【JavaWeb】SpringSecurity过滤链的理解

最新推荐文章于 2024-06-02 09:24:44 发布
最新推荐文章于 2024-06-02 09:24:44 发布
阅读量702 收藏 1
点赞数
分类专栏: JAVAWEB 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43654226/article/details/110498853
版权

写在最前,本人也只是个大三的学生,如果你发现任何我写的不对的,请在评论中指出。

Spring Security过滤链

如何查看整条过滤链?

  根据spring官网的说辞,为了能更好的了解spring security这个框架,官方更推荐我们从spring security的过滤链开始研究,所以我直接从官网扒了一张图开始研究:
在这里插入图片描述

  首先,spring容器与servlet容器是两个不相关的概念,但spring security的servlet为了支持基于servlet的过滤器,因此设计了DelegatingFilterProxy,可以在servlet容器的生命周期和spring的ApplicationContext之间进行桥接。而图中的FilterChainProxy则是spring security提供的用于获取过滤链的bean, 它可以被DelegatingFilterProxyApplicationContext中获取。
  那么接下来我们可以直接启动一个spring security demo来根据官方给出的几个代理类来查看主要流程,实际上我们可以直接在FilterChainProxy的doFilter方法处打上断点,对于DelegatingFilterProxy可以直接关注它的invokeDelegate方法(这个方法才是真正的dofilter逻辑, 该方法前面的都是进行初始化)。

继续查看doFilter方法
在这里插入图片描述
再进入doFilterInternal方法,就可以浏览当前spring security的过滤链
在这里插入图片描述

继续跟进FilterChainProxy, 它还是实现了一个内部类VirtualFilterChain ,可以让过滤链集合中的过滤器工作
在这里插入图片描述
  到这里,基本就是过滤器链开始执行各过滤器的核心过滤器方法,之后就是spring security认证通过。

过滤链介绍

  记录一下目前编写的demo在addtionalFiliters内的出现的部分filters。但在这之前需要提一下OncePerRequestFilter,spring security部分的过滤器都继承了该类,该类的意旨在于每个请求仅执行一次(以解决各种容器不兼容的问题),其中doFilterInternal留白给子类发挥空间。

  • SecurityContextPersistenceFilter

  该过滤类,在源码介绍的最前就摆明了自身的功能:可以从之前配置的SecurityContextRepository中取得已经存储了信息的SecurityContextHodler,并在请求完成之后清除原先的SecurityContextHodler,将新的SecurityContextHodler存储回SecurityContextHodler,以供后续的过滤器使用。

// 直接看到dofilter方法内
// HttpRequestResponseHolder仅仅只是把request和response封装到了一起
HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
// loadContext方法会判断当前的SecurityContext是否空,为空则new一个,不为空则保存到SaveToSessionResponseWrapper,供后续使用
SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
// 之后就是将获取到的这个context通过set方法保留,然后根据之前context内的认证信息(null ? true : false)日志记录
try {
	SecurityContextHolder.setContext(contextBeforeChainExecution);
	if (contextBeforeChainExecution.getAuthentication() == null) {
		logger.debug("Set SecurityContextHolder to empty SecurityContext");
	}
	else {
		if (this.logger.isDebugEnabled()) {
			this.logger
					.debug(LogMessage.format("Set SecurityContextHolder to %s", contextBeforeChainExecution));
		}
	}
	chain.doFilter(holder.getRequest(), holder.getResponse());
}
// 之后就是开头所说,需要清理。请求结束后清除SecurityContextHolder中的SecurityContext的操作是必须的
// 因为默认情况下SecurityContextHolder会把SecurityContext存储到ThreadLocal中,而这个thread刚好是存在于servlet容器的线程池中的
// 如果不清除,当后续请求又从线程池中分到这个线程时,程序就会拿到错误的认证信息
finally {
	SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
	// Crucial removal of SecurityContextHolder contents before anything else.
	SecurityContextHolder.clearContext();
	this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
	request.removeAttribute(FILTER_APPLIED);
	this.logger.debug("Cleared SecurityContextHolder to complete request");
}
  • HeaderWriterFilter

  这个过滤类的话,源码也不多,文档解析也很清除明了,Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。

  • LogoutFilter

  登出过滤器,会轮询一系列的LogoutHandler,这些处理器是注销的时候而调用。

// 直接上源码
private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
	// 判读是否需要退出,主要通过请求的url是否是filterProcessesUrl来识别
	if (requiresLogout(request, response)) {
		// 获取认证实例
		Authentication auth = SecurityContextHolder.getContext().getAuthentication();
		if (this.logger.isDebugEnabled()) {
			this.logger.debug(LogMessage.format("Logging out [%s]", auth));
		}
		this.handler.logout(request, response, auth);
		// 退出成功后,进行redirect操作
		this.logoutSuccessHandler.onLogoutSuccess(request, response, auth);
		return;
	}
	chain.doFilter(request, response);
}

