BasicHttpAuthenticationFilter 认证流程

已于 2022-03-09 08:52:57 修改
阅读量1.6w 收藏 32
点赞数 6
分类专栏: Java 文章标签: java 开发语言
于 2020-06-19 16:11:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291919/article/details/106854604
版权

BasicHttpAuthenticationFilter 继承关系

从继承关系可以看到 BasicHttpAuthenticationFilter 继承自抽象类 OncePerRequestFilter。

OncePerRequestFilter 的字面意思是:Once Per Request,即每个请求只执行一次,原理见:

https://blog.csdn.net/qq_39291919/article/details/108288084

通过上面这篇文章提供的源码,我们可以知道 OncePerRequestFilter 已经实现了 doFilter,而且知道,真正的处理逻辑在 doFilterInternal() 方法中。然而,doFilterInternal() 方法是在子类 AdviceFilter 实现的,源码如下:

public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
    throws ServletException, IOException {

    Exception exception = null;

    try {

        boolean continueChain = preHandle(request, response);
        if (log.isTraceEnabled()) {
            log.trace("Invoked preHandle method.  Continuing chain?: [" + continueChain + "]");
        }

        if (continueChain) {
            executeChain(request, response, chain);
        }

        postHandle(request, response);
        if (log.isTraceEnabled()) {
            log.trace("Successfully invoked postHandle method");
        }

    } catch (Exception e) {
        exception = e;
    } finally {
        cleanup(request, response, exception);
    }
}

仔细看,可以发现它调用了两个方法 preHandle 和 postHandle,其实就是过滤器的两次方法调用,相关解释见:

https://blog.csdn.net/qq_39291919/article/details/89761121

请注意:在执行 preHandle 方法后还会返回 1 个 boolean 值,判断是否要继续执行过滤器链,这与下面介绍的方法返回值息息相关。

PreHandle

下面先看 preHandle,PathMatchingFilter 已经实现了 preHandle()。PathMatchingFilter,顾名思义,路径匹配过滤器,它的作用就是来根据路径匹配结果,调用相应过滤器(没匹配上的直接 return true,即继续执行过滤器链)。

path 匹配是通过 FilterChainDefinitionMap 注册的,比如设置了 “/login”, “anon”,那么如果本次请求的地址也是 /login,则会匹配上。注册原理见:

https://blog.csdn.net/qq_39291919/article/details/108299951

protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

    if (this.appliedPaths == null || this.appliedPaths.isEmpty()) {
        if (log.isTraceEnabled()) {
            log.trace("appliedPaths property is null or empty.  This Filter will passthrough immediately.");
        }
        return true;
    }

    for (String path : this.appliedPaths.keySet()) {
        // If the path does match, then pass on to the subclass implementation for
        // specific checks
        // (first match 'wins'):
        if (pathsMatch(path, request)) {
            log.trace("Current requestURI matches pattern '{}'.  Determining filter chain execution...", path);
            Object config = this.appliedPaths.get(path);
            return isFilterChainContinued(request, response, path, config);
        }
    }

    // no path matched, allow the request to go through:
    return true;
}

如果 path 匹配成功,则会先执行 isFilterChainContinued(),isFilterChainContinued() 方法也是在 PathMatchingFilter 实现的。它的作用就是判断过滤器是否可用,如果可用就继续执行;否则,跳过,return true

private boolean isFilterChainContinued(ServletRequest request, ServletResponse response,
    String path, Object pathConfig) throws Exception {

    if (isEnabled(request, response, path, pathConfig)) { // isEnabled check added in 1.2
        if (log.isTraceEnabled()) {
            log.trace("Filter '{}' is enabled for the current request under path '{}' with config [{}].  " +
                "Delegating to subclass implementation for 'onPreHandle' check.",
                new Object[] { getName(), path, pathConfig });
        }
//The filter is enabled for this specific request, so delegate to subclass implementations
//so they can decide if the request should continue through the chain or not:
        return onPreHandle(request, response, pathConfig);
    }

    if (log.isTraceEnabled()) {
        log.trace("Filter '{}' is disabled for the current request under path '{}' with config [{}].  " +
            "The next element in the FilterChain will be called immediately.",
            new Object[] { getName(), path, pathConfig });
    }
//This filter is disabled for this specific request,
//return 'true' immediately to indicate that the filter will not process the request
//and let the request/response to continue through the filter chain:
    return true;
}

isEnabled 方法本质上是判断 enabled 是否为 true。其实几乎所有的过滤器都可以执行,因此 enabled 默认为 true,除非人为的去设置它的值:

onPreHandle

我们一路是从 preHandle() 走下来的,这里之所以起名为 onPreHandle(),是因为这才是真正的执行逻辑,之前的种种都是可以看作判断。

onPreHandle() 在 PathMatchingFilter 的子类 AccessControlFilter 有了新的实现,它的返回值依赖两个方法 isAccessAllowed()、onAccessDenied()。

