Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析

最新推荐文章于 2023-02-09 23:17:58 发布
最新推荐文章于 2023-02-09 23:17:58 发布
阅读量1.4k 收藏
点赞数
分类专栏: Spring-Security 文章标签: AnonymousAuthenticat
AnonymousAuthenticationFilter过滤器对应的类路径为 
org.springframework.security.web.authentication.AnonymousAuthenticationFilter 
AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter这些过滤器后面的,所以如果这三个过滤器都没有认证成功,则为当前的SecurityContext中添加一个经过匿名认证的token,但是通过servlet的getRemoteUser等方法是获取不到登录账号的。因为SecurityContextHolderAwareRequestFilter过滤器在AnonymousAuthenticationFilter前面。 

Java代码   收藏代码
  1. //省略了日志部分  
  2. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
  3.         throws IOException, ServletException {  
  4.     //applyAnonymousForThisRequest永远返回ture  
  5.     if (applyAnonymousForThisRequest((HttpServletRequest) req)) {  
  6.         //如果当前SecurityContext中没有认证实体  
  7.         if (SecurityContextHolder.getContext().getAuthentication() == null) {  
  8.             //产生一个匿名认证实体,并保存到SecurityContext中  
  9.             SecurityContextHolder.getContext().setAuthentication(createAuthentication((HttpServletRequest) req));  
  10.         } else {  
  11.         }  
  12.     }  
  13.   
  14.     chain.doFilter(req, res);  
  15. }  
  16.   
  17. protected Authentication createAuthentication(HttpServletRequest request) {  
  18.     //产生匿名认证token,注意这里的key、userAttribute是通过解析标签注入的  
  19.     AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key, userAttribute.getPassword(),  
  20.             userAttribute.getAuthorities());  
  21.     auth.setDetails(authenticationDetailsSource.buildDetails(request));  
  22.   
  23.     return auth;  
  24. }  

anonymous标签配置为。 
Xml代码   收藏代码
  1. <anonymous granted-authority="ROLE_ANONYMOUS" enabled="true" username="test"/>  

