[SpringSecurity5.6.2源码分析六]:ChannelProcessingFilter

最新推荐文章于 2024-08-07 07:30:00 发布
最新推荐文章于 2024-08-07 07:30:00 发布
阅读量62 收藏
点赞数
分类专栏: SpringSecurity5.6.2源码分析 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41662584/article/details/132807423
版权

1、基础用法

  • ChannelProcessingFilter是SpringSecurity的第一个过滤器,具体排序规则见FilterComparator,

image.png

  • 主要作用:可限制服务端接受的安全协议,比如说仅支持Https或者Http

1.1 开启配置类:

  • 首先我们注册到容器中的WebSecurityConfigurerAdapter是针对于WebSecurity的配置类,但是像Cors、Csrf等等功能是靠HttpSecurity配置的, 我们可以通过重写此方法,并通过requiresChannel()注册一个ChannelSecurityConfigurer,这是用于配置通道的配置类
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    ......
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requiresChannel();
   }
   ......
}

1.2 使用

  • 注册通道处理器(ChannelProcessor)
http.requiresChannel().channelProcessors(list)
  • 通道处理器是用于用于判断是否满足某些安全条件,比如说
    • InsecureChannelProcessor:要求请求使用非安全通道
    • SecureChannelProcessor:要求请求使用安全通道
  • 针对于哪些请求需要进行安全通道的限制
http.requiresChannel().mvcMatchers("/*").requires("REQUIRES_SECURE_CHANNEL")
http.requiresChannel().mvcMatchers("/*").requires("REQUIRES_INSECURE_CHANNEL")
  • 注册一个ObjectPostProcessor,让过滤器在创建完成后执行的回调方法
http.requiresChannel().withObjectPostProcessor(new ObjectPostProcessor<ChannelProcessingFilter>() {
   @Override
   public <O extends ChannelProcessingFilter> O postProcess(O object) {
      return object;
   }
});
  • 这并不是当前介绍的这个过滤器独有,而应该是大部分过滤器都应该具备的,比如说ExceptionTranslationFilter,BasicAuthenticationFilter等等过滤器都具备的,都是在对应的配置类中负责执行的

2、ChannelSecurityConfigurer

  • 所有的配置类都是基于建造者模式进行的
@Override
protected final O doBuild() throws Exception {
  synchronized (configurers) {
     buildState = BuildState.INITIALIZING;

     beforeInit();
     init();

     buildState = BuildState.CONFIGURING;

     beforeConfigure();
     configure();

     buildState = BuildState.BUILDING;

     O result = performBuild();

     buildState = BuildState.BUILT;

     return result;
  }
}
  • ChannelSecurityConfigurer只重写了configure方法,这里也只讲这个,这里出现了两个新的类
    • ChannelDecisionManagerImpl:负责管理注册的ChannelProcessor
    • DefaultFilterInvocationSecurityMetadataSource:主要是根据请求确定本次请求需要具备哪些安全属性或者说权限
@Override
public void configure(H http) {
   ChannelDecisionManagerImpl channelDecisionManager = new ChannelDecisionManagerImpl();
   //设置通道处理器
   channelDecisionManager.setChannelProcessors(getChannelProcessors(http));
   channelDecisionManager = postProcess(channelDecisionManager);
   //设置通道决策管理器
   this.channelFilter.setChannelDecisionManager(channelDecisionManager);

   //设置安全元数据源
   DefaultFilterInvocationSecurityMetadataSource filterInvocationSecurityMetadataSource = new DefaultFilterInvocationSecurityMetadataSource(
         this.requestMap);
   this.channelFilter.setSecurityMetadataSource(filterInvocationSecurityMetadataSource);
   this.channelFilter = postProcess(this.channelFilter);
   http.addFilter(this.channelFilter);
}
  • 第6行和14行代码就是要执行注册的ObjectPostProcessor
  • 接下来看getChannelProcessors(http)方法
/**
 * 获得通道处理器
 * @param http
 * @return
 */
private List<ChannelProcessor> getChannelProcessors(H http) {
   if (this.channelProcessors != null) {
      return this.channelProcessors;
   }

   //创建安全通过处理器
   InsecureChannelProcessor insecureChannelProcessor = new InsecureChannelProcessor();
   SecureChannelProcessor secureChannelProcessor = new SecureChannelProcessor();


   PortMapper portMapper = http.getSharedObject(PortMapper.class);
   if (portMapper != null) {

