SpringSecurity(三)- SpringSecurity 原理

最新推荐文章于 2024-01-22 21:46:10 发布
最新推荐文章于 2024-01-22 21:46:10 发布
阅读量561 收藏 3
点赞数 2
分类专栏: Spring Security 文章标签: java spring SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36602071/article/details/127009882
版权

文章目录

一、SpringSecurity 过滤器介绍

SpringSecurity采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的15个过滤器进行说明:

1. WebAsyncManagerIntegrationFilter

将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

2. SecurityContextPersistenceFilter

在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将SecurityContextHolder 中的信息清除。
例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

3. HeaderWriterFilter

用于将头信息加入响应中。

4. CsrfFilter

用于处理跨站请求伪造。

5. LogoutFilter

用于处理退出登录。

6. UsernamePasswordAuthenticationFilter

用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。
从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 参数来进行修改。

7. DefaultLoginPageGeneratingFilter

如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

8. BasicAuthenticationFilter

检测和处理 http basic 认证。

9. RequestCacheAwareFilter

用来处理请求的缓存。

10. SecurityContextHolderAwareRequestFilter

主要是包装请求对象request。

11. AnonymousAuthenticationFilter

检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。

12. SessionManagementFilter

管理 session 的过滤器

13. ExceptionTranslationFilter

处理 AccessDeniedException 和 AuthenticationException 异常。

14. FilterSecurityInterceptor

可以看做过滤器链的出口。

15. RememberMeAuthenticationFilter

当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

二、SpringSecurity基本流程

Spring Security采取过滤链实现认证与授权,只有当前过滤器通过,才能进入下一个过滤器:

在这里插入图片描述

绿色部分是认证过滤器,需要我们自己配置,可以配置多个认证过滤器。认证过滤器可以使用Spring Security提供的认证过滤器,也可以自定义过滤器(例如:短信验证)。认证过滤器要在configure(HttpSecurity http)方法中配置,没有配置则不生效。下面会重点介绍以下三个过滤器:

UsernamePasswordAuthenticationFilter过滤器:该过滤器会拦截前端提交的 POST 方式的登录表单请求,并进行身份认证。
ExceptionTranslationFilter过滤器:该过滤器不需要我们配置,对于前端提交的请求会直接放行,捕获后续抛出的异常并进行处理(例如:权限访问限制)。
FilterSecurityInterceptor过滤器:该过滤器是过滤器链的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果访问受限会抛出相关异常,并由ExceptionTranslationFilter过滤器进行捕获和处理。

三、SpringSecurity认证流程

认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示:

在这里插入图片描述

1. 抽象父类AbstractAuthenticationProcessingFilter,doFilter方法源码

当前端提交一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类AbstractAuthenticationProcessingFilter中,查看相关源码:

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
	if (!requiresAuthentication(request, response)) {
		// 1. 判断该请求是否为POST方式的登录表单提交请求,若不是,则直接放行,进入下一个过滤器
		chain.doFilter(request, response);
		return;
	}
	try {
		// 2.attemptAuthentication调用的是子类UsernamePasswordAuthenticationFilter重写的方法进行身份认证
		// Authentication是用来存放用户信息的类
		Authentication authenticationResult = attemptAuthentication(request, response);
		if (authenticationResult == null) {
			return;
		}
		// 3.session策略处理(如果配置了用户session最大并发数,则在此处进行判断并处理)
		this.sessionStrategy.onAuthentication(authenticationResult, request, response);
		// 4.1认证成功的处理
		// continueChainBeforeSuccessfulAuthentication默认为false,所以认证成功后不进入下一个过滤器
		if (this.continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}
		successfulAuthentication(request, response, chain, authenticationResult);
	}
	catch (InternalAuthenticationServiceException failed) {
		this.logger.error("An internal error occurred while trying to authenticate the user.", failed);
		// 4.2认证失败的处理
		unsuccessfulAuthentication(request, response, failed);
	}
	catch (AuthenticationException ex) {
		// 4.2认证失败的处理
		unsuccessfulAuthentication(request, response, ex);
	}
}

2. 子类UsernamePasswordAuthenticationFilter,attemptAuthentication方法源码

UsernamePasswordAuthenticationFilter重写attemptAuthentication方法进行身份认证

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
	// 提交的登录表单,用户名参数名称默认为“username”,密码参数名称默认为“password”
	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
	// 默认请求方式只能为POST
	private boolean postOnly = true;
	// 提交的登录表单,默认路径是/login,提交方式为POST
	public UsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login", "POST"));
	}		

