SpringSecurity_过滤器链

最新推荐文章于 2024-06-11 21:01:57 发布
最新推荐文章于 2024-06-11 21:01:57 发布
阅读量297 收藏
点赞数
分类专栏: Spring 文章标签: java spring maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45907893/article/details/130793239
版权
过滤器链的加载流程
<!--认证授权过滤器-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <!--委派过滤器-->
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

进入DelegatingFilterProxy类,查看继承关系,可以看出它是个过滤器

public class DelegatingFilterProxy extends GenericFilterBean {}

public abstract class GenericFilterBean implements Filter, BeanNameAware, EnvironmentAware,
		EnvironmentCapable, ServletContextAware, InitializingBean, DisposableBean {}

核心方法

@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		// Lazily initialize the delegate if necessary.
		Filter delegateToUse = this.delegate;
		if (delegateToUse == null) {
			synchronized (this.delegateMonitor) {
				delegateToUse = this.delegate;
				if (delegateToUse == null) {
					WebApplicationContext wac = findWebApplicationContext();
					if (wac == null) {
						throw new IllegalStateException("No WebApplicationContext found: " +
								"no ContextLoaderListener or DispatcherServlet registered?");
					}
					delegateToUse = initDelegate(wac);
				}
				this.delegate = delegateToUse;
			}
		}
		// Let the delegate perform the actual doFilter operation.
		invokeDelegate(delegateToUse, request, response, filterChain);
	}

进入initDelegate方法,此处targetBeanName的值为springSecurityFilterChain,这个方法会返回一个filterChainProxy对象

protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
		String targetBeanName = getTargetBeanName();
		Assert.state(targetBeanName != null, "No target bean name set");
		Filter delegate = wac.getBean(targetBeanName, Filter.class);
		if (isTargetFilterLifecycle()) {
			delegate.init(getFilterConfig());
		}
		return delegate;
	}

通过filterChainProxy对象找其所属的类
在这里插入图片描述
进入类中,找doFilter方法,内部有一个无论如何都会走doFilterInternal(request, response, chain);方法

@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
			try {
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
				doFilterInternal(request, response, chain);
			}
			finally {
				SecurityContextHolder.clearContext();
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
			doFilterInternal(request, response, chain);
		}
	}

进入doFilterInternal(request, response, chain);方法,关键位置getFilters(fwRequest);

private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		List<Filter> filters = getFilters(fwRequest);

		if (filters == null || filters.size() == 0) {
			if (logger.isDebugEnabled()) {
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters"
								: " has an empty filter list"));
			}

			fwRequest.reset();

			chain.doFilter(fwRequest, fwResponse);

			return;
		}

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

getFilters(fwRequest);方法会返回13个过滤器
在这里插入图片描述
至此委派过滤器作用到此结束。
下面一次讲述以下各过滤器的作用

  1. SecurityContextPersistenceFilter
    SecurityContextPersistenceFilter 主要是使用 SecurityContextRepository在 session 中保存或更新一个 SecurityContext,并将 SecurityContext 给以后的过滤器使用,来为后续 filter 建立所需的上下文。SecurityContext 中存储了当前用户的认证以及权限信息。
    简单的说,就是初始化一个类似于 springIOC 的容器。
  2. WebAsyncManagerIntegrationFilter
    此过滤器用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager
    如果 springSecurity 要整合到 spring 工程里面去,必须使用这个过滤器。
  3. HeaderWriterFilter
    向请求的 Header 中添加相应的信息,可在 http 标签内部使用 security:headers 来控制
  4. CsrfFilter
    csrf 又称跨域请求伪造,SpringSecurity 会对所有 post 请求验证是否包含系统生成的 csrf 的 token 信息,如果不包含,则报错。起到防止 csrf 攻击的效果。
  5. logout.LogoutFilter
    匹配 URL 为/logout 的请求,实现用户退出,清除认证信息。
  6. UsernamePasswordAuthenticationFilter
    认证操作全靠这个过滤器,默认匹配 URL 为/login 且必须为 POST 请求。
  7. DefaultLoginPageGeneratingFilter(弃用)
    如果没有在配置文件中指定认证页面,则由该过滤器生成一个默认认证页面。
  8. DefaultLogoutPageGeneratingFilter(弃用)
    由此过滤器可以生产一个默认的退出登录页面
  9. BasicAuthenticationFilter
    此过滤器会自动解析 HTTP 请求中头部名字为 Authentication,且以 Basic 开头的头信息。
    简而言之就是解析 Http 请求头信息。
  10. RequestCacheAwareFilter
    通过 HttpSessionRequestCache 内部维护了一个 RequestCache,用于缓存HttpServletRequest
  11. SecurityContextHolderAwareRequestFilter
    针对 ServletRequest 进行了一次包装,使得 request 具有更加丰富的 API
  12. AnonymousAuthenticationFilter
    当 SecurityContextHolder 中认证信息为空,则会创建一个匿名用户存入到SecurityContextHolder 中。springsecurity 为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。
  13. SessionManagementFilter
    SecurityContextRepository 限制同一用户开启多个会话的数量
  14. ExceptionTranslationFilter
    异常转换过滤器位于整个 springSecurityFilterChain 的后方,用来转换整个链路中出现的异常。简单说就是,进行 springSecurity 中的异常处理。
  15. FilterSecurityInterceptor
    获取所配置资源访问的授权信息,根据 SecurityContextHolder 中存储的用户信息来决定其是否有权限。简单的说就是授权。