这两个方法通过 || 运算符连接,其实有一个逻辑判断过程,先判断 isAccessAllowed(访问是否允许),如果允许则通过,如果不允许则进行 onAccessDenied(访问拒绝的处理逻辑)。

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

isAccessAllowed

BasicHttpAuthenticationFilter 实现了 isAccessAllowed() 方法。并不是纯粹覆盖。它也使用了父类的方法,因为源码中使用了 super.isAccessAllowed():

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    HttpServletRequest httpRequest = WebUtils.toHttp(request);
    String httpMethod = httpRequest.getMethod();

    // Check whether the current request's method requires authentication.
    // If no methods have been configured, then all of them require auth,
    // otherwise only the declared ones need authentication.

    Set<String> methods = httpMethodsFromOptions((String[]) mappedValue);
    boolean authcRequired = methods.size() == 0;
    for (String m : methods) {
        if (httpMethod.toUpperCase(Locale.ENGLISH).equals(m)) { // list of methods is in upper case
            authcRequired = true;
            break;
        }
    }

    if (authcRequired) {
        return super.isAccessAllowed(request, response, mappedValue);
    } else {
        return true;
    }
}

实际上,该方法先做了一个 HTTP Method 的比对,自定义 FilterChainDefinitionMap 的时候,可以设置一批 HTTP method 是需要认证的,比如:

如果当前使用 RESTful 风格请求。现有 [PUT] /project 用于更新,[GET] /project 用于获取全部数据,这两个请求 URL 都是一样的,但如何让 GET 请求通过,PUT 请求需要授权呢?答案就是使用 HTTP Method 方法过滤。

配置 /project = authcBasic[PUT]

那么,访问 /project 的时候,GET 方法是不用认证的。

所以现在知道,即使没有写 GET,依然也会走 BasicHttpAuthenticationFilter,只是认证直接跳过(return true)。

因此,如果 HTTP Method 属于这一类 Method,那么就调用了 super.isAccessAllowed 进行判断。

下面继续观察 super.isAccessAllowed() 方法到底做了什么?

首先,在继承链上,离 BasicHttpAuthenticationFilter 最近的 AuthenticationFilter 也实现了 isAccessAllowed() 方法,因此会调用它:

AuthenticatingFilter.isAccessAllowed(ServletRequest, ServletResponse, Object)

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    return super.isAccessAllowed(request, response, mappedValue) ||
            (!isLoginRequest(request, response) && isPermissive(mappedValue));
}

注意到,该方法也使用了 super 去调用父类方法,找到最近的有实现方法的父类 AuthenticationFilter,方法如下:

AuthenticationFilter.isAccessAllowed(ServletRequest, ServletResponse, Object)

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        return subject.isAuthenticated();
    }

获取 Subject,然后调用 isAuthenticated() 判断是否已经认证过了。

作用:判断是否认证过了,通俗来说,就是登陆了没

继续回到上面:

AuthenticatingFilter.isAccessAllowed(ServletRequest, ServletResponse, Object)

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    return super.isAccessAllowed(request, response, mappedValue) ||
            (!isLoginRequest(request, response) && isPermissive(mappedValue));
}

如果上面 isAuthenticated 为 false,那么需要继续判断,是否是 !isLoginRequest() 非登录请求且 isPermissive() 是放行的,也就是说判断是否是匿名访问路径

BasicHttpAuthenticationFilter 实现 isLoginRequest,本质上是通过特殊的请求头进行判断的,可参考如下博文:

https://blog.csdn.net/qq_39291919/article/details/108418488

onAccessDenied

该方法就是 isAccessAllowed 返回 false 之后执行的,即访问拒绝的逻辑

BasicHttpAuthenticationFilter 实现了自己的 onAccessDenied:

BasicHttpAuthenticationFilter.onAccessDenied

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    boolean loggedIn = false; // false by default or we wouldn't be in this method
    if (isLoginAttempt(request, response)) {
        loggedIn = executeLogin(request, response);
    }
    if (!loggedIn) {
        sendChallenge(request, response);
    }
    return loggedIn;
}

isLoginAttempt() ,该方法前面已经出现,通过请求头判断是否为尝试登陆,如果 true,则执行登录逻辑;反之,sendChallenge。

BasicHttpAuthenticationFilter 是没有实现 executeLogin() 的,因此将调用父类 AuthenticatingFilter 的 executeLogin() 方法。