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
		// 1. 默认情况下,如果请求不是POST,会抛出异常
		if (this.postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		// 获取请求携带的username 、password 
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		// 3. UsernamePasswordAuthenticationToken是 Authentication 接口的实现类
		// 使用前端传入的username 、password构造Authentication对象,标记该对象为未认证状态
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// 4.允许子类设置“详细信息”属性到Authentication对象中,如:remoteAddress,sessionId
		setDetails(request, authRequest);
		// 5.this.getAuthenticationManager()返回的是AuthenticationManager接口,实现类是ProviderManager,
		// 调用ProviderManager类的authenticate方法进行身份认证
		return this.getAuthenticationManager().authenticate(authRequest);
	}
}

3. Authentication接口的UsernamePasswordAuthenticationToken实现类源码

UsernamePasswordAuthenticationToken是 Authentication 接口的实现类,该类有两个构造器:
一个用于封装前端请求传入的未认证的用户信息,一个用于封装认证成功后的用户信息

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {

	// 用于封装前端请求传入的未认证的用户信息
	// UsernamePasswordAuthenticationFilter重写attemptAuthentication方法中的authRequest对象就是调用该构造器进行构造的
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
		super(null); // 用户权限为null
		this.principal = principal; // 前端传入的用户名
		this.credentials = credentials; // 前端传入的密码
		setAuthenticated(false); // 标记为未认证状态
	}

	// 用于封装认证成功的用户信息 
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
		super(authorities); // 用户权限集合
		this.principal = principal; // 封装认证用户信息的UserDetail对象,不再是用户名
		this.credentials = credentials; // 前端传入的密码
		super.setAuthenticated(true); // 标记为认证成功状态
	}
}

4. Authentication 接口源码

Authentication 接口的实现类用于存储用户认证信息

一旦 AuthenticationManager.authenticate(Authentication) 方法处理了请求,则表示身份验证请求或经过身份验证的主体的令牌。一旦请求通过身份验证,身份验证通常将存储在由正在使用的身份验证机制的 SecurityContextHolder 管理的线程本地 SecurityContext 中。通过创建 Authentication 实例并使用代码,可以在不使用 Spring Security 的身份验证机制之一的情况下实现显式身份验证:
SecurityContext context = SecurityContextHolder.createEmptyContext(); context.setAuthentication(anAuthentication);
SecurityContextHolder.setContext(context);

请注意,除非 Authentication 将 authenticated 属性设置为 true,否则它仍将由遇到它的任何安全拦截器(用于方法或 Web 调用)进行身份验证。在大多数情况下,框架会透明地为您管理安全上下文和身份验证对象。

public interface Authentication extends Principal, Serializable {
	
	// 用户权限集合
	// 由 AuthenticationManager 设置以指示已授予主体的权限。
	// 请注意,类不应依赖此值作为有效值,除非它已由受信任的 AuthenticationManager 设置。
	// 实现应确保对返回集合数组的修改不会影响 Authentication 对象的状态,或使用不可修改的实例。
	Collection<? extends GrantedAuthority> getAuthorities();

	// 用户密码
	// 证明委托人正确的凭据。这通常是一个密码,但可以是与 AuthenticationManager 相关的任何内容。调用者应填充凭据。
	Object getCredentials();

	// 存储有关身份验证请求的其他详细信息。这些可能是 IP 地址、证书序列号等。
	Object getDetails();

	// 被认证的主体的身份。在使用用户名和密码的身份验证请求的情况下,这将是用户名。调用者应填充身份验证请求的主体。 
	// AuthenticationManager 实现通常会返回一个包含更丰富信息的 Authentication 作为应用程序使用的主体。
	// 许多身份验证提供程序将创建一个 UserDetails 对象作为主体。
	Object getPrincipal();

	// 用于向 AbstractSecurityInterceptor 指示它是否应该向 AuthenticationManager 提供身份验证令牌。
	// 通常,AuthenticationManager(或者更常见的是它的 AuthenticationProviders 之一)将在成功认证后返回一个不可变的认证令牌,在这种情况下,该令牌可以安全地向该方法返回 true。
	// 返回 true 将提高性能,因为不再需要为每个请求调用 AuthenticationManager。
	// 出于安全原因,这个接口的实现应该非常小心地从这个方法返回 true,除非它们是不可变的,或者有某种方式确保属性自最初创建以来没有被更改。
	boolean isAuthenticated();

