springsecurity授权源码解读

最新推荐文章于 2024-04-18 14:00:36 发布
最新推荐文章于 2024-04-18 14:00:36 发布
阅读量489 收藏
点赞数
分类专栏: springsecurity java springboot 文章标签: 授权 springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010879420/article/details/84587681
版权

springsecurity授权源码梳理

时序图借用

在这里插入图片描述

登陆认证过程中涉及的filter过滤器整理

在这里插入图片描述

从图中可以看出执行的顺序。来看看个人认为比较重要的 几个Filter 的处理逻辑,

1.UsernamePasswordAuthenticationFilter

上一篇中登陆认证的过程中使用。

2.AnonymousAuthenticationFilter
//org.springframework.security.web.authentication.AnonymousAuthenticationFilter

//创建一个用户名为anonymousUser授权为ROLE_ANONYMOUS
public AnonymousAuthenticationFilter(String key) {
        this(key, "anonymousUser", AuthorityUtils.createAuthorityList(new String[]{"ROLE_ANONYMOUS"}));
    }

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        //如果前面的过滤器都没认证通过
        if (SecurityContextHolder.getContext().getAuthentication() == null) { 
//为当前的SecurityContextHolder中添加一个匿名的AnonymousAuthenticationToken
            SecurityContextHolder.getContext().setAuthentication(this.createAuthentication((HttpServletRequest)req)); 
        }
        chain.doFilter(req, res);
    }

//创建匿名的AnonymousAuthenticationToken
    protected Authentication createAuthentication(HttpServletRequest request) {
        AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(this.key, this.principal, this.authorities);
        auth.setDetails(this.authenticationDetailsSource.buildDetails(request));
        return auth;
    }
3.ExceptionTranslationFilter

ExceptionTranslationFilter是异常处理过滤器,处理在系统认证授权过程中抛出的异常,主要处理AuthenticationException和AccessDeniedException异常

//org.springframework.security.web.access.ExceptionTranslationFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;

        try {
            chain.doFilter(request, response);
        } catch (IOException var9) {
            throw var9;
        } catch (Exception var10) {
            //判断是否为AuthenticationException异常
            Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(var10);
            RuntimeException ase = (AuthenticationException)this.throwableAnalyzer.getFirstThrowableOfType(AuthenticationException.class, causeChain);
            if (ase == null) {
            	//判断是否为AccessDeniedException异常
                ase = (AccessDeniedException)this.throwableAnalyzer.getFirstThrowableOfType(AccessDeniedException.class, causeChain);
            }

            if (ase == null) {
                //如果上面异常没有匹配到 则判断是否为ServletException异常
                if (var10 instanceof ServletException) {
                    throw (ServletException)var10;
                }
				//如果上面异常没有匹配到 则判断是否为RuntimeException异常
                if (var10 instanceof RuntimeException) {
                    throw (RuntimeException)var10;
                }

                throw new RuntimeException(var10);
            }

            if (response.isCommitted()) {
                throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", var10);
            }

            this.handleSpringSecurityException(request, response, chain, (RuntimeException)ase);
        }

    }
4.FilterSecurityInterceptor

此过滤器是认证授权过程中最后一个过滤器,该过滤器之后才是具体的映射请求 如/menu/menus

//org.springframework.security.web.access.intercept.FilterSecurityInterceptor

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
    public void init(FilterConfig arg0) throws ServletException {
    }
    public void destroy() {
    }
    
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        this.invoke(fi);
    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if (fi.getRequest() != null && fi.getRequest().getAttribute("__spring_security_filterSecurityInterceptor_filterApplied") != null && this.observeOncePerRequest) {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            if (fi.getRequest() != null && this.observeOncePerRequest) {
                fi.getRequest().setAttribute("__spring_security_filterSecurityInterceptor_filterApplied", Boolean.TRUE);
            }
            
            //****重要****
            //执行父类org.springframework.security.access.intercept.AbstractSecurityInterceptor的beforeInvocation()方法
            //下面讲解
            InterceptorStatusToken token = super.beforeInvocation(fi);

            try {
                //可以理解为 **** 才是具体的映射请求 如/menu/menus ****
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                super.finallyInvocation(token);
            }
            super.afterInvocation(token, (Object)null);
        }