问:是不是 springsecurity 一共就这么多过滤器呢?
答案:不是!随着 spring-security.xml 配置的添加,还会出现新的过滤器。
问:是不是 springsecurity 每次都会加载这些过滤器呢?
答案:不是!随着 spring-security.xml 配置的修改,有些过滤器可能会被去掉。

CsrfFilter过滤器的底层原理

CsrfFilter类中doFilterInternal方法

  • 当request请求方式为trace / get / head / options时,直接放行;
  • 当request请求方式为post时,拦截请求,获取token,如果token存在,放行,不存在交给this.accessDeniedHandler.handle(request, response, exception);处理。
@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		request.setAttribute(HttpServletResponse.class.getName(), response);
		CsrfToken csrfToken = this.tokenRepository.loadToken(request);
		boolean missingToken = (csrfToken == null);
		if (missingToken) {
			csrfToken = this.tokenRepository.generateToken(request);
			this.tokenRepository.saveToken(csrfToken, request, response);
		}
		request.setAttribute(CsrfToken.class.getName(), csrfToken);
		request.setAttribute(csrfToken.getParameterName(), csrfToken);
		if (!this.requireCsrfProtectionMatcher.matches(request)) {
			if (this.logger.isTraceEnabled()) {
				this.logger.trace("Did not protect against CSRF since request did not match "
						+ this.requireCsrfProtectionMatcher);
			}
			filterChain.doFilter(request, response);
			return;
		}
		String actualToken = request.getHeader(csrfToken.getHeaderName());
		if (actualToken == null) {
			actualToken = request.getParameter(csrfToken.getParameterName());
		}
		if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {
			this.logger.debug(
					LogMessage.of(() -> "Invalid CSRF token found for " + UrlUtils.buildFullRequestUrl(request)));
			AccessDeniedException exception = (!missingToken) ? new InvalidCsrfTokenException(csrfToken, actualToken)
					: new MissingCsrfTokenException(actualToken);
			this.accessDeniedHandler.handle(request, response, exception);
			return;
		}
		filterChain.doFilter(request, response);
	}
认证流程分析

还记得 UsernamePasswordAuthenticationFilter 这个过滤器吗,主要负责认证的过滤器
找到这个 UsernamePasswordAuthenticationFilter 这个类,核心方法attemptAuthentication

 public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

进入authenticate(authRequest)方法,是个接口方法,找其实现类ProviderManager,是不是很熟悉?
在这里插入图片描述
ProviderManager 内部的authenticate方法,getProviders()获取所有的认证提供者,找一个合适的来处理,返回值是一个AuthenticationProvider(接口)对象,找其实现类AbstractUserDetailsAuthenticationProvider

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			try {
				result = provider.authenticate(authentication);
				//...
			}
		}
///....		
	}

实现类AbstractUserDetailsAuthenticationProvider中,核心方法authenticate()中,关键方法retrieveUser

try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}

进入 retrieveUser 方法,是个抽象方法,找其实现类,DaoAuthenticationProvider中的retrieveUser方法,以下是关键位置

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

进入loadUserByUsername(username);方法,是一个 UserDetailsService 接口,返回值是UserDetails类型的接口,找UserDetails的实现类—>User,User内部有两个构造方法,完成认证过程。

public User(String username, String password,
			Collection<? extends GrantedAuthority> authorities) {
		this(username, password, true, true, true, true, authorities);
	}

public User(String username, String password, boolean enabled,
			boolean accountNonExpired, boolean credentialsNonExpired,
			boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
			//...
	}

所以,我们若是想要自定义认证,就必须实现UserDetailsService接口,重写 loadUserByUsername 方法,返回一个UserDetails对象,通过User构造函数完成认证。
方式一:
自定义一个类,实现UserDetailsService接口…
方式二:
使用UserService接口,继承UserDetailsService接口,使用UserServiceImpl实现UserService接口,重写方法

无论是那种方式,本质是没有区别的
区别点:

<!--    <bean id="authenticateManage" class="com.herd.aspect.UserInfoAuthenticateManage">-->
<!--    </bean>-->
<!--    <security:authentication-provider user-service-ref="authenticateManage">-->
       <security:authentication-provider user-service-ref="userServiceImpl">
       	