	// 设置是否被认证
	// 实现应始终允许使用 false 参数调用此方法,因为各种类使用它来指定不应信任的身份验证令牌。
	// 如果实现希望拒绝使用 true 参数的调用(这将表明身份验证令牌是可信的 - 潜在的安全风险),则实现应该抛出 IllegalArgumentException。
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

5. ProviderManager 源码

UsernamePasswordAuthenticationFilter过滤器的 attemptAuthentication() 方法将未认证的 Authentication 对象传入 ProviderManager 类的 authenticate() 方法进行身份认证。
ProviderManager 是 AuthenticationManager 接口的实现类,该接口是认证相关的核心接口,也是认证的入口。

在实际开发中,我们可能有多种不同的认证方式,例如:用户名+密码、邮箱+密码、手机号+验证码等,而这些认证方式的入口始终只有一个,那就是 AuthenticationManager。在该接口的常用实现类 ProviderManager 内部会维护一个List< AuthenticationProvider>列表,存放多种认证方式,实际上这是委托者模式(Delegate)的应用。每种认证方式对应着一个 AuthenticationProvider,AuthenticationManager 根据认证方式的不同(根据传入的 Authentication 类型判断)委托对应的 AuthenticationProvider 进行用户认证。

// 传入未认证的Authentication对象
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
	// 1.获取传入的Authentication类型,即UsernamePasswordAuthenticationToken.class
	Class<? extends Authentication> toTest = authentication.getClass();
	AuthenticationException lastException = null;
	AuthenticationException parentException = null;
	Authentication result = null;
	Authentication parentResult = null;
	int currentPosition = 0;
	int size = this.providers.size();
	// 2.遍历List<AuthenticationProvider>认证方式列表
	for (AuthenticationProvider provider : getProviders()) {
		// 3.判断当前AuthenticationProvider是否适用UsernamePasswordAuthenticationToken.class类型的Authentication
		if (!provider.supports(toTest)) {
			continue;
		}
		if (logger.isTraceEnabled()) {
			logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
					provider.getClass().getSimpleName(), ++currentPosition, size));
		}
		// 成功找到适配当前认证方式的AuthenticationProvider,此处为DaoAuthenticationProvider
		try {
			// 4.调用DaoAuthenticationProvider的authenticate方法进行认证
			result = provider.authenticate(authentication);
			// 4.1如果认证成功,会返回一个已认证标记的Authentication对象
			if (result != null) {
				// 5.1认证成功后,将传入的Authentication对象中的details信息拷贝到已认证的Authentication对象
				copyDetails(authentication, result);
				break;
			}
		}
		catch (AccountStatusException | InternalAuthenticationServiceException ex) {
			prepareException(ex, authentication);		
			throw ex;
		}
		catch (AuthenticationException ex) {
			lastException = ex;
		}
	}
	if (result == null && this.parent != null) {
		try {
			// 5.2认证失败后,使用父类型的AuthenticationManager进行认证
			parentResult = this.parent.authenticate(authentication);
			result = parentResult;
		}
		catch (ProviderNotFoundException ex) {
			
		}
		catch (AuthenticationException ex) {
			parentException = ex;
			lastException = ex;
		}
	}
	if (result != null) {
		// 6.认证成功后,去除result敏感信息,要求相关类实现CredentialsContainer接口
		if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
			// 6.1去除result敏感信息的过程就是调用CredentialsContainer接口的eraseCredentials方法
			((CredentialsContainer) result).eraseCredentials();
		}
		// 7.发布认证成功事件
		if (parentResult == null) {
			this.eventPublisher.publishAuthenticationSuccess(result);
		}
	
		return result;
	}
	
	// 8.认证失败后,抛出失败的异常信息
	if (lastException == null) {
		lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound",
				new Object[] { toTest.getName() }, "No AuthenticationProvider found for {0}"));
	}
	if (parentException == null) {
		prepareException(lastException, authentication);
	}
	throw lastException;
}

6. eraseCredentials方法源码

调用 CredentialsContainer 接口定义的 eraseCredentials() 方法去除敏感信息。查看 UsernamePasswordAuthenticationToken 实现的 eraseCredentials() 方法,该方法实现在其父类AbstractAuthenticationToken中:

