SpringSecurity的Filter链式调用机制

最新推荐文章于 2024-07-08 16:53:33 发布
最新推荐文章于 2024-07-08 16:53:33 发布
阅读量1.9k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011831754/article/details/53799441
版权

本文通过书写自定义拦截器的方式模仿SpringSecurity中Filter的链式调用机制

在web.xml中配置拦截器,自定义拦截器

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>com.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

被拦截器拦截下的请求会进入DelegatingFilterProxy 中

package com.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.springframework.web.filter.GenericFilterBean;

public class DelegatingFilterProxy extends GenericFilterBean {
    private Filter delegate=new FilterChainProxy();
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain filterChain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        // Let the delegate perform the actual doFilter operation.
        invokeDelegate(delegate,request,response,filterChain);
    }
    private void invokeDelegate(Filter delagate, ServletRequest request,
            ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        delagate.doFilter(request, response, filterChain);
    }

}

实现链式调用的核心环节

package com.filter;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.springframework.security.web.FilterInvocation;
import org.springframework.web.filter.GenericFilterBean;

public class FilterChainProxy extends GenericFilterBean implements Filter {

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain fc) throws IOException, ServletException {
        // TODO Auto-generated method stub
        // 此处的List为举例数据,实际情况中可以动态获取
        FilterInvocation fi=new FilterInvocation(request,response,fc);
        List<Filter> filters = getFilters(fi.getRequest());

        if (filters == null || filters.size() == 0) {
            fc.doFilter(request, response);
            return;
        }

        VirtualFilterChain virtualFilterChain = new VirtualFilterChain(fi, filters);
        virtualFilterChain.doFilter(fi.getRequest(), fi.getResponse());
    }
    private List<Filter> getFilters(HttpServletRequest request) {
        // TODO Auto-generated method stub
        List<Filter> filters=new ArrayList<Filter>();
        filters.add(new UsernamePasswordAuthenticationFilter());
        return filters;
    }
    private static class VirtualFilterChain implements FilterChain {
            private final FilterInvocation fi;
            private final List<Filter> additionalFilters;
            private final int size;
            private int currentPosition = 0;


            private VirtualFilterChain(FilterInvocation filterInvocation, List<Filter> additionalFilters) {
                this.fi = filterInvocation;
                this.additionalFilters = additionalFilters;
                this.size = additionalFilters.size();
            }

            public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
                if (currentPosition == size) {

                    fi.getChain().doFilter(request, response);
                } else {
                    currentPosition++;
                    Filter nextFilter = additionalFilters.get(currentPosition - 1);
                    nextFilter.doFilter(request, response, this);
                }
            }
        }
}

样例UsernamePasswordAuthenticationFilter 类,作为链中的一环出现

package com.filter;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.springframework.web.filter.GenericFilterBean;

public class UsernamePasswordAuthenticationFilter extends GenericFilterBean {

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain fc) throws IOException, ServletException {
        // TODO Auto-generated method stub
        System.out.println("-----------");
        fc.doFilter(request, response);
        System.out.println("-----------");
    }

