Spring-Security 运行流程

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量1w 收藏 15
点赞数 2
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012156496/article/details/53486723
版权

Spring-Security 运行流程

web.xml配置

首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得 Servlet 过滤器上的依赖注入容易进行. DeletegatingFilterProxy 通过充当 Spring 应用程序中被配置为 Bean 的实际过滤器的 “挂名人物” 来解决这个问题.真正起作用的 Filter 是 Spring 上下文中的那些 Filter Bean. web.xml 中的代理依次调用这些Bean, 实现对Web资源的保护。可以参考我的另一篇博客:http://blog.csdn.net/u012156496/article/details/53485273

spring-security过滤器链

通过调试发现,最终DelegatingFilterProxy中生成一个FilterChainProxy对象,且在这个对象中,包含了security的过滤器链,过滤器链有三组,第一组是针对登录页面的,第二组是登出页面,第三组是对任何请求都过滤,权限的控制也是在这组过滤器链中实现的。我的理解是,掌握第三组过滤器链的作用,就基本对spring-security有一个基本的使用上掌握了。

下面来详细看下这个过滤器链:
权限控制过滤器链

第一个过滤器:SecurityContextPersistenceFilter
主要作用是SecurityContext的组装,供后续的过滤器链来使用,如果用户已经登录,再次访问其他资源时,会根据sessionId在session中将以前保存的SecurityContext取出,SecurityContext保存有用户的登录信息,那么就不需要用户再次登录了,只需要验证该用户是否有权限访问该资源即可。
在SecurityContextPersistenceFilter的doFilter方法中:
SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
上面一行代码,则是取出SecurityContext,如果用户第一次访问,还没有,则返回null。

第二个过滤器:LogoutFilter
这个是spring-security的登出功能,当我们在spring-security配置文件的security:http节点,配置auto-config为true时(如下图),那么spring-security就会为我们自动加载logout过滤器。之后就可以使用spring-security的logout功能了,可以参考spring security logout(spring security登出示例),我翻译的一篇外文,是logout功能的使用范例。

这里写图片描述

第三个过滤器:UsernamePasswordAuthenticationFilter
见名知意,这个过滤器是用来验证用户的登录凭证的,可以通过这个过滤器来实现从数据库取出数据,来验证用户登录凭证是否正确。在我学习的过程中,发现刚开始应该只需要初步的了解这个过滤器的执行流程,就能基本的解决一些需求了.什么意思呢,就是我发现最后,其实这个过滤器,就是取出form表单中用户提交的登录信息,来和我们配置在配置文件中的用户信息,或者是通过数据库中取出来的用户信息来匹配,匹配成功,则通过。刚开始我学习的很迷茫,就是把问题搞复杂了,其实看清本质就好。不废话,直接说如何从数据库取用户信息。

这里写图片描述

上面这段springSecurity的配置文件很重要,先说有关从数据中库取用户登录凭证的。

既然是从数据库取用户信息,那么取数据的实现代码,肯定是要我们自己写的这里写图片描述
上面就是这个实现了org.springframework.security.core.userdetails.UserDetailsService接口的实现类,就是通过实现这个类,我们根据登录用户的名称,取出用户信息,在封装到springSecurity要的User对象中,返回给springSecurity框架来使用,就可以了。再配置文件中,我们通过springSecurity的配置文件来注入我们的这个实现类。这样就实现了从数据库中,去取用户的登录信息。

第四个过滤器:BasicAuthenticationFilter
org.springframework.security.web.authentication.www.BasicAuthenticationFilter,这个过滤器是当开启Basic验证方式的时候,才有用,关于basic验证方式,就是一种将用户的验证信息放在http请求头的中用户验证方式。如果请求头不是以Basic开头,则这个过滤器是不会起作用的 这里写图片描述

第五个过滤器:RequestCacheAwareFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter这个filter的用途官方解释是:
用于用户登录成功后,重新恢复因为登录被打断的请求
这个解释也有几点需要说明
被打断的请求:简单点说就是出现了AuthenticationException、AccessDeniedException两类异常
重新恢复:既然能够恢复,那肯定请求信息被保存到cache中了

第六个过滤器:SecurityContextHolderAwareRequestFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    chain.doFilter(new SecurityContextHolderAwareRequestWrapper((HttpServletRequest) req, rolePrefix), res);
}