// 实现了CredentialsContainer接口
public abstract class AbstractAuthenticationToken implements Authentication, CredentialsContainer {
	@Override
	public void eraseCredentials() {
		// credentials(前端传入的密码)会置为null
		eraseSecret(getCredentials());
		// principal在已认证的Authentication中是UserDetails实现类
		// 如果该实现类想要去除敏感信息,需要实现CredentialsContainer接口的eraseCredentials方法
		// 由于我们自定义的User类没有实现该接口,所以不进行任何操作
		eraseSecret(getPrincipal());
		eraseSecret(this.details);
	}
	
	private void eraseSecret(Object secret) {
		if (secret instanceof CredentialsContainer) {
			((CredentialsContainer) secret).eraseCredentials();
		}
	}
}

7. 认证成功/失败处理源码

在父类AbstractAuthenticationProcessingFilter的doFilter方法会调用认证成功/失败的方法

successfulAuthentication 源码:

protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {

		if (logger.isDebugEnabled()) {
			logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
					+ authResult);
		}

		// 1.将认证成功后的用户信息Authentication对象封装进SecurityContext中,并存入SecurityContextHolder
		// SecurityContextHolder封装了ThreadLocal
		SecurityContextHolder.getContext().setAuthentication(authResult);

		// 2.rememberMe的处理
		rememberMeServices.loginSuccess(request, response, authResult);

		// Fire event
		if (this.eventPublisher != null) {
			// 3.发布认证成功事件
			eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
		}
		// 4.调用认证成功处理器
		successHandler.onAuthenticationSuccess(request, response, authResult);
}

unsuccessfulAuthentication 源码:

protected void unsuccessfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException failed)
			throws IOException, ServletException {
		// 清除该线程在SecurityContextHolder中对应的SecurityContext对象
		SecurityContextHolder.clearContext();

		if (logger.isDebugEnabled()) {
			logger.debug("Authentication request failed: " + failed.toString(), failed);
			logger.debug("Updated SecurityContextHolder to contain null Authentication");
			logger.debug("Delegating to authentication failure handler " + failureHandler);
		}
		// 2. rememberMe处理
		rememberMeServices.loginFail(request, response);
		// 3. 调用认证失败处理器
		failureHandler.onAuthenticationFailure(request, response, failed);
}

四、 SpringSecurity 权限访问流程

权限访问流程,主要是对ExceptionTranslationFilter 过滤器和 FilterSecurityInterceptor 过滤器进行介绍。

1. ExceptionTranslationFilter 源码

该过滤器是用于处理异常的,不需要我们配置,对于前端提交的请求会直接放行,捕获后续抛出的异常并进行处理(例如:权限访问限制)

public class ExceptionTranslationFilter extends GenericFilterBean {
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		try {
			// 1.对于前端提交的请求会直接放行,不进行拦截
			chain.doFilter(request, response);

			logger.debug("Chain processed normally");
		}
		catch (IOException ex) {
			throw ex;
		}
		catch (Exception ex) {
			// 2.尝试从堆栈跟踪中提取 SpringSecurityException
			Throwable[] causeChain = throwableAnalyzer.determineCauseChain(ex);
			// 2.1访问需要认证的资源时,请求未认证则抛出此异常
			RuntimeException ase = (AuthenticationException) throwableAnalyzer.getFirstThrowableOfType(AuthenticationException.class, causeChain);

			if (ase == null) {
				// 2.2访问被拒绝时的异常
				ase = (AccessDeniedException) throwableAnalyzer.getFirstThrowableOfType(AccessDeniedException.class, causeChain);
			}

			if (ase != null) {
				if (response.isCommitted()) {
					throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", ex);
				}
				handleSpringSecurityException(request, response, chain, ase);
			}
			else {
				// Rethrow ServletExceptions and RuntimeExceptions as-is
				if (ex instanceof ServletException) {
					throw (ServletException) ex;
				}
				else if (ex instanceof RuntimeException) {
					throw (RuntimeException) ex;
				}

				// Wrap other Exceptions. This shouldn't actually happen
				// as we've already covered all the possibilities for doFilter
				throw new RuntimeException(ex);
			}
		}
	}
}

2. FilterSecurityInterceptor 源码

FilterSecurityInterceptor 是过滤器链的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果
访问受限会抛出相关异常,最终所抛出的异常会由前一个过滤器ExceptionTranslationFilter 进行捕获和处理。

