Spring Security源码分析之SecurityContextPersistenceFilter

最新推荐文章于 2023-02-04 16:57:02 发布
最新推荐文章于 2023-02-04 16:57:02 发布
阅读量280 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/636004
版权

通过观察Filter的名字,就能大概猜出来这个过滤器的作用,持久化SecurityContext实例
org.springframework.security.web.context.SecurityContextPersistenceFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (request.getAttribute(FILTER_APPLIED) != null) {
            // 确保对于每个请求只应用一次过滤器
            chain.doFilter(request, response);
            return;
        }

        final boolean debug = logger.isDebugEnabled();

        request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

        if (forceEagerSessionCreation) {
            HttpSession session = request.getSession();

            if (debug && session.isNew()) {
                logger.debug("Eagerly created session: " + session.getId());
            }
        }
        // 将 request/response 对象交给HttpRequestResponseHolder维持  
        HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
                response);
        //通过SecurityContextRepository接口的实现类装载SecurityContext实例  
        //HttpSessionSecurityContextRepository将产生SecurityContext实例的任务交给SecurityContextHolder.createEmptyContext()  
        //SecurityContextHolder再根据策略模式的不同,  
        //把任务再交给相应策略类完成SecurityContext的创建  
        //如果没有配置策略名称,则默认为  
        //ThreadLocalSecurityContextHolderStrategy,  
        //该类直接通过new SecurityContextImpl()创建实例
        SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

        try {
            //将产生的SecurityContext再通过SecurityContextHolder->  
            //ThreadLocalSecurityContextHolderStrategy设置到ThreadLocal 
            SecurityContextHolder.setContext(contextBeforeChainExecution);
            //继续把请求流向下一个过滤器执行  
            chain.doFilter(holder.getRequest(), holder.getResponse());

        }
        finally {
            //先从SecurityContextHolder获取SecurityContext实例  
            SecurityContext contextAfterChainExecution = SecurityContextHolder
                    .getContext();
            //关键性地除去SecurityContextHolder内容 - 在任何事情之前执行此操作
            //再把SecurityContext实例从SecurityContextHolder中清空
                        //若没有清空,会受到服务器的线程池机制的影响  
            SecurityContextHolder.clearContext();
            //将SecurityContext实例持久化到session中 
            repo.saveContext(contextAfterChainExecution, holder.getRequest(),
                    holder.getResponse());
            request.removeAttribute(FILTER_APPLIED);

            if (debug) {
                logger.debug("SecurityContextHolder now cleared, as request processing completed");
            }
        }
    }

通过源码中的注释,应该可以看出来,这个Filter的作用主要是创建一个空的SecurityContext(如果session中没有SecurityContext实例),然后持久化到session中。