      RetryWithHttpEntryPoint httpEntryPoint = new RetryWithHttpEntryPoint();
      httpEntryPoint.setPortMapper(portMapper);
      insecureChannelProcessor.setEntryPoint(httpEntryPoint);
      //创建不安全通过处理器
      RetryWithHttpsEntryPoint httpsEntryPoint = new RetryWithHttpsEntryPoint();
      httpsEntryPoint.setPortMapper(portMapper);
      secureChannelProcessor.setEntryPoint(httpsEntryPoint);
   }
   insecureChannelProcessor = postProcess(insecureChannelProcessor);
   secureChannelProcessor = postProcess(secureChannelProcessor);
   return Arrays.asList(insecureChannelProcessor, secureChannelProcessor);
}
  • 可以看到当我们没有为其注册通道处理器的时候,默认是注册两个,一个是要求安全的一个是非安全的
  • 这里出现了两个新类:PortMapper和RetryWithHttpEntryPoint
  • PortMapper:如果是系统要求使用安全的也就是Https那么就需要进行重定向,但是重定向后的端口怎么确定呢,就是靠这个类
    • 可以看出默认就只有两个端口的转换
public PortMapperImpl() {
   this.httpsPortMappings = new HashMap<>();
   this.httpsPortMappings.put(80, 443);
   this.httpsPortMappings.put(8080, 8443);
}
  • RetryWithHttpEntryPoint:当请求的安全协议不支持的时候,进行重定向操作
@Override
public void commence(HttpServletRequest request, HttpServletResponse response) throws IOException {
   String queryString = request.getQueryString();
   String redirectUrl = request.getRequestURI() + ((queryString != null) ? ("?" + queryString) : "");
   Integer currentPort = this.portResolver.getServerPort(request);
   Integer redirectPort = getMappedPort(currentPort);

   if (redirectPort != null) {
      // http和https默认的端口不需要设置
      boolean includePort = redirectPort != this.standardPort;
      String port = (includePort) ? (":" + redirectPort) : "";

      redirectUrl = this.scheme + request.getServerName() + port + redirectUrl;
   }
   this.logger.debug(LogMessage.format("Redirecting to: %s", redirectUrl));
   // 设置重定向Url
   this.redirectStrategy.sendRedirect(request, response, redirectUrl);
}

3、ChannelProcessingFilter

  • 此过滤器就两个方法:afterPropertiesSet() 和 doFilter(…)
  • afterPropertiesSet():检查注册的安全属性是否合法
@Override
public void afterPropertiesSet() {
   ......
   // 获取所有安全属性
   Collection<ConfigAttribute> attrDefs = this.securityMetadataSource
         .getAllConfigAttributes();

   if (attrDefs == null) {
      if (this.logger.isWarnEnabled()) {
         this.logger
               .warn("Could not validate configuration attributes as the FilterInvocationSecurityMetadataSource did "
                     + "not return any attributes");
      }

      return;
   }

   Set<ConfigAttribute> unsupportedAttributes = new HashSet<>();

   // 判断通道管理器中的通道处理器是否支持对于的安全属性(权限)
   for (ConfigAttribute attr : attrDefs) {
      if (!this.channelDecisionManager.supports(attr)) {
         unsupportedAttributes.add(attr);
      }
   }

   // 不为空就说明有安全属性不支持直接抛出异常
   if (unsupportedAttributes.size() == 0) {
      if (this.logger.isInfoEnabled()) {
         this.logger.info("Validated configuration attributes");
      }
   }
   else {
      throw new IllegalArgumentException(
            "Unsupported configuration attributes: " + unsupportedAttributes);
   }
}
  • doFilter(…):
    • 第一步:通过安全元数据源获得接口所需权限
    • 第二步:调用通道决策管理器判断请求是否合法,如果不合法就会在内部设置重定向的参数,然后这里就会直接返回了
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {

   //包装请求
   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;
   FilterInvocation filterInvocation = new FilterInvocation(request, response, chain);

