SpringSecurity过滤器SecurityContextPersistenceFilter

最新推荐文章于 2023-07-29 17:50:56 发布
最新推荐文章于 2023-07-29 17:50:56 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/122277343
版权

SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从session中获取SecurityContext,然后放到上下文中,之后的filter大多依赖这个来获取登录态。其主要是通过HttpSessionSecurityContextRepository来存取的。

public class SecurityContextPersistenceFilter extends GenericFilterBean {

	static final String FILTER_APPLIED = "__spring_security_scpf_applied";

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (request.getAttribute(FILTER_APPLIED) != null) {
		// 这个就是确保一个request只会走一次SecurityContextPersistenceFilter 
			chain.doFilter(request, response);
			return;
		}
       // 给request打标记,说明这个Filter已经执行过一次了。
		request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

		if (forceEagerSessionCreation) {
		    // 要不要先创建session
			HttpSession session = request.getSession();
		}

		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,response);
		// 通过SecurityContextRepository加载SecurityContext
		// 默认使用的是HttpSessionSecurityContxtReposity
		// 这个就是说,默认是从session中获取。如果session里面获取不到就创建一个新的SecurityContext
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

		try {
		    // 将 SecurityContext 丢入 SecurityContextHolder
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			//执行其他拦截器
			chain.doFilter(holder.getRequest(), holder.getResponse());

		}
		finally {
		    // 在其他拦截器执行完后,再将SecurityContext 从 SecurityContextHolder中移除
			SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
			SecurityContextHolder.clearContext();
			// 保存经过其他拦截器操作过后的SecurityContext到指定地方
			//repo的默认值是HttpSessionSecurityContxtReposity
			// 也就是保存到session中去
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),holder.getResponse());
			request.removeAttribute(FILTER_APPLIED);
		}
	}
}

简述流程:

1.从SecurityContextRepository中获取SecurityContext

2.将SecurityContext存入SecurityContextHolder中

3.执行其他过滤器,对SecurityContext进行处理

4.在其他的执行完后,将SecurityContext从SecurityContextHolder中清除,并通过SecurityContextRepository进行回写。
Spring Security Web提供的类HttpSessionSecurityContextRepository是一个SecurityContextRepository接口的实现,用于在HttpSession中保存安全上下文(security context),这样属于同一个HttpSession的多个请求,就能够利用此机制访问同一安全上下文了。

public interface SecurityContextRepository {

	//获取所提供请求的安全上下文。对于未经身份验证的用户,应返回空上下文实现。此方法不应返回null。
	SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder);

	//在请求完成时存储安全上下文。
	void saveContext(SecurityContext context, HttpServletRequest request,HttpServletResponse response);