weixin_34082695
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity过滤器链SecurityContextPersistenceFilter
sdaujsj1的博客
07-03 810
SecurityContextPersistenceFilter SecurityContextPersistenceFilterSpringsecurity链中第二道防线,位于WebAsyncManagerIntegrationFilter之后,作用是为了存储SecurityContext而设计的。 SecurityContextPersistenceFilter主要做两件事: 当请求到来时,从HttpSession中获取SecurityContext并存入SecurityContextHolder中
SpringSecurity常用过滤器介绍
wuxiaopengnihao1的博客
07-29 2364
首当其冲的一个过滤器,非常重要主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文,SecurityContext中存储了当前用户的认证和权限信息。Csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含则报错,起到防止csrf攻击的效果。...
三、Spring Security过滤器链
付之一笑的专栏
08-22 3041
一、Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不再赘述了。 Spring Security中过滤器的介绍: org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新
史上最简单的Spring Security教程(四十):SecurityContextPersistenceFilter详解
银河架构师的博客
11-11 2297
SecurityContextPersistenceFilter,为Spring Security框架Filter Chain过滤器链的第一个 Filter,具有不可或缺的作用。 /** * Populates the {@link SecurityContextHolder} with information obtained from the * configured {@link SecurityContextRepository} prior to the request an...
SpringSecurity过滤器SecurityContextPersistenceFilter
clyu的博客
01-03 2827
SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从session中获取SecurityContext,然后放到上下文中,之后的filter大多依赖这个来获取登录态。其主要是通过HttpSessionSecurityContextRepository来存取的。 public class SecurityContextPersistenceFilter extends GenericFilterBean {
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config -...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Spring Security-3.0.1 中文官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行...
security-parent
04-15
1 = {SecurityContextPersistenceFilter @ 7760} 2 = {HeaderWriterFilter @ 7759} 3 = {CsrfFilter @ 7758} 4 = {LogoutFilter @ 7757} 5 = {UsernamePasswordAuthenticationFilter @ 7755} 6 = {...
SpringSecurity SecurityContextPersistenceFilter码 和企业级Redis使用思想
qq_31142237的博客
09-14 458
之前几篇我们基本上讲述了SpringSecurity 登录认证和授权认证的实现和分析。我们大致清楚了 : SpringSecurity 登录认证原理。 如果自定义登录认证流程 授权验证的流程原理 今天我们分析下整个认证过程和企业级redis使用的思想,是为了解决什么问题,以及怎么解决的? 我们简单回顾下 SpringSecurity 流程。 用户登录: 输入用户名 / 密码 JwtLoginFilter (自定义的UsernamePasswordAuthenticationFilter)..
SpringBoot + jackson + redis 序列化、反序列化 配置正确姿势
u014212540的博客
02-04 5302
SpringBoot + jackson + redis 序列化、反序列化 配置正确姿势
Spring Security3分析(5)-SecurityContextPersistenceFilter分析
Benjamin
09-11 1703
通过观察Filter的名字,就能大概猜出来这个过滤器的作用,是的,持久化SecurityContext实例。这个过滤器位置是;  org.springframework.security.web.context.SecurityContextPersistenceFilter  废话不说,看码  Java代码   public void doFilter(Servle
spring security 4 filter SecurityContextPersistenceFilter(三)
it帝国的博客-辉
03-13 1688
今天我们讲的filter是SecurityContextPersistenceFilter,通过其名字,就能大概猜出来这个过滤器的作用,就是用来持久化SecurityContext实例用的,也是spring security filter 核心的过滤器之一。 接下去我们将根据其分析一下其作用,先看看doFilter这个方法 public void doFilter(Servl...
SecurityContextPersistenceFilter是如何做到任何对 SecurityContext 的改变都可以被 copy 到 HttpSession。
u013828625的博客
05-23 2406
首先查看其中的doFilter方法的代码 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { ....... //省略部分代码 H
SecurityContextPersistenceFilter
Stainky的专栏
10-14 1616
SecurityContextPersistenceFilter         让我们来看一下FilterChainProxy所使用的SecurityContextPersistenceFilter如何配置,一个最基本的配置只需要它的bean自身即可: <bean id="securityContextPersistenceFilter" class="org.springfra
SpringSecurity码解析--SecurityContextPersistenceFilter
程序员劝退师的博客
11-19 285
概述 SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。 通过SecurityContextPersistenceFilter的这种
spring-security(二十)核心Filter-SecurityContextPersistenceFilter
高枫的博客
02-28 2693
一、SecurityContextPersistenceFilter功能和属性 1.在前面介绍spring filter顺序时,我们简单介绍过SecurityContextPersistenceFilter,他主要有两个作用。 [list] [*]请求开始时从对应的SecurityContextRepository获取securityContext存入SecurityContextHolde...
Spring Security3分析-SecurityContextPersistenceFilter分析
Dead_Knight的专栏
05-06 173
通过观察Filter的名字,就能大概猜出来这个过滤器的作用,是的,持久化SecurityContext实例。这个过滤器位置是; org.springframework.security.web.context.SecurityContextPersistenceFilter 废话不说,看码 [code="java"] public void doFilter(ServletReq...
springsecurity servletcontext
最新发布
07-28
- *1* [SpringSecurity分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程](https://blog.csdn.net/xl649138628/article/details/128993678)[target="_blank" data-report-click={"spm":"1018....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值