   //通过安全元数据源获得接口所需权限
   Collection<ConfigAttribute> attributes = this.securityMetadataSource.getAttributes(filterInvocation);
   if (attributes != null) {
      this.logger.debug(LogMessage.format("Request: %s; ConfigAttributes: %s", filterInvocation, attributes));
      //调用通道决策管理器
      this.channelDecisionManager.decide(filterInvocation, attributes);
      //是否已经完成
      if (filterInvocation.getResponse().isCommitted()) {
         return;
      }
   }
   chain.doFilter(request, response);
}
qq_41662584
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring SecurityChannelProcessingFilter 使用https请求
rabbit0708的专栏
05-08 2335
7.4.6  确保一个安全的通道 字母“s”是Internet上最重要的字母。任何一个在Web上冲浪超过五分钟的人都知道绝大多数Web页面均与以“http://”打头的URL相关联。那是因为绝大多数Web页面都通过HTTP协议被请求和发送。 对于绝大多数页面来说,HTTP完全够用,但是当有秘密信息在Internet上四处传输时就不够用了。通过HTTP发送的信息很容易被无法无天的黑客截获和读取,
ChannelProcessingFilter
yecong111的专栏
11-25 2109
通常最可能用来确保一个请求在https上发生,可以给ChannelDecisionManagerImpl赋值SecureChannelProcessor和InsecureChannelProcessor 一个典型的配置如下:       ref="channelDecisionManager"/>               -security-metadata-source
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2444
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4362
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
Spring Security学习笔记之ChannelProcessingFilter
py_xin的博客
10-09 3034
ChannelProcessingFilter通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行. 下面是自动配置SpringSecurity过滤器时的配置方式: ... 下面是手动配置SpringSecurity过滤器时的配置方式: <
Spring Security 新手入门级maven实例
07-02
**Spring Security新手入门级Maven实例详解** Spring Security是一个强大且高度可定制的身份验证和访问控制框架,用于JavaJava EE应用。它为应用程序提供了全面的安全解决方案,包括用户认证、授权以及安全配置。...
qt-everywhere-(qqqq)opensource-src-5.6.2.zip
07-05
编译QT 5.6.2源码在Linux环境下通常涉及以下步骤: 1. **安装依赖**:确保系统安装了必要的编译工具和库,如GCC、G++, Make, OpenSSL, zlib等。 2. **配置QT**:使用`configure`脚本进行编译前的配置,可以指定...
Concrete5 CMS网站源码 v5.6.2
04-02
Concrete5中文简体语言包,解压后请放在languages文件夹下,支持5.6.1.2和5.6.2版本 把鼠标放在顶部的 Dashboard(控制台)上面,不要点进去,会显示一个窗口,下面有这三个选项: News – Learn about your site and...
实验 5.6.2:RIP 配置练习
06-04
RIP 配置练习实验报告 本实验报告旨在指导学习者完成 RIP ...、实验结论 * 通过本实验,学习者可以了解子网划分的基本原则和方法 * 了解 RIPv1 的配置和工作原理 * 能够独立完成 RIP 配置练习,提高网络实践能力
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 1512
spring-secrity的Filter顺序+自定义过滤器
spring过滤规则的名字含义_spring security系列二:过滤器机制
weixin_32365777的博客
12-31 388
spring security框架的过滤器是基于基础的filter来实现,这样它可以不需要依赖任何web框架,甚至连spring mvc框架都不需要依赖,这样整个spring security过滤器就会变得异常的轻量级和无侵入性。spring security处理请求流程用户发起请求,认证管理器(Authentication Manager)会发起拦截,验证用户发起请求时的一些凭证信息,未通过验证...
Spring Security 内置过滤器表
武汉小喽啰
02-14 133
别名 过滤器类 CHANNEL_FILTER ChannelProcessingFilter SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter CONCURRENT_SESSION_FILTER ConcurrentSessionFilter LOGOUT_FILTER LogoutFil...
spring filter
李永
03-19 219
Table 2.1. Standard Filter Aliases and Ordering Alias Filter Class Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURIT...
Spring Security(03)登录认证源码分析
愤怒的菜鸟博客
03-02 332
Spring Security在内部维护一个过滤器链,其中每个过滤器都有特定的责任; 比如: ChannelProcessingFilter,因为它可能需要重定向到不同的协议 SecurityContextPersistenceFilter,因此可以在web请求开头的SecurityContextHolder中设置SecurityContext,并且SecurityContext的任何更改都可以复制到HttpSession当web请求结束时(准备好与下一个web请求一起使用) 等等… 登录流程解
配置acegi 的通道过滤器 ChannelProcessingFilter
xxtianxiaxin的专栏
09-08 160
[code="java"] CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISON \A/web/page/login/login_name.jsp\Z=REQUIRES_SECURE_CHANNEL \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANN...
目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
u012465383的博客
01-12 4883
直接写过滤器: package com.todaytech.yth.gdsd.base.Filter; import java.io.IOException; import java.util.Iterator; import java.util.Map; import javax.servlet.Filter; import javax.servlet.FilterChain; import
常见的Web漏洞——SQL注入
热门推荐
江左盟的博客
06-25 12万+
目录 SQL注入简介 SQL注入原理 SQL注入分类及判断 SQL注入方法 联合查询注入 基于bool的盲注 基于时间的盲注 总结 SQL注入简介 SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。本文以免费开源数据库My...
Spring Boot】高效配置管理: 易用性与灵活性并重
最新发布
weixin_68020300的博客
08-07 973
本文探讨了Spring Boot中多样化的配置读取方法及其应用场景,强调了配置管理的重要性,并展示了Spring Boot如何通过灵活多变的配置选项简化这一过程。此外,文章还展望了配置管理领域未来的技术趋势和发展方向。对于任何希望深入了解Spring Boot配置管理的开发者来说,这是一篇不容错过的好文。
ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none)
08-02
问题:ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none) 回答: 当出现"ERROR: Could not find a version that satisfies the requirement"的错误时,这意味着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值