SpringSecurity------Persisting Authentication(十一)

已于 2022-06-20 22:14:11 修改
阅读量832 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: java 服务器 spring
于 2022-06-20 21:44:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanjun333/article/details/125353212
版权

SpringSecurity------Persisting Authentication(十一)

一、Persisting Authentication

当用户第一次请求受保护的资源时,客户端HTTP请求的汇总:

1、未经认证的用户请求受保护资源

GET / HTTP/1.1
Host: example.com
Cookie: SESSION=91470ce0-3f3c-455b-b7ad-079b02290f7b

HTTP/1.1 302 Found
Location: /login

2、用户提交他们的用户名和密码

POST /login HTTP/1.1
Host: example.com
Cookie: SESSION=91470ce0-3f3c-455b-b7ad-079b02290f7b

username=user&password=password&_csrf=35942e65-a172-4cd4-a1d4-d16a51147b3e```

3、在对用户进行认证时,会将用户关联一个新的会话id,以防止会话固定攻击

```xml
HTTP/1.1 302 Found
Location: /
Set-Cookie: SESSION=4c66e474-3f5a-43ed-8e48-cc1d8cb1d1c8; Path=/; HttpOnly; SameSite=Lax

4、后续请求包括会话cookie,该cookie用于在会话剩余时间对用户进行身份验证

GET / HTTP/1.1
Host: example.com
Cookie: SESSION=4c66e474-3f5a-43ed-8e48-cc1d8cb1d1c8

二、SecurityContextRepository

Spring Security使用SecurityContextRepository关联登录用户和登录之后发往服务器的请求

1、HttpSessionSecurityContextRepository

HttpSecurityContextRepository是SecurityContextRepository的默认实现,它会将SecurityContext关联到HttpSession。

2、NullSecurityContextRepository

不做任何关联处理

3、RequestAttributeSecurityContextRepository

RequestAttributeSecurityContextRepository将SecurityContext设置为一个请求参数,可以保证在一个请求发生分派时还能获取到SecurityContext。比如,客户端在认证通过之后向服务器发送一个请求,但是在后续处理请求的过程中出现异常。异常出现就意味着已经建立的SecurityContext会被清除,然后分派错误请求,错误请求分派不会创建SecurityContext。这就意味着错误页面不能使用SecurityContext,除非使用某种方式持久化SecurityContext。下面是配置使用方式:

public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.securityContext((securityContext) -> securityContext
			.securityContextRepository(new RequestAttributeSecurityContextRepository())
		);
	return http.build();
}

三、SecurityContextPersistenceFilter

SecurityContextPersistenceFilter负责使用SecurityContextRepository处理请求之间的SecurityContext的持久化

请添加图片描述

(1)在应用程序处理后续业务之前,SecurityContextHolderFilter从SecurityContextRepository加载SecurityContext,并将其设置到SecurityContextHolder

(2)应用程序处理后续业务

(3)最后,如果SecurityContext有变动,使用SecurityContextRepository保存SecurityContext。
这就意味着当我们使用SecurityContextPersistenceFilter时,只需要配置SecurityContextHolder就能保证SecurityContext的持久化

在某些情况下,响应会在SecurityContextPersisteneFilter执行完成之前响应到客户端。例如,重定向响应会立即被响应到客户端,这就意味着步骤3中是不可能建立HttpSession的;另一种可能发生的情况是,如果客户端身份验证成功,在SecurityContextPersistenceFilter完成之前提交响应,并且客户端在SecurityContextPersistenceFilter完成之前发出第二个请求,第二个请求中可能出现错误的身份验证。

为了避免这些问题,SecurityContextPersistenceFilter封装了HttpServletRequest和HttpServletResponse来检测SecurityContext是否发生了变化,如果发生了变化,则在响应提交之前保存SecurityContext。

四、SecurityContextHolderFilter

SecurityContextHolderFilter使用SecurityContextRepository在处理请求之间加载SecurityContext
securitycontextholderfilter

(1)在应用程序处理后续业务之前,SecurityContextHolderFilter使用SecurityContextRepository加载SecurityContext,然后设置到SecurityContextHolder中

(2)应用程序处理后续业务

和SecurityContextPersistenceFilter不同,SecurityContextHolderFilter只加载SecurityContext,而不保存SecurityContext。这意味着当使用SecurityContextHolderFilter时,需要显式保存SecurityContext。 配置显示保存SecurityContext:

public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.securityContext((securityContext) -> securityContext
			.requireExplicitSave(true)
		);
	return http.build();
}
豢龙先生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 758
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