	//允许查询存储库是否包含当前请求的安全上下文。
	boolean containsContext(HttpServletRequest request);
}

在这里插入图片描述

这是一条海鱼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security常用过滤器实例解析
08-24
SecurityContextPersistenceFilterSpring Security 中的一个重要的过滤器,负责将 SecurityContext 保存到Session 中或从 Session 中获取 SecurityContextSecurityContext 中存储了当前用户的认证信息和权限...
史上最简单的Spring Security教程(四十):SecurityContextPersistenceFilter详解
银河架构师的博客
11-11 2327
SecurityContextPersistenceFilter,为Spring Security框架Filter Chain过滤器链的第一个 Filter,具有不可或缺的作用。 /** * Populates the {@link SecurityContextHolder} with information obtained from the * configured {@link SecurityContextRepository} prior to the request an...
SecurityContextPersistenceFilter详解
小汤圆
08-11 1640
试想一下,如果我们不使用Spring Security,如果保存用户信息呢,大多数情况下会考虑使用Session对吧?在Spring Security中也是如此,用户在登录过一次之后,后续的访问便是通过sessionId来识别,从而认为用户已经被认证。SecurityContextHolder存放用户信息,认证相关的信息是如何被存放到其中的,便是通过SecurityContextPersistenceFilterSecurityContextPersistenceFilter的两个主要作用便是请求来临时,
SpringSecurity过滤器SecurityContextPersistenceFilter
sdaujsj1的博客
07-03 842
SecurityContextPersistenceFilter SecurityContextPersistenceFilterSpringsecurity链中第二道防线,位于WebAsyncManagerIntegrationFilter之后,作用是为了存储SecurityContext而设计的。 SecurityContextPersistenceFilter主要做两件事: 当请求到来时,从HttpSession中获取SecurityContext并存入SecurityContextHolder中
【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
yqqの博客
03-18 244
SpringSecurity中的jar分为4个,作用分别为。
SecurityRedis Session整合解析
crazy_thinking1的博客
05-02 598
基于SpringSecurity+SpringSessionSpringCloudGateway中整合Session会话管理
Spring Security3 安全 个人总结
09-25
Spring Security3 提供了一系列的过滤器,每个过滤器负责处理不同类型的安全请求。常见的过滤器包括: * SecurityContextPersistenceFilter:创建安全上下文 * UsernamePasswordAuthenticationFilter:完成认证处理...
Spring Security如何在Servlet中执行
08-19
在Servlet环境中,Spring Security通过集成到Servlet的过滤器链(Servlet Filter Chain)中来实现在Web应用中的安全控制。以下是关于Spring Security如何在Servlet中执行的详细说明: 1. **Servlet Filter Chain**...
spring security 参考手册中文版
02-01
13.5与其他基于过滤器的框架一起使用 118 13.6高级命名空间配置 118 14.核心安全筛选器 119 14.1 FilterSecurityInterceptor 119 14.2 ExceptionTranslationFilter 121 14.2.1 AuthenticationEntryPoint 122 14.2.2 ...
如何使用Spring Security手动验证用户的方法示例
08-26
Spring MVC中,默认情况下,Spring SecuritySpring Security过滤器链中添加了一个额外的过滤器,能够持久化Security 上下文(SecurityContextPersistenceFilter类)。反过来,它将Security 上下文的持久性委托...
SpringSecurity SecurityContextPersistenceFilter源码 和企业级Redis使用思想
qq_31142237的博客
09-14 468
之前几篇我们基本上讲述了SpringSecurity 登录认证和授权认证的实现和源码分析。我们大致清楚了 : SpringSecurity 登录认证原理。 如果自定义登录认证流程 授权验证的流程原理 今天我们分析下整个认证过程和企业级redis使用的思想,是为了解决什么问题,以及怎么解决的? 我们简单回顾下 SpringSecurity 流程。 用户登录: 输入用户名 / 密码 JwtLoginFilter (自定义的UsernamePasswordAuthenticationFilter)..
Spring Session 持久化Redis
孙宇航的博客
03-30 254
Spring Session 持久化
支持分布式部署的主流方式 - Session 持久化Redis
xaiobit_hl的博客
02-09 2188
项目支持分布式部署的主流方式 - Session 持久化Redis
Spring Authorization Server入门 (十四) 联合身份认证添加微信登录
云逸的博客
07-29 1670
虽然这次是用测试号对接的,但是实际上开放平台提供的扫码登录也是这个流程,直接替换appid和app secret为开放平台申请的应该能直接使用;另外需要注意的是获取access_token时可能会返回unionid,这是在同一个微信开放平台账号下拥有多个移动应用、网站应用和公众账号,获取用户信息后用户信息中的openid可能不同,但是unionid是相同的,可以通过unionid区分用户。所以可以在三方用户表中多加一个字段来存放unionid或者openid。
SpringBoot配置Redis实现session共享
qq_33422712的博客
10-08 591
1.引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> &
SpringBoot Security认证 Redis缓存用户信息【SpringBoot系列10】
BASK2312的博客
03-31 1660
然后咱们在 Spring Security 配置的拦截器中,token 校验通过后,从 Redis 中查询缓存的用户信息,将用户信息的 UserId 配置到请求头中。这里是自定义的 HttpServletRequestWrapper ,本小节是对 请求Request 中的请求头的操作,后续咱们还会在这里 获取请求体中的参数。本文章是系列文章 ,每节文章都有对应的代码,每节的源码都是在上一节的基础上配置而来,对应的视频讲解课程正在火速录制中。有兴趣可以关注一下公众号:biglead。
struts2+springsecurity+spring-session-data-redis使用redis存储session
feinifi的博客
03-21 1865
springsecurity做权限验证,采用默认的session管理,在系统重新部署启动之后,之前登录的用户session无法被保存,需要用户重新登录,这里使用redis来做session存储,系统重启之后,session还在,无需重新登录。 使用redissession存储,本身配置比较简单,但是这里和struts2结合,就需要注意。 springSessionRepositoryFilt...
Redis的简单使用 (实现Session持久化)
书生-w的博客
06-24 8458
Redis是一个开源的、内存中的数据结构存储系统,可以用作数据库、缓存和消息代理。它支持多种数据类型,包括字符串、哈希、列表、集合和有序集合。
springsecurity过滤器详解
最新发布
09-20
以下是一些常用的Spring Security过滤器及其功能: 1. SecurityContextPersistenceFilter:用于在请求处理期间存储和检索SecurityContext,即当前用户的安全上下文。 2. LogoutFilter:处理用户注销请求,并清除...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值