  一般而言,我们在SecurityContextPersistenceFilter中只产生了一个空的SecurityContext,这里应该是一个没有认证信息的SecurityContext实例,得到的应该是Null吧?但注意这个是登出过滤器, 这条分支走到是登出时的信息, 所以此时存在实例信息的。需要注意的是后续的注销处理器, 至少有一个SecurityContextLogoutHandler,如果有记住我这个服务,就还有一个处理器,不过它们的任务基本上都是:让session失效和清除SecurityContext实例

  • RequestCacheAwareFilter

  该过滤链在源码中的介绍是一个已缓存的请求与当前请求匹配,则负责重构保存的请求,白话讲就是:用于用户登录成功后,重新恢复因为登录被打断的请求,就不多讲了(我不会)。

  • SecurityContextHolderAwareRequestFilter

  再一次看到源码介绍,简单粗暴的讲了该过滤器是用于包装ServletRequest的。

// 源码看起来也异常的简单
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	chain.doFilter(this.requestFactory.create((HttpServletRequest) req, (HttpServletResponse) res), res);
}

  这个过滤器看起来很简单。目的仅仅是实现java ee中servlet api一些接口方法。 一些应用中直接使用getRemoteUser方法、isUserInRole方法,在使用spring security时其实就是通过这个过滤器来实现的。

  • AnonymousAuthenticationFilter

  该过滤器理解起来也比较容易,因为很容易会在security config配置类里配置一些允许匿名访问的路径。实际上就是通过该过滤器实现的。它会手工设置了一个匿名的登录人Authentication。我们可以在其后的过滤器中,如果没有登录时,我们也可以知道当前访问的是匿名用户。

protected Authentication createAuthentication(HttpServletRequest request) {
	AnonymousAuthenticationToken token = new AnonymousAuthenticationToken(this.key, this.principal,
			this.authorities);
	token.setDetails(this.authenticationDetailsSource.buildDetails(request));
	return token;
}
  • SessionManagementFilter

  如果只看源码的话,它在dofilter方法中从SecurityContext中获取认证信息,并判断当前用户不是匿名用户,就将当前用户信息保存,并且通过securityContextRepository保存当前SecurityContext(想更详细的了解,可以通过下面两个链接):