PySpark-Boilerplate:编写PySpark作业的样板
05-17
- **caching和persisting**: 缓存中间结果,避免重复计算。 **6. PySpark-Boilerplate项目结构** - **配置文件**: 通常包含Spark配置,如`spark.conf.py`,用于设置Spark运行参数。 - **数据输入/输出**: 存放数据...
Spring Security Web 5.1.2 源码解析 -- HttpSessionSecurityContextRepository
Details Inside Spring
12-02 5700
Spring Security Web提供的类HttpSessionSecurityContextRepository是一个SecurityContextRepository接口的实现,用于在HttpSession中保存安全上下文(security context),这样属于同一个HttpSession的多个请求,就能够利用此机制访问同一安全上下文了。 package org.springfram...
Spring Security之认证信息的处理
最新发布
Evan_L的博客
05-19 1036
我们通常将当前用户信息保存在session中,由HttpSessionSecurityContextRepository来管理。在请求进入后,先通过SecurityContextPersistenceFilter将HttpSessionSecurityContextRepository中的SecurityContext恢复到SecurityContextHolder,这样后续的处理就能通过它来获取SecurityContext了。
SpringSecurity系列——持久认证(Persisting Authentication),会话管理day3-2(源于官网5.7.2版本)
qq_51553982的博客
07-20 995
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。......
Spring Security 自定义SecurityContextRepository
m13012606980的专栏
02-08 1724
spring security的逻辑是判断一个请求如果需要进行身份验证,它需要通过SecurityContextRepository#loadContext方法看是否能获取到已验证的身份信息,如果获取到则直接访问对应的请求,获取不到则说明用户没有进行身份认证,则需要跳转到“/login”进行登录,登录成功,会把已验证的身份信息存储起来,调用SecurityContextRepository#saveContext方法。
spring security-源码流程分析(三)
luoxiaomei999的博客
03-31 1940
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、模拟一次请求,过滤器执行流程 本次重点关注以上几个过滤器的部分执行过程 SecurityContextPersistenceFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) .
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 1937
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
Laravel开发-persisting-requests
08-27
在Laravel框架中,"persisting-requests"是一个专门用于处理持久请求的扩展包,它为开发者提供了一种高效的方法来管理和存储HTTP请求的状态,以便在后续操作中重用或恢复这些请求。这个包的核心目标是减少重复的HTTP...
spring-framework-reference 4.3.8.RELEASE
05-26
web services, and various options for persisting your data. It offers a full-featured MVC framework, and enables you to integrate AOP transparently into your software. Spring is designed to be non-...
iOS打的LLDB学习资料-英文版
07-18
Chapter 8: Persisting & Customizing Commands 教你如何保存和定制LLDB命令,提高调试效率。 Chapter 9: Regex Commands 展示了如何使用正则表达式命令,使得在大量数据中搜索特定模式变得更加方便。 通过这些...
Android代码-Android-Boilerplate
08-06
A simple boilerplate application which demonstrates the downloading, persisting and syncing of data - displayed with a common layout used amongst applications. The project is setup using: Functional ...
SpringSecurity如何设置和修改登录态
xsgnzb的专栏
04-02 1391
通过更新和,我们就能完整更新中的用户信息。如果项目中引入了Spring Session,Spring Session维护的登录态也会同步更新。
SpringSecurity过滤器分析
04-03 303
无怪网友大多说SpringSecurity使用成本高,但是价值不大,许多功能看起来很鸡肋,添加的过滤器有点多,从一些过滤器来看,有前后端不分离时代的味道。本人配置的SpringSecurity,几乎没剩下什么了,自己写几个Filter估计也不是太难,网友诚不欺我。
浅析 Spring Security 的认证过程及相关过滤器
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-09 1005
前言上一篇文章浅析 Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security的认证过程。Spring Security 的核心之一就是它的过滤器链,我们就从它的过滤器链入手,下图是Spring Security 过滤器链的一个执行过程,本文将依照该过程来逐步的剖析其认...
Spring Security 之默认过滤器链的SecurityContextPersistenceFilter(七)
欢谷悠扬
07-08 414
1.SecurityContextPersistenceFilter 是干啥的 SecurityContextPersistenceFilter 是用来在认证之前从SecurityContextRepository获取SecurityContext,然后放入SecurityContextHolder中。 在其他方法执行完毕之后,将SecurityContext 通过SecurityContextRepository存储到想要存储的地方,然后清理掉SecurityContextHolder中的Security
Authentication Persistence and Session Management
m13012606980的专栏
02-04 949
翻译版本 【spring-security 6.2.1 】session-managemen
