Servlet filter 定义SecurityContext的消失

已于 2022-09-23 16:34:19 修改
阅读量134 收藏
点赞数
文章标签: 编辑器 spring
于 2022-09-23 16:33:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42286426/article/details/127013383
版权

前言

今天在测试Spring security一些过滤器的功能,突然想到我们在security的过滤链中自定义认证过滤器,存放SecurityContext认证对象Authentication,以至于后续授权会根据我们自己的Authentication去实现.如果我们在Springboot里创建一个单纯的Filter,把SecurityContext设置认证对象Authentication,是否会在spring security中同样生效呢? 经过验证,不可以.
验证之后有点想不通,SecurityContext底层TreadLocal存储的,同一个访问应该都能拿到Authentication为什么不可以使用呢.

SecurityContextPersistentFilter

对于spring security有了解的朋友可能知道这个过滤器,他是管理SecurityContext生命周期的一个过滤器,也是在进入Spring security过滤链中比较靠前执行的过滤器.我们来观察这一段代码:

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// ensure that filter is only applied once per request
		if (request.getAttribute(FILTER_APPLIED) != null) {
			chain.doFilter(request, response);
			return;
		}
		request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
		if (this.forceEagerSessionCreation) {
			HttpSession session = request.getSession();
			if (this.logger.isDebugEnabled() && session.isNew()) {
				this.logger.debug(LogMessage.format("Created session %s eagerly", session.getId()));
			}
		}
		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
		SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
		try {
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			if (contextBeforeChainExecution.getAuthentication() == null) {
				logger.debug("Set SecurityContextHolder to empty SecurityContext");
			}
			else {
				if (this.logger.isDebugEnabled()) {
					this.logger
							.debug(LogMessage.format("Set SecurityContextHolder to %s", contextBeforeChainExecution));
				}
			}
			chain.doFilter(holder.getRequest(), holder.getResponse());
		}
		finally {
			SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
			// Crucial removal of SecurityContextHolder contents before anything else.
			SecurityContextHolder.clearContext();
			this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
			request.removeAttribute(FILTER_APPLIED);
			this.logger.debug("Cleared SecurityContextHolder to complete request");
		}
	}

其中有一行代码

SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);

这段代码的意思就是,无论我们前面servlet filter 是否在SecurityContext中存放了认证信息,在SpringSecurity过滤器链开始之前,都要从这个repo(HttpSessionSecurityContextRepository是默认实现)获取一个context对象,重新放到SecurityContext,这样做就是把你的ServletFilter里的context清空了,然后才继续进入security其他过滤器中.
最后finally又有代码

	finally {
		SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
		// Crucial removal of SecurityContextHolder contents before anything else.
		SecurityContextHolder.clearContext();
		this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
		request.removeAttribute(FILTER_APPLIED);
		this.logger.debug("Cleared SecurityContextHolder to complete request");
	}

这段代码又表示,当security的所有过滤器执行结束之后,清空SecurityContext上下文信息,同时,如果上下文有认证信息,存储到repo里,供后续使用,所以如果是session存储,只要会话存在,下一次访问不需要走认证流程依然可以保持认证状态.
这两段代码是关键.

