixin_39722025的博客
12-13 815
概要Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。这里过多的spring security解释和作用就不在这里赘述了,请自行搜索。目前最新版本的Spring Security为4.2.2,但是我这里用了稳定版本3.1.3。下面例子为一个简单的Spring S...
springsecurityanonymous_Spring Security一个简单demo
weixin_39930557的博客
11-26 3655
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序。​ Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求。​ 一个简单的spring secu...
Spring Security匿名用户
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 3040
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问的资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
spring security3.x学习(5)_如何拦截用户请求
weixin_33748818的博客
02-01 77
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring-SecurtySpring安全框架):项目实战
热门推荐
weixin_48972377的博客
11-01 3万+
一、简单了解 Spring-securitySpring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的事实标准。 Spring Security是一个重点为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求 1.1 构建Spring-Boot项目,并导入依赖 Gradle: implementation 'org.springframewor
一篇spring-securty文档
07-11
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。这篇文档将深入探讨Spring Security的核心概念和关键特性,帮助开发者理解和实施安全控制。 1. **身份验证**:Spring ...
spring-security3.0.5源码
10-21
通过对`spring-security-3.0.5.RELEASE`源码分析,我们可以了解每个类和接口的作用,学习如何扩展和配置Spring Security以满足特定需求。这包括理解`@Configuration`和`@EnableGlobalMethodSecurity`注解如何启用...
狂神-spring-security素材.rar
04-16
Spring Security的核心功能包括用户认证、权限授权、会话管理以及CSRF(跨站请求伪造)防护。以下是一些关键知识点的详细解释: 1. **用户认证**:这是验证用户身份的过程,通常涉及到用户名和密码。Spring ...
spring-security-reference.pdf
01-03
spring security教程文档,讲述spring security整个原理,以及如何去在项目中去使用该框架
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
java 匿名访问权限_Spring Security permitAll()不允许匿名访问
weixin_35591093的博客
02-25 1126
我有一个方法,我想允许匿名和经过身份验证的访问。我正在使用基于 java 配置的 Spring Security 3.2.4.重写的配置方法(在我的自定义配置类中扩展 WebSecurityConfigurerAdapter)具有以下 http 块:http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFil...
SpringSecurity--权限配置
喝醉的咕咕鸟
03-20 3346
权限相关API和流程: 关键点在: 1.FilterSecurityInterceptor 所有的SpringSecurity拦截器都会进入这个安全处理器中。只有通过才能处理业务逻辑。 2.AccessDecisionManager:认证投票处理。 3.AccessDecisionVoter:选举者。 4.AbstractAccessDecisionMan...
应用程序拒绝访问_Spring Security 实战干货:基于配置的接口角色访问控制
weixin_39582708的博客
11-26 182
1. 前言欢迎阅读 Spring Security 实战干货 系列文章 。对于受限的访问资源,并不是对所有认证通过的用户开放的。比如 A 用户的角色是会计,那么他就可以访问财务相关的资源。B 用户是人事,那么他只能访问人事相关的资源。我们在 一文中也对基于角色的访问控制的相关概念进行了探讨。在实际开发中我们如何对资源进行角色粒度的管控呢?今天我来告诉你 Spring Security 是如何来解决...
Security认证授权
rabbit123123123的博客
11-30 90
类似于拦截器,过滤器,AOP。这个更为简洁 1.导入maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.编写Security配置类.
Spring Security
JielongYang的博客
11-18 355
简介 Spring Security是一种基于Spring AOP和Servlet过滤器Filter的安全框架,它提供全面的安全性解决方案,提供在Web请求和方法调用级别的用户鉴权和权限控制。 Filter在一个HTTP请求过程中的执行流程如下图: Spring Security 提供了多种登录认证策略。 典型的基于表单登录认证的流程如下图: 实战 1.创建spring boot项目 2.加入Security 和 Web 依赖 3.启动应用,浏览器访问 localhost:8080 得到一个登录表单页面
springboot2.0.4+spring security+vue前后分离开发一直提示anonymousUser
baidu_37302589的博客
09-11 9030
后台角色权限认证提示匿名用户,使用postman却没有发现该问题 vue2.0 index.js配置的跨域 各种查找资料都没发现有相关解决文档,无奈只能重新搭建项目,从而发现问题所在,故此记录一下解决办法 后台去掉 servlet: context-path:/interest 更改后的配置,前端vue做相对应的处理   就此解决前后分离提示匿名用户问题!...
Security源码学习笔记&OAuth2
pscool的博客
08-16 716
SecurityConfigurer用来配置安全对象构建器(SecurityBuilder),典型的有:FormLoginConfigurer、CsrfConfigurer等。SecurityBuilder用来构建安全对象,安全对象包括:HttpSecurity、FilterChainProxy、AuthenticationManager。
springSecurity注销登录SecurityContextHolder.getContext().getAuthentication.getPrincipal() 为anonymousUse
最新发布
2301_77484585的博客
03-24 537
springSecurity注销登录SecurityContextHolder.getContext().getAuthentication.getPrincipal() 为anonymousUser。返回 "anonymousUser",这表示用户已经成功注销并且没有有效的认证信息,因此匿名用户取代了之前的认证主体。时返回 "anonymousUser",这意味着当前用户已注销登录,不再具有有效的身份认证信息。在 Spring Security 中,当用户注销登录后,如果你的。
springboot securty wechatMiniProgram demo
03-31
I'm sorry, as an AI language model, I don't have personal experience or knowledge of specific demos related to Spring Boot Security and WeChat Mini Program integration. However, I can provide you with...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葵花下的獾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值