Spring Security Config : HttpSecurity安全配置器 SecurityContextConfigurer
Details Inside Spring
06-16 1402
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,SecurityContextConfigurer的配置任务如下 : 配置如下安全过滤器Filter SecurityContextPersistenceFilter 如果存在共享对象SecurityContextRepository,则使用它作为安全上下文存储库,否则创建一个实现类型为HttpSessi...
spring-security(二十)核心Filter-SecurityContextPersistenceFilter
高枫的博客
02-28 2713
一、SecurityContextPersistenceFilter功能和属性 1.在前面介绍spring filter顺序时,我们简单介绍过SecurityContextPersistenceFilter,他主要有两个作用。 [list] [*]请求开始时从对应的SecurityContextRepository获取securityContext存入SecurityContextHolde...
k8s yml --help
06-02
在 `kubectl` 命令行工具中,你可以使用 `--help` 参数来查看命令的帮助文档,包括 YAML 文件的格式要求和示例。例如,使用 `kubectl create --help` 命令可以查看如下内容: ``` Create a resource from a file or from stdin. JSON and YAML formats are accepted. Usage: kubectl create (-f FILENAME | --filename=FILENAME) [options] kubectl create (-k DIRECTORY | --kustomize=DIRECTORY) [options] kubectl create clusterrolebinding NAME --clusterrole=ROLE [--user=USER] kubectl create clusterrole NAME --verb=verb --resource=resource.group [--resource-name=resource.name] kubectl create configmap NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create cronjob NAME --image=image [--schedule=''] --command -- [COMMAND] [args...] [options] kubectl create deployment NAME --image=image [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create job NAME --image=image --command -- [COMMAND] [args...] [options] kubectl create namespace NAME [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create secret generic NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create service NAME --tcp=port1,port2,... [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl create serviceaccount NAME [--dry-run=server|client|none] [--output=wide|yaml|json] [options] Examples: # Create a pod using the data in pod.json. kubectl create -f ./pod.json # Create a pod based on the JSON passed into stdin. cat pod.json | kubectl create -f - # Edit the data in EDITOR (default vim). kubectl create configmap my-config --from-file=config.json --edit # Create a new namespace named my-namespace kubectl create namespace my-namespace Options: -f, --filename='': Filename, directory, or URL to files to use to create the resource -k, --kustomize='': Process a kustomization directory. This flag can't be used together with -f or -R. --edit=false: Edit the data in $EDITOR --force=false: Create resource even if it already exists --dry-run='none': Must be "none", "server", or "client". If client strategy, only print the object that would be sent, without sending it. If server strategy, submit server-side request without persisting the resource. -o, --output='': Output format. One of: yaml, json, wide, name, go-template-file, go-template, jsonpath-file, jsonpath. If unspecified, will default to yaml for standalone objects and table for lists. --record=false: Record current kubectl command in the resource annotation. If set to false, do not record the command. If set to true, record the command. If not set, default to updating the existing annotation value only if one already exists. ``` 在这个帮助文档中,你可以看到 `kubectl create` 命令支持不同类型的资源对象,包括 Pod、Deployment、Service、Secret 等。对于每个资源对象类型,文档都提供了示例和参数说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豢龙先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值