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
    AuthenticationToken token = createToken(request, response);
    if (token == null) {
        String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
            "must be created in order to execute a login attempt.";
        throw new IllegalStateException(msg);
    }
    try {
        Subject subject = getSubject(request, response);
        subject.login(token);
        return onLoginSuccess(token, subject, request, response);
    } catch (AuthenticationException e) {
        return onLoginFailure(token, e, request, response);
    }
}

createToken(),该方法又是 BasicHttpAuthenticationFilter 来实现的,其实也就是从 Authorization 的 Request Header 提取base64 编码的用户名和密码,然后解析,最终会实例化 UsernamePasswordToken。

protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
    String authorizationHeader = getAuthzHeader(request);
    if (authorizationHeader == null || authorizationHeader.length() == 0) {
        // Create an empty authentication token since there is no
        // Authorization header.
        return createToken("", "", request, response);
    }

    log.debug("Attempting to execute login with auth header");

    String[] prinCred = getPrincipalsAndCredentials(authorizationHeader, request);
    if (prinCred == null || prinCred.length < 2) {
        // Create an authentication token with an empty password,
        // since one hasn't been provided in the request.
        String username = prinCred == null || prinCred.length == 0 ? "" : prinCred[0];
        return createToken(username, "", request, response);
    }

    String username = prinCred[0];
    String password = prinCred[1];

    return createToken(username, password, request, response);
}

在 createToken 之后,会 getSubject,执行 login()。后面会执行 securityManager 的 login 方法,在 securityManager 中会对 token 进行验证,本质上就是调用 Realm 方法验证,如果验证过程中没有异常抛出,则顺利执行,

login() 具体执行逻辑见:

https://blog.csdn.net/qq_39291919/article/details/108289019

如果认证过程没有异常抛出,最终会走到 onLoginSuccess(),如果有异常抛出则执行 onLoginFailure()。一般也就是在 Realm 的执行逻辑中抛出异常。