   SecurityContextHolderAwareRequestWrapper类对request包装的目的主要是实现servlet api的一些接口方法isUserInRole、getRemoteUser。
这个过滤器看起来很简单。目的仅仅是实现java ee中servlet api一些接口方法。
一些应用中直接使用getRemoteUser方法、isUserInRole方法,在使用spring security时其实就是通过这个过滤器来实现的。

第七个过滤器:AnonymousAuthenticationFilter
对应的类路径为:org.springframework.security.web.authentication.AnonymousAuthenticationFilter.
AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter这些过滤器后面的,所以如果这三个过滤器都没有认证成功,则为当前的SecurityContext中添加一个经过匿名认证的token,但是通过servlet的getRemoteUser等方法是获取不到登录账号的。因为SecurityContextHolderAwareRequestFilter过滤器在AnonymousAuthenticationFilter前面。

//省略了日志部分
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    //applyAnonymousForThisRequest永远返回ture
    if (applyAnonymousForThisRequest((HttpServletRequest) req)) {
            //如果当前SecurityContext中没有认证实体
            if (SecurityContextHolder.getContext().getAuthentication() == null) {
                //产生一个匿名认证实体,并保存到SecurityContext中
                SecurityContextHolder.getContext().setAuthentication(createAuthentication((HttpServletRequest) req));
            } else {}
        }

        chain.doFilter(req, res);
    }

    protected Authentication createAuthentication(HttpServletRequest request) {
        //产生匿名认证token,注意这里的key、userAttribute是通过解析标签注入的
        AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key, userAttribute.getPassword(),
                userAttribute.getAuthorities());
        auth.setDetails(authenticationDetailsSource.buildDetails(request));

        return auth;
    }

anonymous标签配置为。

<anonymous granted-authority="ROLE_ANONYMOUS" enabled="true" username="test"/>

这里username属性容易混淆,username默认为anonymousUser,实际上是注入到UserAttribute的password变量中的。
granted-authority属性注入到UserAttribute的authorities授权列表。

第十个过滤器:MyFilterSecurityInterceptor
这个过滤器是自定义来实现权限控制逻辑的,通过spring-security配置文件来注入到spring-security的过滤器链中的,这个过滤器需要继承org.springframework.security.access.intercept.AbstractSecurityInterceptor。
配置文件如下:

<security:http auto-config="true" access-denied-page="/403.jsp" >
        <security:form-login login-page="/login.jsp"/>
        <!-- 将自定义的实现了权限控制逻辑的过滤器加入到spring-security的过滤器链中 -->
        <security:custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter"/>
    </security:http>

    <!-- 注入MyFilterSecurityInterceptor需要的相关bean -->
    <bean id="myFilter" class="com.wr1ttenyu.security.MyFilterSecurityInterceptor">
        <property name="authenticationManager" ref="authenticationManager" />
        <property name="accessDecisionManager" ref="myAccessDecisionManagerBean" />
        <property name="securityMetadataSource" ref="securityMetadataSource" />
    </bean>

    <!-- 将实现了用户信息获取的bean注入到authenticationManager中 -->
    <security:authentication-manager alias="authenticationManager">
        <security:authentication-provider user-service-ref="myUserDetailService">
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 自定义的获取用户信息的实现类 -->
    <bean id="myUserDetailService" class="com.wr1ttenyu.security.MyUserDetailService" />

    <!-- 这里myAccessDecisionManagerBean是用来注入到AbstractSecurityInterceptor中accessDecisionManager属性的,
        用来实现权限控制的具体逻辑 -->
    <bean id="myAccessDecisionManagerBean" class="com.wr1ttenyu.security.MyAccessDecisionManagerBean" />

    <!-- 定义实现了权限控制逻辑的过滤器bean -->
    <bean id="securityMetadataSource" class="com.wr1ttenyu.security.MyInvocationSecurityMetadataSource" />

配置好之后,该过滤器就会被加入到过滤器链中,具体实现权限验证的代码如下:

public void invoke(FilterInvocation fi) throws IOException, ServletException {
        // 通过调用父类AbstractSecurityInterceptor的beforeInvocation方法来实现
        // 值得注意的是,在beforeInvocation实现权限控制的逻辑中,如果请求的资源路径在securityMetadataSource中没有的话,
        // 那么就会默认为该资源无权限要求,只要请求就会通过。
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