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
	// 先调用过滤器的doFilter方法
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		FilterInvocation fi = new FilterInvocation(request, response, chain);
		// 再调用invoke方法
		invoke(fi);
	}

	public void invoke(FilterInvocation fi) throws IOException, ServletException {
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null && observeOncePerRequest) {
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}

			// 1.根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果访问受限会抛出相关异常
			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
				// 2.访问相关资源时,根据在 SpringMVC 的核心组件DispatcherServlet进行访问
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
	}
}

需要注意,Spring Security 的过滤器链是配置在 SpringMVC 的核心组件DispatcherServlet 运行之前。也就是说,请求通过 Spring Security 的所有过滤器,不意味着能够正常访问资源,该请求还需要通过 SpringMVC 的拦截器链。

五、 SpringSecurity 请求间共享认证信息

一般认证成功后的用户信息是通过 Session 在多个请求之间共享, Spring Security 会将已认证的用户信息对象 Authentication 与 Session 进行绑定

在这里插入图片描述
在前面讲解认证成功的处理方法 successfulAuthentication() 时,有以下代码:

protected void successfulAuthentication() {
			
		...	

		// 1.将认证成功后的用户信息Authentication对象封装进SecurityContext中,并存入SecurityContextHolder
		// SecurityContextHolder封装了ThreadLocal
		SecurityContextHolder.getContext().setAuthentication(authResult);	
		
		...
}

1. SecurityContext 源码

SecurityContextImpl是SecurityContext接口的实现类, 主要对Authentication进行封装

public class SecurityContextImpl implements SecurityContext {
    public SecurityContextImpl(Authentication authentication) {
        this.authentication = authentication;
    }
}

2. SecurityContextHolder 源码

SecurityContextHolder类其实是对ThreadLocal的封装 , 存储SecurityContext对象

将给定的 SecurityContext 与当前执行线程相关联。此类提供了一系列委托给 SecurityContextHolderStrategy 实例的静态方法。该类的目的是提供一种方便的方法来指定应该用于给定 JVM 的策略。这是 JVM 范围的设置,因为此类中的所有内容都是静态的,以便于调用代码时使用。要指定应使用哪种策略,您必须提供模式设置。模式设置是定义为Static fields字段的三个有效 MODE_ 设置之一,或者是提供公共无参数构造函数的 SecurityContextHolderStrategy 具体实现的完全限定类名。有两种方法可以指定所需的策略模式字符串。第一种是通过在 SYSTEM_PROPERTY 上键入的系统属性来指定它。第二种是在使用类之前调用 setStrategyName(String)。如果这两种方法都没有使用,则该类将默认使用MODE_THREADLOCAL,它向后兼容,具有较少的 JVM 不兼容性并且适用于服务器(而 MODE_GLOBAL 绝对不适合服务器使用)。

public class SecurityContextHolder {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	private static SecurityContextHolderStrategy strategy;
	private static int initializeCount = 0;

	static {
		initialize();
	}

	// ~ Methods
	// ========================================================================================================

	/**
	 * 从当前线程显式清除上下文值
	 */
	public static void clearContext() {
		strategy.clearContext();
	}

	/**
	 * 获取当前的 SecurityContext
	 */
	public static SecurityContext getContext() {
		// 注意:如果当前线程对应的ThreadLocal<SecurityContext>没有任何对象存储
		// strategy.getContext()会创建一个空的SecurityContext对象,并且该空的SecurityContext对象会存入ThreadLocal<SecurityContext>
		return strategy.getContext();
	}

    /**
	 * 将新的 SecurityContext 与当前执行线程相关联
	 */
	public static void setContext(SecurityContext context) {
		strategy.setContext(context);
	}

	/**
	 * 主要出于故障排除目的,此方法显示该类重新初始化其 SecurityContextHolderStrategy 的次数
	 *
	 * 返回:计数(应该是一,除非您调用 setStrategyName(String) 来切换到备用策略
	 */
	public static int getInitializeCount() {
		return initializeCount;
	}

	private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// 默认使用MODE_THREADLOCAL模式
			strategyName = MODE_THREADLOCAL;
		}

		if (strategyName.equals(MODE_THREADLOCAL)) {
			// 默认使用ThreadLocalSecurityContextHolderStrategy创建Strategy,其内部使用ThreadLocal对SecurityContext进行存储
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}

		initializeCount++;
	}		
	...
}

3. ThreadLocalSecurityContextHolderStrategy 源码

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {
	// ~ Static fields/initializers
	// =====================================================================================