罐装面包
关注
  • 6
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
spring sercurity教程之认证
知我饭否
10-05 1726
前言 想写这篇博客很久了,但是一直就是自己心里明镜,但是要很好的总结出来,还是会有无从下手的感觉。但我还是开始写吧。一直拖 早着才能写完。 简介 谈一下 个人对spring security的理解,权限控制,这是最重要的,并且可以高度定制化,这一点学完以后大家就明白了。其次就是 spring sercurity 用了Filter和AOP。所以,大家即使不用spring sercurity 只用最简...
基本认证Basic Authentication」-crx插件
03-22
基本身份验证插件 - 保持简单 请注意,此扩展程序不会收集,存储或处理您的私人信息,也不会收集任何分析数据。基本身份验证凭据存储在本地计算机上,并且不与任何外部服务同步。扩展程序卸载后,所有保存的数据都将丢失 ----------基本身份验证广泛用于许多登台环境。使用此扩展,您可以通过几个简单的步骤自动执行日志记录过程。如果您不需要特定的域设置,只需将凭据放在工作的最开始,就不用担心“基本身份验证”提示窗口了。您可以随时使用“高级设置”为特定域提供更多凭据 ----------最后更改:-添加了多域支持-删除了代理问题 支持语言:English
Spring Security Web 5.1.2 源码解析 -- BasicAuthenticationFilter
热门推荐
Details Inside Spring
12-09 1万+
概述 源代码解析 参考文章 Spring Security Web 5.1.2 源码解析 – 安全相关Filter清单
shiro自定义filterBasicHttpAuthenticationFilter解读
xuguruogu的专栏
03-31 1万+
通过creattoken,容器获取验证信息。通过onAccessDenied处理验证失败的处理方法。 遇到比较特别的移动开发需求,不得不求助于自定义filter来实现了。 更多细节参考BasicHttpAuthenticationFilter源码 https://shiro.apache.org/static/1.2.3/apidocs/org/apache/shiro/web/filter
Http Basic 认证_basichttpprocessor 配置密码
最新发布
2401_84281698的博客
05-16 243
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~因篇幅有限,仅展示部分资料。还有大家最喜欢的黑客技术。
Spring Security3源码分析-BasicAuthenticationFilter分析
Dead_Knight的专栏
05-08 765
BasicAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.www.BasicAuthenticationFilter Basic验证方式相比较而言用的不是太多。spring security也支持basic的方式,配置如下 [code="xml"] ...
Spring Security3源码分析(11)-BasicAuthenticationFilter分析
Benjamin
09-11 6641
BasicAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.www.BasicAuthenticationFilter  Basic验证方式相比较而言用的不是太多。spring security也支持basic的方式,配置如下  Xml代码   securi
Shiro 框架 BasicHttpAuthenticationFilter 认证流程
saienenen的博客
12-11 6196
BasicHttpAuthenticationFilter 继承关系 从继承关系可以看到 BasicHttpAuthenticationFilter 继承自抽象类 OncePerRequestFilter。 OncePerRequestFilter 的字面意思是:Once Per Request,即每个请求只执行一次。 分析 1,OncePerRequestFilter OncePerRequestFilter 部分源码: public final void doFilter(ServletRe
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息
qq_27437301的博客
11-22 895
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息。
BasicHttpAuthenticationFilter使用@Autowired注入时会报null
weixin_44029044的博客
06-27 1230
Bug原因:web应用启动的顺序是:listener->filter->servlet 解决方法:使用context中的ApplicationContextAware解决 import org.springframework.beans.BeansException; import org.springframework.context.ApplicationContext; import org.springframework.context.ApplicationContextAwar
filter java oauth_Spring Security OAuth2从默认筛选器链中禁用BasicAuthenticationFilter
weixin_32199821的博客
12-24 1534
在Authorization Server中,由于对客户端ID的某些操作,需要添加自定义BasicAuthenticationFilter . 大多数实现与 BasicAuthenticationFilter 相同 . 以下是相同的片段,@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletR...
HTTP Basic Authentication
Just Do It!
03-03 639
Contents OverviewConfiguration Overview A client can authenticate to the Enterprise Gateway with a username and password combination
p2p_JWTFilter_BasicHttpAuthenticationFilter
maqingbin8888的专栏
10-01 7753
JWTFilter 继承了BasicHttpAuthenticationFilter //是否是登录尝试 isLoginAttempt(ServletRequest request, ServletResponse response)  //获取验证信息 AuthenticationToken createToken(ServletRequest request, ServletResponse...
关于BasicAuthenticationFilter 发生的outStream 冲突问题
小汤圆
08-17 236
关于 BasicAuthenticationFilter 中的 java.lang.IllegalStateException: getOutputStream() has already been called for this response 报错问题 某天在参照大佬的配置security的时候发生了如下的错误: java.lang.IllegalStateException: getOutputStream() has already been called for this response at
Basic Auth
crazy_qu的博客
08-03 1044
可能网上有重复代码了,以下存粹为了记录自己的程序小人生。也希望能帮到小白,不喜勿喷。大神可以给指点一下,欢迎骚扰!!! 1.SecurityConfiguration.java代码 import com.pactera.unilever.kanban.api.web.utils.JBCryptUtils; import org.springframework.beans.factory.an...
新版Spring Security6.2案例 - Basic HTTP Authentication
喝醉的鱼博客
12-13 2096
新版Sprint security 6.2,翻译官网basic http authentication以及小案例
自定义JWT认证过滤器
Leon_Jinhai_Sun的博客
01-23 2033
身份认证 - 1 登录成功之后前端就可以获取到了jwt的信息,前端中我们是保存在了store中,同时也保存在了localStorage中,然后每次axios请求之前,我们都会添加上我们的请求头信息,可以回顾一下: 前端项目的axios.js 所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作。 那么我们自定义一个过滤器用来进行识别jwt。 JWTAuthenticationFilter
Http Basic 认证
緑水長流*z
11-11 1261
概述 当用户发送请求来到Http服务器进行Http Basic认证时,如果之前没有认证过,那么提示用户输入用户名和密码,如果正确,用户名和密码会经过base64编码后追加到请求头信息中再次请求服务器,服务器会根据请求头中携带的认证信息,来判断此次认证是否成功,此后,用户每次访问服务器的任何资源都会携带该请求头,不管资源是否受限 案例 下面我们通过代码来实现Http Basic认证 项目结构 配置...
Spring Boot实战之Filter实现简单的Http Basic认证(*)
weixin_42408447的博客
11-16 951
Spring Boot实战之Filter 1.Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet chaining”(servlet 链). 一个Filter包括: 1)在servlet被调用之前截获; 2)在servl
basichttpauthenticationfilter
03-16
BasicHttpAuthenticationFilter 是 Apache Shiro 框架提供的一个过滤器,用于实现基本的 HTTP 认证功能。它可以拦截 HTTP 请求并检查请求头中是否包含 Basic 认证信息。如果包含,则将认证信息与预先配置的用户名和密码进行比较,如果一致,则认为认证通过。如果不一致,则返回认证失败响应码。使用 BasicHttpAuthenticationFilter 可以很方便地为 Web 应用程序添加基本的身份验证功能。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罐装面包

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值