charles_xiao_2021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
java-Vaadin StreamResource回调方法中缺少SpringSecurityContext
weixin_44109689的博客
12-18 323
我有一个简单的StreamResource示例,其中单击下载锚点时,SpringSecurityContext神秘地消失了.基本上,当单击下载锚点时,将调用createInputStream方法来创建下载文件,但是执行此方法时,SecurityContext为null.下面是重现该问题的简化示例. public class HomeView extends VerticalLayo...
应用Spring Security安全框架时,异步操作中安全上下文丢失问题的解决方案
qq_32734365的博客
08-21 3987
问题描述 笔者最近在开发项目时遇到一个问题,项目应用Spring Security+JWT的安全框架,用户访问时前台会在Header中携带Authorization头,SS对其进行认证并将当前登录的主体信息存储到安全上下文,在当前用户访问的任何地方都可以通过安全上下文获取登录用户的信息(例如用户名、用户手机、用户id等等),但在请求中启用另外的线程执行之后操作的时候,笔者发现异步线程中的安全上下...
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 1937
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
Spring Security:安全上下文持有者SecurityContextHolder介绍与Debug分析
kaven
01-23 5092
SecurityContextHolder 将给定的SecurityContext与当前执行线程相关联,此类提供了一系列委托给SecurityContextHolderStrategy实例的静态方法,此类的目的是提供一种方便的方法来指定应该用于给定JVM的策略,这是JVM范围的设置,因为此类中的所有内容都是static修饰,方便调用。 要指定使用哪种策略,必须提供模式设置,模式设置是定义为static final字段的三个有效设置之一,或者是提供公共无参构造方法的SecurityContextHolderS
安全认证之SecurityContextHolder
热门推荐
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
Spring Security如何在Servlet中执行
08-19
Servlet环境中,Spring Security通过集成到Servlet的过滤器链(Servlet Filter Chain)中来实现在Web应用中的安全控制。以下是关于Spring Security如何在Servlet中执行的详细说明: 1. **Servlet Filter Chain**...
securityfilter-spring
10-21
4. 如果认证成功,Spring Security创建一个Authentication对象,并将其存储在SecurityContext中。 5. 如果认证失败,用户会被重定向到登录页面。 五、权限控制与授权 Spring Security提供了丰富的授权机制,可以...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头中的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder中,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
标题 "springboot_springsecurity_jwt_demo" 涉及的核心技术是Spring Boot、Spring Security以及JSON Web Token(JWT)的集成应用,这是一个用于构建安全Web服务的示例项目。在这个项目中,开发者将学习如何利用...
spring源代码解析十.pdf
10-04
AuthenticationProcessingFilterServlet Filter接口的实现,主要用于在请求到达目标资源之前进行身份验证。 首先,`doFilter()`方法是Filter的核心,它负责拦截请求并执行过滤逻辑。在这个方法中,Spring Acegi...
Acegi 各过滤的解析(二)
03-06
<security:filter-chain pattern="/**" filters="channel-processing-filter, security-context-persistence-filter, concurrent-session-control-filter, authentication-processing-filter, exception-...
SecurityContextHolder和SecurityContext
也许是我送你哦
05-19 573
SecurityContextHolder.getContext().setAuthentication(authentication); 走源码,发现是ThreadLocal //当前线程 private static SecurityContextHolderStrategy strategy; public static SecurityContext getContext() { return strategy.getContext(); } ThreadLocalSecurityCon
【JavaWeb】SpringSecurity过滤链的理解
qq_43654226的博客
12-14 698
写在最前,本人也只是个大三的学生,如果你发现任何我写的不对的,请在评论中指出。   正如官方所说,spring security的servlet支持基于servlet过滤器, 因此先去了解过滤器的作用会对理解spring security整个框架有所帮助。   由于spring IOC容器与Servlet容器是两个不同的容器,所以spring security为了支持servlet的过滤器实现了一个名为DelegatingFilterProxy的代理类作为两者之间的桥梁,Servlet可以依据自己的标准.
SpringSecurity过滤器SecurityContextPersistenceFilter
clyu的博客
01-03 2840
SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从session中获取SecurityContext,然后放到上下文中,之后的filter大多依赖这个来获取登录态。其主要是通过HttpSessionSecurityContextRepository来存取的。 public class SecurityContextPersistenceFilter extends GenericFilterBean {
springboot2.7整合springSecurity
gzmyh的博客
02-28 6088
本着前人栽树,后人乘凉的这种思想,自己花了一些时间,用心的整理了一套springboot整合springsecurity的教程。该教程是基于前后端分离,会实现以下两种登录功能:用户名+密码+图片验证码手机号登录这两种方式可以同时存在,并且互不干预。本教程会通过阅读其内置的用户名密码登录的源码,以及结合官网文档来实现一些自定义的登录方式。注:教程主要是开发思路的讲解,其中涉及到的代码仅供参考,为了方便,很多地方忽略了一些细节打开源码可以看到是继承,因此我们就从它开始阅读。
springSecurity系列之 SecurityContextHolder与SecurityContext
weixin_39802680的博客
03-27 1504
SecurityContextHolder SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext。 安全上下文 SecurityContext SecurityContext 可以理
【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
波波烤鸭的博客
05-17 2339
SpringSecurity核心过滤器-SecurityContextPersistenceFilter 一、SpringSecurity中的核心组件   在SpringSecurity中的jar分为4个,作用分别为 jar 作用 spring-security-core SpringSecurity的核心jar包,认证和授权的核心代码都在这里面 spring-security-config 如果使用Spring Security XML名称空间进行配置或Spring Security
SpringSecurity的第二次免授权登录
青语的博客
11-18 1348
可以查看过滤链。 DefaultSecurityFilterChain查看所有的Filter
Spring Security中,多线程操作导致安全上下文丢失(附CountDownLatch的用法)
琪丶琪的博客
07-09 2757
一、问题描述 之前做项目的时候,遇到的这个问题。 1. 前景描述 该项目应用的是Spring Security + JWT的安全框架,用户在登录时会携带有Authorization信息,Spring Security会对其进行认证,并在成功后,将当前登录的用户信息存储到安全上下文,然后在更新或插入数据库数据时,会从安全上下文中取出当前登录用户信息,作为这条数据的最后更新人。 2. 问题出现 某个功能因涉及的表比较多,数据量比较大,导致效率很慢,所以决定将其改为异步操作,使用多线程来实现。但是在功能实现完后,
SecurityContext
最新发布
07-11
这个错误意味着在安全上下文中找不到身份验证对象。在Spring Security中,身份验证对象存储在安全上下文中,以便在需要时进行访问。如果您尝试在没有经过身份验证的用户的情况下执行受保护的操作,就会出现这种情况...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值