springSecurity -------AnonymousAuthenticationFilter

最新推荐文章于 2024-06-13 14:40:19 发布
最新推荐文章于 2024-06-13 14:40:19 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtao753/article/details/106733204
版权

描述:AnonymousAuthenticationFilter:springsecurity在配置一些url可在未登录未授权的时候默认给他授权通过,可在配置文件中指定一些url赋予permitAll()方法即可使用该过滤器,接下来我们从源码的角度来看看这个过滤器具体是怎么工作的

AnonymousAuthenticationFilter

public class AnonymousAuthenticationFilter extends GenericFilterBean implements InitializingBean {
    private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource;
    private String key;
    private Object principal;
    private List<GrantedAuthority> authorities;

    public AnonymousAuthenticationFilter(String key) {
        this(key, "anonymousUser", AuthorityUtils.createAuthorityList(new String[]{"ROLE_ANONYMOUS"}));
    }

    public AnonymousAuthenticationFilter(String key, Object principal, List<GrantedAuthority> authorities) {
        this.authenticationDetailsSource = new WebAuthenticationDetailsSource();
        Assert.hasLength(key, "key cannot be null or empty");
        Assert.notNull(principal, "Anonymous authentication principal must be set");
        Assert.notNull(authorities, "Anonymous authorities must be set");
        this.key = key;
        this.principal = principal;
        this.authorities = authorities;
    }

    public void afterPropertiesSet() {
        Assert.hasLength(this.key, "key must have length");
        Assert.notNull(this.principal, "Anonymous authentication principal must be set");
        Assert.notNull(this.authorities, "Anonymous authorities must be set");
    }

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            SecurityContextHolder.getContext().setAuthentication(this.createAuthentication((HttpServletRequest)req));
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Populated SecurityContextHolder with anonymous token: '" + SecurityContextHolder.getContext().getAuthentication() + "'");
            }
        } else if (this.logger.isDebugEnabled()) {
            this.logger.debug("SecurityContextHolder not populated with anonymous token, as it already contained: '" + SecurityContextHolder.getContext().getAuthentication() + "'");
        }

        chain.doFilter(req, res);
    }

    protected Authentication createAuthentication(HttpServletRequest request) {
        AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(this.key, this.principal, this.authorities);
        auth.setDetails(this.authenticationDetailsSource.buildDetails(request));
        return auth;
    }

    public void setAuthenticationDetailsSource(AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource) {
        Assert.notNull(authenticationDetailsSource, "AuthenticationDetailsSource required");
        this.authenticationDetailsSource = authenticationDetailsSource;
    }

    public Object getPrincipal() {
        return this.principal;
    }

    public List<GrantedAuthority> getAuthorities() {
        return this.authorities;
    }
}

1:调用过滤器时会主动给当前对象赋予anonymousUser的用户和权限(假如你实现了动态鉴权,配置了permitAll方法,在你调用配置的资源时会跳转到你自定义的鉴权方法,所以在全歼方法内需要判断是否权限为ROLE_ANONYMOUS,是就放行,否则会出现方法一直报403错误)

  public AnonymousAuthenticationFilter(String key) {
        this(key, "anonymousUser", AuthorityUtils.createAuthorityList(new String[]{"ROLE_ANONYMOUS"}));
    }

2:再看如下过滤器最重要的方法dofilter我们发现,他会先从security上下文中查找是否有登录信息,没有就把构造方法默认的登录信息赋予到security上下文中,方便其他模块能够获取,然后调用**chain.doFilter(req, res);把AnonymousAuthenticationFilter放入过滤器链中。

  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            SecurityContextHolder.getContext().setAuthentication(this.createAuthentication((HttpServletRequest)req));
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Populated SecurityContextHolder with anonymous token: '" + SecurityContextHolder.getContext().getAuthentication() + "'");
            }
        } else if (this.logger.isDebugEnabled()) {
            this.logger.debug("SecurityContextHolder not populated with anonymous token, as it already contained: '" + SecurityContextHolder.getContext().getAuthentication() + "'");
        }

        chain.doFilter(req, res);
    }

3:创建Authentication实现类在返回,供其他模块进行调用获取,如AccessDecisionVoter中的vote方法形参Authentication,在配置了permitAll()方法后,获取的Authentication就是AnonymousAuthenticationToken。
而AnonymousAuthenticationToken里面包含了用户名和密码和是否成功授权等等信息

protected Authentication createAuthentication(HttpServletRequest request) {
        AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(this.key, this.principal, this.authorities);
        auth.setDetails(this.authenticationDetailsSource.buildDetails(request));
        return auth;
    }