SessionManagementFilter讲解上篇
SessionManagementFilter讲解下篇

小林也要龙女仆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合springSecurity
04-19
SpringBoot与SpringSecurity整合是Java后端开发中的常见实践,旨在提供安全的Web服务。Spring Security是一个强大且高度可配置的安全框架,它可以帮助开发者保护应用程序免受常见的安全威胁。Spring Boot则通过简化...
Javaweb仿摩拜
03-28
Spring Security等框架可以帮助实现这些安全控制。 8. **前端技术**:除了后端开发,项目还需要关注前端部分。HTML、CSS和JavaScript构建用户界面,Bootstrap和jQuery等库可以加速页面设计和交互实现。 9. **部署...
SpringMVC笔记】2、利用IDE快速配置,Result风格,doFilterInternal源码解读,使用原生态ServletAPI,多种注解使用
瓦刀
04-28 3371
REST风格 :软件编程风格 Springmvc: GET :查 POST :增 DELETE :删 PUT :改 普通浏览器只支持get post方式 ;其他请求方式如 delelte|put请求是通过过滤器新加入的支持。 springmvc实现 :put|post请求方式的步骤 a.增加过滤器 <!-- 增加HiddenHttpMethodFilte过...
二、SpringBoot整合Web相关技术
believer
04-11 330
目录SpringBoot整合Web相关技术一、Spring Boot2.x 过滤器基础入门&实战项目场景实现1.1、过滤器1.2、创建项目lesson-filter1.3、Filter 快速入门1.3.1、@WebFilter 实现1.3.2、 FilterRegistrationBean 实现1.4、过滤校验用户是否登录实战二、Spring Boot2.x 拦截器基础入门&实战项...
Spring (32)Spring Security过滤
最新发布
qq_43012298的博客
06-02 425
Spring Security 的安全模型核心之一是一系列过滤器,这些过滤器组成了一个。这个过滤负责处理进入应用的每个HTTP请求,实现认证、授权等安全功能。每个过滤器都有其特定的责任,它们按照特定的顺序执行。
过滤Filter
君故的博客
01-14 239
Filter过滤器,其实就是对客户端发出的请求进行过滤。浏览器发出,然后服务器派Servlet处理,在中间就可以过滤,所以过滤器起到的是拦截作用 作用: 对一些敏感词汇进行过滤 统一设置编码 自动登录 …………. 如何使用过滤器? 定义一个类,实现filter接口 注册过滤器,在配置文件中(web.xml) 如果直接新建的是filter文件,会自动配置好,如果新建的class文件,需要去w...
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤
业精于勤荒于嬉
08-19 1152
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤
Spring Security 初体验
xiaosong2001的博客
02-17 522
Spring Security 初体验 ①认证过滤器(登录) 用于接收前端用户登录信息(username和password)与数据库用户信息(通过UserDetailsService查询)就行判断。 UserDetailsService:查询存在用户信息返回SecurityUser对象,否则抛出异常。 JWTPasswordHandler:判断密码是否正确。 /** * @author XS * @Version v1.0 * @ClassName: 认证过滤器 * @Description:
Javaweb 登录页面自动跳转
05-07
6. **Spring Security**:对于更复杂的认证和授权管理,可以使用Spring Security框架。它提供了全面的安全解决方案,包括登录、注销、权限控制等功能,并支持自定义逻辑。 7. **Cookie管理**:除了会话,有时也会...
JavaWeb 开发之路经验总结
02-16
10. **安全问题**:学习防止SQL注入、XSS攻击、CSRF攻击等常见Web安全问题的方法,以及Spring Security或Apache Shiro等安全框架的使用。 在"849.ProxyPool__derekhe"这个文件中,可能包含了关于代理池(ProxyPool...
javaweb 发帖管理系统
06-30
JavaWeb发帖管理系统是一款基于JavaWeb技术开发的应用,主要用于实现用户在web平台上发布、查看、管理帖子的功能。...通过这样的实训,开发者可以深入理解JavaWeb开发的全貌,提升实际项目开发能力。
SpringSecurity的默认Filter详解
户伟伟的博客
09-20 978
SpringSecurity默认的Filter详解
springboot整合springsecurity框架,重写验证的过滤器(分布式项目)(六)
一天不写代码难受的博客
10-15 1906
根据以上的步骤,用户登录成功之后,已经拿到了对应的token。那么之后用户就可以拿这个token到各个服务器了,但是各个服务器是如何判断验证是哪个用户的么?也就是各个服务器是如何验证这个token的。 重写验证的过滤器 之前的springsecurity框架自己验证的时候,是有一个过滤器BasicAuthenticationFilter 既然现在我们认证的代码已经重写了,所以验证的也要重写 自己写一个过滤器,继承BasicAuthenticationFilter,重写里面的验证的方法doFilterInte
SpringSecurity权限管理框架系列(七)-SpringSecurity自定义配置类中自定义Filter的使用详解
最爱嫣夜来
03-26 4117
1、Filter请求过滤filter请求过滤器可以帮助我们进行HttpServletRequest请求和HttpServletResponse响应的过滤 在自定义的Filter过滤器中我们可以对我们的请求进行过滤, 同时也可以对返回的相应进行处理,在方法中实现我们自定义的业务逻辑处理,这是很常见的需求,下面说说spring security框架中怎么是怎么搭配自定义Filter过滤器来使用的。 2、自定义Spring Security配置类中添加自定义Filter 2.1 自定义Filter类 pac
spring boot拦截器的两种设置
火焰云的博客
01-26 637
1、实现HandlerInterceptor接口实现doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)方法 2、继承OncePerRequestFilter类,重写preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) 方法 ...
Spring Security
MoYu's Blog
05-06 253
Spring SecuritySecurity-dome 1.创建项目 创建一个Spring Boot项目,不用加入什么依赖 2.导入依赖 <dependencies> <!--启动器变为 web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-
SpringSecurity SecurityContextHolder&SecurityContext
Claroja
03-22 724
SecurityContextHolder用来存储一次访问的用户信息 SecurityContextHolder通过ThreadLocal来实现,所以是线程安全的 SecurityContextHolder包含了SecurityContext,而SecurityContext包含Autherntication. SecurityContext context = SecurityContextHolder.createEmptyContext(); Authentication authenticati.
SpringSecurity - 启动流程分析(四)- 默认过滤
业精于勤荒于嬉
08-14 786
SpringSecurity - 启动流程分析(四)
Spring Boot 过滤器、拦截器、监听器对比及使用场景
m0_73311735的博客
12-30 360
由于ajax是异步的,还在当前页面进行的局部请求。详细见登录拦截器代码。主要用来监听对象的创建与销毁的发生, 比如 session 的创建销毁, request 的创建销毁, ServletContext 创建销毁。是在请求进入servlet后,在进入Controller之前进行预处理的,Controller 中渲染了对应的视图之后请求结束。在请求进入容器后,但在进入servlet之前进行预处理,请求结束是在servlet处理完以后。过滤器是在web应用启动的时候初始化一次, 在web应用停止的时候销毁。
JavaWeb与泛型深入理解
Java编程中,【基础加强1】的学习内容主要围绕Java Web开发的基础技术以及一些进阶特性展开,包括XML、Servlet、JSP、数据库操作、JDBC以及JavaWeb增强如过滤器、监听器、文件上传下载和国际化处理。同时,课程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值