	   </security:authentication-provider>
不忌嘴的tom猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全面解析Spring Security 过滤器的机制和特性
08-18
主要介绍了Spring Security 过滤器的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity过滤器
qq_53318060的博客
09-14 2542
SpringSecurity过滤器
springSecurity(一):认识springSecurity过滤器
最新发布
qq_43586337的博客
06-11 1069
springSecurity学习笔记
Spring Security 中的过滤器是什么?它的作用是什么
u013749113的博客
05-24 1450
Spring Security中的过滤器是由许多不同的过滤器组成的一个条。这些过滤器在执行过程中,会对请求进行过滤和处理,以确保应用程序的安全性。Spring Security中的过滤器是一个非常重要的组件,它可以提供身份验证、授权、记住我等功能,同时也可以自定义其他的过滤器,以满足特定的应用场景需求。在Spring Security中,过滤器是一个由FilterChainProxy对象维护的条。
spring Security过滤连
weixin_37920963的博客
09-11 272
在上面的配置中,通过addFilterBefore方法将自定义的CustomFilter添加到UsernamePasswordAuthenticationFilter之前。这样,当请求进入过滤器时,CustomFilter会在UsernamePasswordAuthenticationFilter之前执行。它负责在请求进入Spring MVC DispatcherServlet之前拦截请求并进行安全验证、授权、会话管理等相关操作,最终将请求转发给控制器进行处理。
Spring Security介绍(三)过滤器(1)过滤器
w_t_y_y的博客
02-06 600
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
SpringSecurity_JWT_Test.zip
04-05
3. **认证过滤器**:在SpringSecurity的过滤中,添加一个自定义的JWTAuthenticationFilter。这个过滤器会在每个请求到达时检查请求头中的JWT,如果有效,它会创建一个Authentication对象并将其放入SpringSecurity...
ss.rar_java security_spring security_springsecurity4xss
09-23
3. **自定义过滤器**:如果需要定制Spring Security的行为,可以创建自定义过滤器并将其插入到过滤器中。 4. **用户认证**:配置用户认证信息,如数据库连接、内存中的用户信息等。 5. **授权规则**:定义哪些...
spring_security_3.1
09-14
3. **过滤器**:Spring Security的核心是过滤器,它拦截HTTP请求并执行安全逻辑。`FilterSecurityInterceptor`是其中的关键组件,它处理授权检查。3.1版中,你可以自定义过滤器顺序和配置,以适应不同的应用需求...
spring security 4 小例子带自定义过滤器
03-20
默认的过滤器包括了如`DelegatingFilterProxy`(用于代理Spring Security的FilterSecurityInterceptor)、`ChannelProcessingFilter`(处理HTTP与HTTPS切换)和`FilterInvocationSecurityMetadataSourceAdvisor`...
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
热门推荐
小威的博客
04-18 1万+
Spring Security过滤器由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器中的每个过滤器,直到到达目标资源。在过滤器中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
Spring Security 过滤器基础组件
Littlemotor
08-09 2019
Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器
Spring Security in Action 第九章 SpringSecurity常用过滤器介绍
Learning_xzj的博客
01-28 1196
Spring Security中,HTTP filters(过滤器)对不同的HTTP请求进行过滤。在第三章到第五章,我们讨论了HTTP的认证和授权架构,我经常提到过滤器。在Spring Security中,一般来说,HTTP filters对请求进行过滤。这些过滤器形成了一个责任。一个过滤器接收一个请求,执行其逻辑,并最终将请求委托给中的下一个过滤器(图9.1)。图9.1 过滤器接收请求。每个过滤器使用一个管理器来对请求应用特定的逻辑,并最终将请求沿着子进一步委托给下一个过滤器。这个想法很简单。当
SpringSecuritySpring Security过滤器
来日浅谈的博客
05-14 2890
SpringSecuritySpring Security过滤器1. SpringSecurity常用过滤器介绍2. SpringSecurity过滤器加载原理2.1 DelegatingFilterProxy2.2 FilterChainProxy2.3 SecurityFilterChain 1. SpringSecurity常用过滤器介绍 接下来我们就来看看常见的过滤器。 1. org.springframework.security.web.context.SecurityContextPe
Spring Security过滤器加载执行流程源码分析
Charge8的博客
12-29 2235
Spring Security过滤器加载执行流程源码分析
SpringSecurity(十二)过滤器分析(上)
陈橙橙
03-16 1993
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器。因为Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器。那么这些过滤器是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
Spring Security过滤FilterChain
Jianyang_usst的博客
11-17 9214
Spring Security过滤FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤机制! 1.Filters概述 图1 过滤 当客户端发送一个请求到应用时,容器会创建一个过滤FilterChain,该过滤包含了Filt
Spring Security系列(二)——过滤器分析以及创建多个登陆入口
玖涯博客
12-06 2875
写在前面 **本文场景:**希望在网关上实现security统一进行权限认证,后续的服务间交互不再进行权限认证。但是系统有两个类型的账号,一个是普通用户,一个是系统后台管理员,完全是两个类型,希望创建给两个不同的登陆入口分别给两个类型的账号登录使用。 想到的解决方法有两个: 网关上的security想办法创建多个登陆入口(本文描述的方法); 网关上的security只对用户进行权限验证,对管理员的请求放行,管理员在自己的模块上进行权限验证。 **本文思想:**security实现多登陆入口的方法是创建多
深入理解Spring Security 3.2过滤器配置
`FilterChainProxy`是Spring Security的核心组件之一,它负责管理多个过滤器。每个过滤器对应一个URL模式,每个模式下定义了一系列过滤器,这些过滤器按照顺序执行,实现权限检查和认证。在提供的配置代码中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值