。。。。。

有一个小王子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurityanonymous_学习笔记38-Spring Security
weixin_39959298的博客
11-26 3099
*概念概括:Spring Security 是一个高度自定义的 安全框架。利用 Spring IoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范的安全功能缺乏典型企业用场景。同时认识到他们在 WAR 或 EAR 级别...
springsecurityanonymous_Spring Security教程(一)
weixin_39722025的博客
12-13 822
概要Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。这里过多的spring security解释和作用就不在这里赘述了,请自行搜索。目前最新版本的Spring Security为4.2.2,但是我这里用了稳定版本3.1.3。下面例子为一个简单的Spring S...
spring Security框架的身份验证
最新发布
flagsjh的博客
06-13 912
主体通常是表示用户的对象,凭据则是用户提供的密码等认证信息。是Spring Security提供的一个抽象类,用于对用户的身份验证进行进一步的验证和处理。接口的一个实现,它表示的是用户的认证信息,而不包含用户的授权信息。方法获取当前线程的安全上下文对象,并利用该对象获取当前用户的认证信息。对象就可以在后续的授权过程使用,用于表示已通过身份验证的认证信息。方法,我们可以通过该方法来设置当前线程的安全上下文对象的认证信息。接口的对象,该对象包含了用户的详细信息,如用户名、密码、权限等。
springsecurity 源码解读之 AnonymousAuthenticationFilter
weixin_33841722的博客
04-03 724
我们知道springsecutity 是通过一系列的 过滤器实现的,我们可以看看这系列的过滤器到底长成什么样子呢? 一堆过滤器,这个过滤器的设计设计上是 责任链设计模式。 这里我们可以看到有一个AnonymousAuthenticationFilter 过滤器。 顾名思义我们知道这个是一个叫 匿名登录人过滤器,他的作用是什么呢? 我们看看代码 ,他做了什么? if (apply...
12、spring security拦截器之AnonymousAuthenticationFilter
u012153127的博客
06-26 888
AnonymousAuthenticationFilter:如果当前安全上下文的Authentication为空,则创建一个匿名的Authentication用户 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException //判断SecurityContextAuthentication是否为空 i
AnonymousAuthenticationFilter详解
小汤圆
08-11 1495
匿名认证过滤器,可能有人会想:匿名了还有身份?我自己对于Anonymous匿名身份的理解是Spirng Security为了整体逻辑的统一性,即使是未通过认证的用户,也给予了一个匿名身份。而AnonymousAuthenticationFilter该过滤器的位置也是非常的科学的,它位于常用的身份认证过滤器(如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter)之后,意味着只
Spring Security Web 5.1.2 源码解析 -- AnonymousAuthenticationFilter
Details Inside Spring
12-08 905
概述 此过滤器过滤请求,检测SecurityContextHolder是否存在Authentication对象,如果不存在,说明 用户尚未登录,此时为其提供一个匿名Authentication对象:AnonymousAuthentication。 注意:在整个请求处理的开始,无论当前请求所对应的session用户是否已经登录,SecurityContextPersistenceFilter ...
[10] AnonymousAuthenticationFilter
热门推荐
既无风雨也无晴
03-16 2万+
AnonymousAuthenticationFilter 介绍 该过滤器功能比较简单,请求经过过滤器时,判断一下SecurityContext上下文身份认证信息是否为null,如果为null,则创建一个匿名的身份认证信息并放到SecurityContext上下文环境。 代码分析 AnonymousAuthenticationFilter关键代码如下: public void doFilt...
springboot-06-security.zip
09-25
Spring Boot安全实战:深入解析Spring SecuritySpring SecuritySpring生态用于处理应用程序安全性的强大框架,尤其在Spring Boot项目,它提供了一种快速、灵活且强大的安全解决方案。本资料包...
spring-security-basic
05-03
标题“spring-security-basic”指的是Spring Security的一个基础应用实例,它主要展示了如何在Java环境集成和配置Spring Security框架,以实现应用程序的基本安全控制。Spring Security是一个强大的安全解决方案,...
SpringBoot_SpringSecurity-源码.rar
10-10
在源码分析,你可能会看到SpringSecurity如何利用过滤器链来处理HTTP请求,如`UsernamePasswordAuthenticationFilter`用于处理登录请求,`AnonymousAuthenticationFilter`确保未认证用户默认有一个匿名角色,还有`...
springboot-security.zip
08-24
SpringBoot与SpringSecurity整合是Java开发常见的应用场景,主要用于构建安全、高效的Web应用程序。SpringBoot以其简化Spring应用的初始搭建以及开发过程而受到广大开发者喜爱,而SpringSecurity则是一个强大的...
spring-security3入门教程.doc
09-04
此外,Spring Security 提供了丰富的过滤器和组件,如 `AnonymousAuthenticationFilter`(匿名用户过滤器)、`RememberMeAuthenticationFilter`(记住我功能)等,可以根据需求进行选择和配置。 总的来说,Spring ...
Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析
Benjamin
09-11 1418
AnonymousAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.AnonymousAuthenticationFilter  AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAu
springSecurity报错:AnonymousAuthenticationToken cannot be cast to UsernamePasswordAuthenticationToken
m0_47743175的博客
11-24 3726
记录 java.lang.String cannot be cast to org.example.bean.LoginUser 或 org.springframework.security.authentication.AnonymousAuthenticationToken cannot be cast to org.springframework.security.authentication.UsernamePasswordAuthenticationToken 报错问题
11. pring Security 匿名认证
一个人的人生
11-29 1001
匿名认证 目录 1.1     配置 1.2     AuthenticationTrustResolver          对于匿名访问的用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se
Spring Security之匿名用户
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
Spring Security 实战:基于配置的接口角色访问控制
程序猿DD
12-19 1205
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 | 码农小胖哥来源 |公众号「码农小胖哥」1. 前言欢迎阅读Spring Security 实战...
四、Spring Security之默认的过滤器链及自定义Filter
panchang199266的博客
05-26 8679
别名 类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SE...
SpringSecurity 3.1实战教程
"SpringSecurity应用指南" Spring Security是一个强大的安全框架,用于保护基于Java的Web应用程序。该框架提供了一整套机制来管理认证、授权以及会话管理,确保应用的安全性。本文将详细介绍Spring Security的体系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值