这里username属性容易混淆,username默认为anonymousUser,实际上是注入到UserAttribute的password变量中的。 
granted-authority属性注入到UserAttribute的authorities授权列表
Benjamin_whx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AnonymousAuthenticationFilter详解
小汤圆
08-11 1504
匿名认证过滤器,可能有人会想:匿名了还有身份?我自己对于Anonymous匿名身份的理解是Spirng Security为了整体逻辑的统一性,即使是未通过认证的用户,也给予了一个匿名身份。而AnonymousAuthenticationFilter该过滤器的位置也是非常的科学的,它位于常用的身份认证过滤器(如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter)之后,意味着只
匿名认证(Anonymous Authentication
呜呼哈
04-05 4292
通常认为采用“默认拒绝”是一种良好的安全实践,在这种情况下,您可以明确指定允许的内容,并禁止其他内容。定义未经身份验证的用户可以访问的内容也是类似的情况,特别是对于 web 应用程序。许多站点要求用户必须对除了一些 url (例如主页和登录页面)以外的任何内容进行身份验证。在这种情况下,为这些特定 url 定义访问配置属性比为每个安全资源定义访问配置属性更容易。换句话说,有时候说 role_something 是默认需要的,并且只允许该规则的某些异常,比如用于应用程序的登录、注销和主页。您还可以从过滤器链中
springSecurity -------AnonymousAuthenticationFilter
wangtao753的博客
06-13 1953
描述:AnonymousAuthenticationFilterspringsecurity在配置一些url可在未登录未授权的时候默认给他授权通过,可在配置文件中指定一些url赋予permitAll()方法即可使用该过滤器,接下来我们从源码的角度来看看这个过滤器具体是怎么工作的 AnonymousAuthenticationFilter public class AnonymousAuthenticationFilter extends GenericFilterBean implements Initi
12spring security拦截器之AnonymousAuthenticationFilter
u012153127的博客
06-26 896
AnonymousAuthenticationFilter:如果当前安全上下文的Authentication为空,则创建一个匿名的Authentication用户 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException //判断SecurityContext中的Authentication是否为空 i
浅析Spring Security 的认证过程及相关过滤器
最新发布
qq_44005305的博客
02-09 428
上一篇文章浅析Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析Spring Security的认证过程。Spring Security 的核心之一就是它的过滤器链,我们就从它的过滤器链入手,下图是Spring Security 过滤器链的一个执行过程,本文将依照该过程来逐步的剖析其认证过程。
SpringBoot_SpringSecurity-源码.rar
10-10
SpringBoot_SpringSecurity-源码.zip 这个压缩包文件主要包含了SpringBoot集成SpringSecurity源码分析SpringBoot是Java开发中一个流行的轻量级框架,它简化了配置和应用部署,使得开发者可以快速搭建应用程序。...
spring-security源码,直接引用这个压缩文件即可
08-28
分析`spring-security 5.0`的源码时,我们可以深入理解其核心机制,帮助我们更好地使用和扩展该框架。 1. **模块结构**: Spring Security 5.0 的源码包含多个模块,如`core`、`config`、`web`等。`core`模块...
spring-security-3.2.9的jar包和源码
09-23
7. **源码分析**:源码包允许开发者深入研究Spring Security的实现细节,了解其内部的工作流程,这对于自定义扩展和调试是非常有价值的。例如,可以通过阅读`AuthenticationManager`和`UserDetailsService`的实现来...
Spring Security之匿名用户
热门推荐
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2648
场景描述 可能在开发过程中设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app中就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security中默认对匿名访问的设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 3129
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问的资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
Spring Security原理分析
wh柒八九的博客
09-22 867
本文来简单的分析Spring Security 使用原理。在前面的几节中,已经对 Spring Security 有了一个比较全的使用体验了,这节我们简单的介绍下 Spring Security 基本的原理。 文章目录Filter 过滤器 Filter 过滤器 如果要对 Web 资源进行保护,最好的办法莫过于 Filter,要想对方法调用进行保护,最好的办法莫过于 AOP。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链: ...
JS方法使用匿名函数作为参数
lensko的博客
09-18 1033
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
深入浅出Spring Security(五):认证和授权的过程
紫眸的博客
10-12 4535
上篇回顾 上篇介绍了HttpSecurity如何建造过滤器链,本文主要介绍几个主要的过滤器。 认证过滤器 UsernamePasswordAuthenticationFilter 参数有username,password的,走UsernamePasswordAuthenticationFilter,提取参数构造UsernamePasswordAuthenticationToken进行认证,成功则填...
Spring Security5.0.1 总结之如何让认证失败(登录失败)消息自定义在前端页面显示
闲时不练功,忙时一场空
07-22 2642
开发环境ssm+Spring Security 5.0.1.RELEASE 在自定义登录页面输入的帐号密码错误,页面中没有任何错误消息提示,所以需要将提示信息显示出来 Spring Security 框架将所有的错误信息都定义成了异常,并且提供了国际化的资源文件。这个资源文件在 spring-security-core-5.0.1.RELEASE.jar文件中 这里说下Idea国际...
11. pring Security 匿名认证
一个人的人生
11-29 1002
匿名认证 目录 1.1     配置 1.2     AuthenticationTrustResolver          对于匿名访问的用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se
多线程基础
Benjamin
04-08 777
线程是一个程序内部的顺序控制流。 线程和进程的区别:   每个进程都有独立的代码和数据空间(进程上下文),进程间的切换会有较大的开销。   线程可以看成是轻量级的进程,同一类线程共享代码和数据空间,每个线程有独立的运行栈和程序计数器(PC),线程切换的开销小。   多进程:在操作系统中能同时运行多个任务(程序)   多线程:在同一应用程序中有多个顺序流同时执行  
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值