	// 使用ThreadLocal存储SecurityContext
	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

	// ~ Methods
	// ========================================================================================================

	public void clearContext() {
		contextHolder.remove();
	}

	public SecurityContext getContext() {
	  	// 注意:如果当前线程对应的ThreadLocal<SecurityContext>没有任何对象存储
		// strategy.getContext()会创建一个空的SecurityContext对象,并且该空的SecurityContext对象会存入ThreadLocal<SecurityContext>
		SecurityContext ctx = contextHolder.get();

		if (ctx == null) {
			ctx = createEmptyContext();
			contextHolder.set(ctx);
		}

		return ctx;
	}

	// 设置当前线程对应的ThreadLocal<SecurityContext>
	public void setContext(SecurityContext context) {
		Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
		contextHolder.set(context);
	}

	public SecurityContext createEmptyContext() {
		// 创建一个空的SecurityContext对象
		return new SecurityContextImpl();
	}
}

4. SecurityContextPersistenceFilter 源码

前面提到过,在 UsernamePasswordAuthenticationFilter 过滤器认证成功之后,会在认证成功的处理方法中将已认证的用户信息对象 Authentication 封装进SecurityContext,并存入 SecurityContextHolder。

之后,响应会通过 SecurityContextPersistenceFilter 过滤器,该过滤器的位置在所有过滤器的最前面,请求到来时,先进入该过滤器;响应返回时,最后一个通过它,所以在该过滤器中会处理已认证的用户信息对象 Authentication 与 Session 的绑定。

认证成功的响应通过 SecurityContextPersistenceFilter 过滤器时,会从SecurityContextHolder 中取出封装了已认证用户信息对象 Authentication 的SecurityContext,放进 Session 中。当请求再次到来时,请求首先经过该过滤器,该过滤器会判断当前请求的 Session 是否存有 SecurityContext 对象,如果有则将该对象取出再次放入 SecurityContextHolder 中,之后该请求所在的线程获得认证用户信息,后续的资源访问不需要进行身份认证;当响应再次返回时,该过滤器同样从 SecurityContextHolder 取出SecurityContext 对象,放入 Session 中。

public class SecurityContextPersistenceFilter extends GenericFilterBean {

	// 执行该过滤器的doFilter方法
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

		static final String FILTER_APPLIED = "__spring_security_scpf_applied";
		
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (request.getAttribute(FILTER_APPLIED) != null) {
			// 确保每个请求只应用一次过滤器
			chain.doFilter(request, response);
			return;
		}

		final boolean debug = logger.isDebugEnabled();

		request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

		if (forceEagerSessionCreation) {
			HttpSession session = request.getSession();

			if (debug && session.isNew()) {
				logger.debug("Eagerly created session: " + session.getId());
			}
		}

		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
		// 1.请求到来时,检查当前session中是否存有SecurityContext
		// 若有,则从session中取出SecurityContext;若没有,则创建一个空的SecurityContext
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

		try {
			// 2.将上述获得的SecurityContext存入SecurityContextHolder
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			// 3.进入下一个过滤器
			chain.doFilter(holder.getRequest(), holder.getResponse());

		}
		finally {
			// 4.响应返回时,从SecurityContextHolder取出SecurityContext 
			SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
			// 5. 删除 SecurityContextHolder 内容的关键 - 在其他任何事情之前执行此操作
			SecurityContextHolder.clearContext();
			// 6.将取出的SecurityContext存入session,实现请求间共享认证信息
			repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
			request.removeAttribute(FILTER_APPLIED);

			if (debug) {
				logger.debug("SecurityContextHolder now cleared, as request processing completed");
			}
		}
	}