    }
}
5.AbstractSecurityInterceptor

FilterSecurityInterceptor 的父类

//org.springframework.security.access.intercept.AbstractSecurityInterceptor

protected InterceptorStatusToken beforeInvocation(Object object) {
        if (!this.getSecureObjectClass().isAssignableFrom(object.getClass())) {
            throw new IllegalArgumentException();
        } else {
            //注:获取自定义匹配规则
            //this.obtainSecurityMetadataSource()为当前类定义的抽象方法
            //DefaultFilterInvocationSecurityMetadataSource为SecurityMetadataSource的子类
            //默认调用DefaultFilterInvocationSecurityMetadataSource中的getAttributes()方法
            Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);
            
            if (attributes != null && !attributes.isEmpty()) {
                if (SecurityContextHolder.getContext().getAuthentication() == null) {
                    this.credentialsNotFound(this.messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound", "An Authentication object was not found in the SecurityContext"), object, attributes);
                }

                Authentication authenticated = this.authenticateIfRequired();

                try {
                    //*****重点*****
                    //authenticated   当前认证过的Authentication
                    //object ??????
                    //attributes ?????
                    this.accessDecisionManager.decide(authenticated, object, attributes);
                } catch (AccessDeniedException var7) {
                    this.publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, var7));
                    throw var7;
                }

                if (this.publishAuthorizationSuccess) {
                    this.publishEvent(new AuthorizedEvent(object, attributes, authenticated));
                }

                Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attributes);
                if (runAs == null) {
                    return new InterceptorStatusToken(SecurityContextHolder.getContext(), false, attributes, object);
                } else {
                    SecurityContext origCtx = SecurityContextHolder.getContext();
                    SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
                    SecurityContextHolder.getContext().setAuthentication(runAs);
                    return new InterceptorStatusToken(origCtx, true, attributes, object);
                }
            } else if (this.rejectPublicInvocations) {
                throw new IllegalArgumentException();
            } else {
                this.publishEvent(new PublicInvocationEvent(object));
                return null;
            }
        }
    }

//为获取attributes使用
public abstract SecurityMetadataSource obtainSecurityMetadataSource();

调试中观察到

1)object为当前请求的url 如/menu/menus
2)attributes

默认会调用org.springframework.security.web.access.intercept.DefaultFilterInvocationSecurityMetadataSource类中的getAttributes()方法

    public Collection<ConfigAttribute> getAttributes(Object object) {
        HttpServletRequest request = ((FilterInvocation)object).getRequest();
        Iterator var3 = this.requestMap.entrySet().iterator();

        Entry entry;
        do {
            if (!var3.hasNext()) {
                return null;
            }

            entry = (Entry)var3.next();
        } while(!((RequestMatcher)entry.getKey()).matches(request));

        return (Collection)entry.getValue();
    }

在这里插入图片描述

6.AccessDecisionManager授权

AccessDecisionManager是接口

在这里插入图片描述

Spring Security默认使用AffirmativeBased实现AccessDecisionManager 的 decide 方法来实现授权。

//org.springframework.security.access.vote.AffirmativeBased
public class AffirmativeBased extends AbstractAccessDecisionManager {

    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
        int deny = 0;
        Iterator var5 = this.getDecisionVoters().iterator();

        while(var5.hasNext()) {
            //1.调用AccessDecisionVoter的vote()方法进行投票
            AccessDecisionVoter voter = (AccessDecisionVoter)var5.next();
            int result = voter.vote(authentication, object, configAttributes);
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Voter: " + voter + ", returned: " + result);
            }

            switch(result) {
            case -1://投票为-1 则记录一下
                ++deny;
                break;
            case 1://投票为1 直接返回
                return;
            }
        }