}
发芽的土豆子
关注
Spring Security 实战内容:图解Spring Security中的Servlet过滤器体系
m0_66876551的博客
04-15 317
1. 前言 Spring Security真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键。 2. Servlet Filter体系 这里我们以Servlet Web为讨论目标,Reactive Web暂不讨论。我们先来看下最基础的Servlet体系,在Servlet体系中客户端发起一个请求过程是经过0到N个Filter然后交给Servlet处理。 Filter不但可以修改HttpServletRequest和HttpServletResponse,可以让我们在请求响应的
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3660
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
springsecurity2 自定义filter实现
03-16
NULL 博文链接:https://jiawu.iteye.com/blog/400351
SpringSecurity HttpSecurity链式调用探究
sinat_33472737的博客
04-24 714
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Springmvc Filter过滤器执行链
pingzhuyan的博客
02-16 516
模拟filter过程 import java.util.List; import java.util.concurrent.CopyOnWriteArrayList; /** * @Author pzy * @Version 0.1.0 * 模拟过滤器方法演示 * <p> * 特殊的拦截器作用 */ interface Filter { boolean invoke(); } interface Servlet { void dispatch(); } .
springSecurity认证逻辑调用链源码挖掘
Rosen's
09-05 525
整体来看可以分为三部分一个是入口的Filter,UsernamePasswordAuthenticationFilter作为过滤器链的一环,提供了认证逻辑的入口;ProviderManager提供了各个Provider来匹配并认证,直到有能够匹配上并认证通过有返回认证结果;最后就是Provider提供的认证逻辑了,这部分有默认的,也可以自由发挥自己注入,方便项目中重写个性化的认证逻辑。
Spring Security 多过滤链的使用
huan的学习记录
07-14 943
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2161
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
浅析基于Spring Security 的身份认证流程
xxxzzzqqq_的博客
03-21 215
Spring Security 是一个专注于为 Java 应用程序提供身份认证和授权的框架。身份认证(authentication),即验证用户身份的合法性,以判断用户能否登录。授权(authorization),即验证用户是否有权限访问某些资源或者执行某些操作。本文将结合源码对身份认证(authentication)的流程和核心组件进行详细讲解。Spring Security 进行身份认证这一功能主要是通过一系列的过滤器链配合来实现的。
关于Spring Security框架 关于单点登录sso
weixin_73849581的博客
12-21 1505
Security
Spring SecurityFilter
最新发布
weixin_44263023的博客
07-08 811
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring SecurityFilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
SpringSecurity Filter
Claroja
03-22 248
Filter Spring Security’s Servlet 基于 Servlet Filters. 客户端发送一个请求到application,容器(tomcat)创造了FilterChaain(包含Filter和Servlet)来处理请求(HttpServletRequest).在SpringMVC中servlet就是DispatcherServlet. 最多一个Servlet处理一个请求和相应.,而可以有多个filter来: 1)阻止访问下游(downstream)的fitler或servlet
spring security调用过程;及自定义改造
奔跑的菜鸡
11-14 1158
spring security调用过程;及自定义改造
Spring Boot - Filter执行链路
Noob的博客
03-12 3271
SpringBoot工程中使用filter进行过滤需要进行的步骤 自定义一个Filter类,实现Filter接口 在FilterConfiguration类(加了@Configuration的注解)中注册Filter,加上@Bean注解并在FilterRegistrationBean中设置Filter的优先级 Filter接口中有三个方法,doFilter()是真正实现过滤的地方;其中方法参...
Spring Security4.0.3源码分析之FilterChainProxy初始化
黄太洪的博客
04-28 2898
最近在学习Spring Security,想弄清楚其中实现的具体步骤,于是下定决心,研究一下Spring Security源码,这篇博客的目的是想把学习过程记录下来。学习过程中主要参考了http://dead-knight.iteye.com/blog/1511389大神的博客,然后在其基础上,进行更详细的说明,现在让我们带着问题来学习Spring Security。1.Spring Securit
Spring Security安全登录的调用过程以及获取权限的调用过程
小姑仔的博客
09-04 1641
将permissions中的两个参数"test"、"admin"分别构造SimpleGrantedAuthority类,并且放入Collectors之中,最终返回构造的Collectors权限信息,取出来的UsernamePasswordAuthenticationToken和Authentication类分别为。进入到doFilterInternal函数之中运行,首先获取token的内容,然后根据token解析出userId的内容。这里由于没有获取到token,因此调用!继续运行其他拦截器,然后返回。
Spring Security 竟然可以同时存在多个过滤器链?
CHENFU_ZKK的博客
12-16 1133
首先,http.authorizeRequests() 配置并非总在第一行出现,如果只有一个过滤器链,他总是在第一行出现,表示该过滤器链的拦截规则是 /**(请求只有先被过滤器链拦截下来,接下来才会进入到不同的 Security Filters 中进行处理),如果存在多个过滤器链,就不一定了。我们在该方法中的配置,都是在添加/移除/修改 Spring Security 默认提供的过滤器,所以该方法就是在配置 Spring Security 中的过滤器链。
Spring Security的责任链小小demo
FirstMrRight的博客
01-06 411
链式过滤 代码新写法: 定义一个接口,不同的过滤项目类实现自接口,把接口放入List,list中放入对象,挨个去过滤,这样做的好处就是代码健壮性更好,当新增了一个类或者过滤类型时,代码改动较小。 跟马老师学了一招 /** * @author Liutx * @date 2021/1/6 21:47 * @Description eg: * 一个论坛,需要过滤不良言论,所以说需要针对不同的不良言论类型进行处理 */ public class Main { public static void
深度解析:Spring Security Filter的工作机制
"本文深入解析Spring Security Filter的工作原理,通过XML配置方式进行讲解,并提供示例代码以辅助理解。" Spring Security 是一个强大且高度可定制的身份验证和访问控制框架,广泛用于Java Web应用的安全管理。其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值