}
Super_Leng
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security继承AbstractAuthenticationProcessingFilter验证成功后自动跳转地址“/”
qq_39745766的博客
08-09 998
Spring Security版本:5.5.1 最近学Spring Security发现自己实现的通过继承AbstractAuthenticationProcessingFilter类在验证成功后,总是自动跳转“/”地址 查看源码: Authentication authenticationResult = this.attemptAuthentication(request, response); if (authenticationResult == null) { return; } thi
spring security 源码分析 之 认证过程
cyt
08-16 177
spring_security 介绍 spring_security 的分析主要包括认证和授权两个部分, 并且站在分析源码的角度探究整个执行过程以及原理。 认证 授权 组件版本 spring boot 2.2.4.RELEASE springfox-swagger 2 2.4.0 spring-boot-starter-data-jpa 2.2.4.RELEASE mysql 5.7 认证 认证 认证就是判断当前用户是否是一个合法用户, 即对比用户输入的用户名密码和数据库中的是否一致,但是
SpringSecurity详细执行流程
最新发布
qq_52066082的博客
01-22 1186
SpringSecurity的执行流程超详细讲解,SpringSecurity两大功能认证、授权。
Spring Security 5: UsernamePasswordAuthenticationFilter 的子类重写 unsuccessfulAuthentication 方法不执行分析及解决
Specif1c的博客
02-28 5343
一、前言: 在 Spring Security 框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。从下图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系。 最近我用 Spring Security 做登录验证的时候遇到一个问题。UsernamePasswordAuthenticationFilter 继承的子类重写successfulAuthentication 、u
Spring Security中AuthenticationEntryPoint不生效的相关问题
qq_44753451的博客
01-04 8418
  之前由于项目需要比较详细地学习了Spring Security的相关知识,并打算实现一个较为通用的权限管理模块。由于项目是前后端分离的,所以当认证或授权失败后不应该使用formLogin()的重定向,而是返回一个json形式的对象来提示没有授权或认证。   这时,我们可以使用AuthenticationEntryPoint对认证失败异常提供处理入口,而通过AccessDeniedHandler对用户无授权异常提供处理入口,在这里我的代码如下: /** * 对已认证用户无权限的处理 */ @Compo
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
top-spring-security-architecture:Spring安全架构
05-13
标签专案安全Spring安全了解Spring安全性目录本指南是Spring Security的入门,它提供了对该框架的设计和基本构建块的见解。 我们仅介绍应用程序安全性的最基础知识。 但是,这样做可以消除使用Spring Security的开发...
Spring Security实现禁止用户重复登陆的配置原理
08-25
主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot springsecurity cas集成
西瓜
02-25 1890
1.添加依赖jar &lt;!-- spring security --&gt;     &lt;dependency&gt;         &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt;         &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&g...
关于使SpringSecurity登录参数使用requestBody后引发的一系列问题及解决
c_z_z的博客
06-12 988
使用SpringSecurity前后端分离,使登录参数支持RequestBody后,单点登录功能失效,最终通过调试源码找到解决办法
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5291
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
java security 详解_Java-Security(四):用户认证流程源码分析
weixin_42407606的博客
02-16 969
让我们带着以下3个问题来阅读本篇文章:1)在Spring Security项目中用户认证过程中是如何执行的呢?2)认证后认证结果如何实现多个请求之间共享?3)如何获取认证信息?在《Java-Security(二):如何初始化springSecurityFilterChain(FilterChainProxy)》中可以发现SpringSecurity的核心就是一系列过滤链,当一个请求进入时,首先会被...
httpservletrequest 设置请求头_(七)springSecurityFilterChain处理请求流程
weixin_39593247的博客
11-26 1617
知识回顾:1、springSecurityFilterChain是SpringSecurity框架的入口,是一个FilterChainProxy类型的bean,继承于Filter2、web框架的DelegatingFilterProxy会将调用springSecurityFilterChain的doFilter方法,将请求传递给SpringSecurity框架3、在传统web项目中Delegati...
CustomAuthenticationProcessingFilter extends UsernamePasswordAuthenticationFilter
苦心人,天不负,有心者,事竞成。
03-17 1061
package com.xxxx.security.service.authentication; import java.io.IOException; import java.util.Collections; import java.util.HashMap; import java.util.Iterator; import java.util.List; import
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8033
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
springSecurity 认证流程
yuzheh521的博客
01-01 515
认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter中,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
spring-Security(二):校验流程
liyu121的博客
05-11 1287
spring-Security登录流程图如下,请仔细看AbstractAuthenticationProcessingFilter 抽象类/** * 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。 * 如果需要验证,则会调用 #attemptAuthenticat...
spring-security-oauth2 第三方登入
04-22
它通过使用标准 OAuth2 协议的流程,将第三方登录提供商身份验证和用户访问令牌交换工作集成到现有的 Spring Security 基础结构中。 具体来说,Spring Security OAuth2 实现了 OAuth2 的三个角色: 1. Resource ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值