        if (deny > 0) {
            //如果有两个及以上AccessDecisionVoter(姑且称之为投票者吧)都投-1,则直接就不通过了
            //抛出AccessDeniedException 未授权
            throw new AccessDeniedException();
        } else {
            this.checkAllowIfAllAbstainDecisions();
        }
    }
}
BadgeZ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java holder详解,Spring框架中SecurityContextHolder类的使用详解(未完待续)
weixin_36332616的博客
03-13 984
Spring框架借助ThreadLocal来保存和传递用户登录信息。我们通常是使用下面这段代码,来获取保存在ThreadLocal中的用户信息。SecurityContextHolder.getContext().getAuthentication().getPrincipal();如果我们想获取用户的ID,可以这样:String userId =SecurityContextHolder.ge...
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
daTou
08-24 905
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等
SpringSecurity源码4-安全上下文
moernagedian的博客
04-18 383
javax.servlet.Filter这与 类似SecurityContextPersistenceFilter,只是必须显式调用 来SecurityContextRepository.saveContext(SecurityContext, HttpServletRequest, HttpServletResponse)保存 SecurityContext.这提高了效率,并通过允许不同的身份验证机制单独选择是否应保留身份验证来提供更好的灵活性。SecurityContext的持有器。
Spring Security4.1.3实现拦截登录后向登录页面跳转方式(redirect或forward)返回被拦截界面
热门推荐
honghailiang的专栏
09-27 4万+
一、看下内部原理 简化后的认证过程分为7步: 用户访问网站,打开了一个链接(origin url)。 请求发送给服务器,服务器判断用户请求了受保护的资源。 由于用户没有登录,服务器重定向到登录页面 填写表单,点击登录 浏览器将用户名密码以表单形式发送给服务器 服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步) 服务器对用户拥有的
springboot2 security成功登陆后无法获取用户信息 getPrincipal为anonymous
qinkaiyuan94的博客
08-26 1万+
我这是一个前后端分离项目所以可能和大多数项目不太相同 我登陆成功之后获取到的 SecurityContextHolder.getContext().getAuthentication().getPrincipal()  是 anonymous 之前我设置的是 .anyRequest().permitAll() 所有请求都不需要权限就可以访问,这样的话所有请求内都无法得到认证信息,所以是a...
SecurityContextHolder.getContext().getAuthentication()报空指针异常,已解决。
qq_48697226的博客
11-29 9197
SecurityContextHolder.getContext().getAuthentication()报空指针异常,已解决。
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
SpringSecurity企业及认证全套开发资源.docx
02-25
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
spring_security.txt
03-05
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
我的SpringSecurity实践
04-03
总结起来,《我的SpringSecurity实践》这篇文章可能涵盖了SpringSecurity源码解析、配置文件的解读,以及在实际项目中如何利用工具进行安全控制。对于想要深入了解SpringSecurity的读者,这是一个很好的学习起点,...
基于SpringBoot+SpringSecurity的RBAC管理系统.zip
最新发布
05-18
综上所述,该系统是一个采用SpringBoot作为基础框架,结合SpringSecurity实现用户认证和授权的RBAC管理系统。开发者或学生可以通过研究这个项目,深入理解Spring全家桶中的两大核心组件——SpringBoot和Spring...
Spring Security源码剖析从入门到精通.跟学尚硅谷
星哲最开心
05-29 1482
Spring Security源码剖析从入门到精通.跟学尚硅谷
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1367
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
Spring Security源码分析
sober_pluto的博客
06-19 857
SpringSecurity源码分析
spring security异常记录:org.springframework.security.access.AccessDeniedException: Access is denied
qq_56769991的博客
02-11 2万+
最近在做ssm项目的时候用到spring security时遇到了异常,如下所示: 15:06:28,144 DEBUG FilterSecurityInterceptor:348 - Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationToken@52dd6d71: Principal: anonymousUser; Credentials: [PROTECTED]; .
Spring——Security安全框架使用详解(基于内存认证)
专注写bug
02-22 6494
文章目录前言Security简介Security相关模块配置和初试父项目依赖引入创建子项目工程security 登录账户密码修改、配置配置文件指定账户密码编写配置类获取登录账户、密码 前言 在日常开发中,几乎所有的项目都需要进行请求的安全校验操作。 通常会采取以下几种方式来实现安全校验和过滤。 1、实例化HandlerInterceptor接口,配置其中的preHandle、postHandle、afterCompletion属性信息。 具体可以参考博客: springboot实践----拦截器的配置
Markdonw语法
吴大侠的博客
11-25 2594
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
SpringSecurity学习笔记
HRX98的博客
01-14 459
SpringSecurity
Spring Security 授权
07-29
Spring Security 是一个用于保护 Java 应用程序的框架,它提供了一套强大的身份验证和授权机制。授权是指在用户身份验证通过后,根据用户的角色和权限来决定用户是否有权访问特定资源或执行特定操作。 在 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值