以上内容主要参考:http://www.codeweblog.com站内关于spring-security源码分析的文章
未完待续。。。。

ZfeiAWlan
关注
专栏目录
spring-security
migo_的专栏
02-25 1269
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring SecuritySpring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
spring-security 官方文档 中文版
10-12
### Spring Security 官方文档中文版重要知识点解析 #### 一、Spring Security 概述 **1.1 Spring Security 是什么?** Spring Security 是一款基于 Spring 框架的安全插件,提供了完整的安全性解决方案,包括...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
Spring Security 认证执行流程
niceyoo的博客
06-03 508
Spring Security 认证执行流程 本文基于 Spring Security 5.x 推荐阅读: 项目集成Spring Security SpringSecurity 整合 JWT 一、外层-正常登陆调用 项目启动后会自动寻找 UserDetailsService 实现类; 执行 UserDetailsServic...
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3434
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
spring security工作流程
chengshiti9938的博客
07-27 617
1.拦截登录,获取到用户的所有权限信息 1.1默认的拦截器拦截 /login 方法 OncePerRequestFilter 集成这个过滤器,每一次请求都将会被拦截过滤 默认使用 UsernamePasswordAuthenticationFilter 来拦截用户的login操作。...
springsecurity工作流程
qq_39321234的博客
04-27 1963
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
spring-security Jar包
09-21
7. **与Spring Framework的深度集成**:Spring Security 能无缝地与Spring MVC、Spring Boot和其他Spring组件集成,简化了安全配置和开发流程。 8. **自定义扩展**:Spring Security 的设计是模块化的,允许开发者...
spring-security-demo.zip
08-10
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java...通过分析源代码和运行示例,你可以更好地掌握Spring Security的精髓,并将其应用于自己的项目中,提升Web应用的安全性。
spring-security-oauth2官网的实例sparklr2与tonr2,可运行的Java Eclipse项目文件
10-11
**Spring Security OAuth2 实例:Sparklr2与Tonr2** Spring Security OAuth2 是一个强大的安全框架,用于处理Web应用程序的认证和授权。在本文中,我们将深入探讨如何使用两个官方示例项目——Sparklr2和Tonr2,...
spring security执行流程
weixin_33976072的博客
03-12 362
今天看到非常多人转载了这篇文章,这里备注一下。原文来自CSDN我的博客。 近期在研究spring security的配置,研究了一个星期了,在官网看了下。仅仅配置出来了简单的登录,但不知如何从数据库读取。从网上找了几篇文章。大家的配置都是大同小异。基本上都一样的。下载我贴出我整理出来的security运行时的流程图,供大家參考一下,迟下我再将我的笔记整理出来给大家看看,只是我已经将我的项...
Spring security工作流程及集成
03-06 99
A user enters their username and password into a login screen and clicks a login button. The entered information is placed into an object calledAuthenticationwhich is passed to theAuthenticati...
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 610
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证和授权,交由认证管理器和决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
SpringSecurity详细执行流程
qq_52066082的博客
01-22 1545
SpringSecurity的执行流程超详细讲解,SpringSecurity两大功能认证、授权。
SpringSecurity执行流程分析与使用
weixin_54345825的博客
11-28 1516
SpringSecurity核心过滤器之UsernamePasswordFilter执行流程源码分析以及boot项目集成自定义springsecurity框架。
spring security执行流程
m0_38105216的博客
01-25 4415
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
Spring运行流程
m0_69602951的博客
01-06 1288
然后根据该URI,调用HandlerMapping获得该Handler配置的所有相关的对象(包括Handler对象以及Handler对象对应的拦截器),最后以HandlerExecutionChain对象的形式返回;4. 提取Request中的模型数据,填充Handler入参,开始执行Handler(Controller)。HttpMessageConveter: 将请求消息(如Json、xml等数据)转换成一个对象,将对象转换为指定的响应信息。数据转换:对请求消息进行数据转换。
spring运行流程
qq_43519025的博客
01-17 379
javaweb:SpringMVC 框架介绍以及三种入门部署方式的使用_青红造了个大白之成长记-CSDN博客_java springmvc
Spring Security OAuth2授权流程详解
"spring-security-oauth2 是一个基于Spring Security的实现OAuth2协议的开源库,用于构建安全的、授权的服务端和客户端应用。这个库详细介绍了OAuth2的四种授权方式:AuthorizationCode,Implicit,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值