开源项目halo个人博客源码学习--halo的安全模块(二)

最新推荐文章于 2024-05-01 08:48:56 发布
最新推荐文章于 2024-05-01 08:48:56 发布
阅读量1.6k 收藏 4
点赞数 2
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45614329/article/details/107703576
版权

halo的安全模块

一、相关的Filter

AbstractAuthenticationFilter

ContentFilter

ApiAuthenticationFilter

AdminAuthenticationFilter

二、类之间的关系

在这里插入图片描述
halo定义了一个AbstractAuthenticationFilter这个类继承了spring框架给我们提供好的OncePerRequestFilter

OncePerRequestFilter是一个过滤器基类,旨在确保在任何servlet容器上按请求分派并执行一次。

AbstractAuthenticationFilter的三个子类具体定义了过滤的规则

三、相关Filter的功能

1.拦截所有的请求

@Component
@Order(-1)
public class ContentFilter extends AbstractAuthenticationFilter {

    public ContentFilter(HaloProperties haloProperties,
                         OptionService optionService,
                         AbstractStringCacheStore cacheStore,
                         OneTimeTokenService oneTimeTokenService) {
        super(haloProperties, optionService, cacheStore, oneTimeTokenService);
		//将所有的路径交给过滤器来管理
        addUrlPatterns("/**");

        String adminPattern = HaloUtils.ensureBoth(haloProperties.getAdminPath(), "/") + "**";
        //需要直接放行的路径
        addExcludeUrlPatterns(
            adminPattern,
            "/api/**",
            "/install",
            "/version",
            "/js/**",
            "/css/**");

        // set failure handler
        setFailureHandler(new ContentAuthenticationFailureHandler());
    }

    @Override
    protected String getTokenFromRequest(HttpServletRequest request) {
        return null;
    }

    @Override
    protected void doAuthenticate(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // Do nothing
        filterChain.doFilter(request, response);
    }
}

2./api/content/**路径的过滤

@Slf4j
@Component
@Order(0)
public class ApiAuthenticationFilter extends AbstractAuthenticationFilter {

    private final OptionService optionService;

    public ApiAuthenticationFilter(HaloProperties haloProperties,
                                   OptionService optionService,
                                   AbstractStringCacheStore cacheStore,
                                   OneTimeTokenService oneTimeTokenService,
                                   ObjectMapper objectMapper) {
        super(haloProperties, optionService, cacheStore, oneTimeTokenService);
        this.optionService = optionService;

        addUrlPatterns("/api/content/**");

        addExcludeUrlPatterns(
            "/api/content/**/comments",
            "/api/content/**/comments/**",
            "/api/content/options/comment"
        );

        // set failure handler
        DefaultAuthenticationFailureHandler failureHandler = new DefaultAuthenticationFailureHandler();
        failureHandler.setProductionEnv(haloProperties.isProductionEnv());
        //在haloConfiguration中注入的ObjectMapper
        failureHandler.setObjectMapper(objectMapper);
        setFailureHandler(failureHandler);
    }

    @Override
    protected void doAuthenticate(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //没有开启身份验证模式
        if (!haloProperties.isAuthEnabled()) {
            //放行所有api的请求
            filterChain.doFilter(request, response);
            return;
        }

        // Get api_enable from option
        Boolean apiEnabled = optionService.getByPropertyOrDefault(ApiProperties.API_ENABLED, Boolean.class, false);

        if (!apiEnabled) {
            throw new ForbiddenException("API has been disabled by blogger currently");
        }

        // Get access key
        //从request中获取api_access_key
        String accessKey = getTokenFromRequest(request);

        if (StringUtils.isBlank(accessKey)) {
            // If the access key is missing
            throw new AuthenticationException("Missing API access key");
        }

        // Get access key from option
        //从optionservice中获取api_access_key
        Optional<String> optionalAccessKey = optionService.getByProperty(ApiProperties.API_ACCESS_KEY, String.class);

        if (!optionalAccessKey.isPresent()) {
            // If the access key is not set
            throw new AuthenticationException("API access key hasn't been set by blogger");
        }
		//不相同就抛出异常
        if (!StringUtils.equals(accessKey, optionalAccessKey.get())) {
            // If the access key is mismatch
            throw new AuthenticationException("API access key is mismatch").setErrorData(accessKey);
        }
		
		//相同就放行
        // Do filter
        filterChain.doFilter(request, response);
    }

    @Override
    protected boolean shouldNotFilter(HttpServletRequest request) {
        boolean result = super.shouldNotFilter(request);

        if (antPathMatcher.match("/api/content/*/comments", request.getServletPath())) {
            Boolean commentApiEnabled = optionService.getByPropertyOrDefault(CommentProperties.API_ENABLED, Boolean.class, true);
            if (!commentApiEnabled) {
                // If the comment api is disabled
                result = false;
            }
        }
        return result;
    }

    @Override
    protected String getTokenFromRequest(@NonNull HttpServletRequest request) {
        return getTokenFromRequest(request, API_ACCESS_KEY_QUERY_NAME, API_ACCESS_KEY_HEADER_NAME);
    }
}

3."/api/admin/**", "/api/content/comments"所有请求过滤

@Slf4j
@Component
@Order(1)
public class AdminAuthenticationFilter extends AbstractAuthenticationFilter {

    private final HaloProperties haloProperties;

    private final UserService userService;

    public AdminAuthenticationFilter(AbstractStringCacheStore cacheStore,
                                     UserService userService,
                                     HaloProperties haloProperties,
                                     OptionService optionService,
                                     OneTimeTokenService oneTimeTokenService,
                                     ObjectMapper objectMapper) {
        super(haloProperties, optionService, cacheStore, oneTimeTokenService);
        this.userService = userService;
        this.haloProperties = haloProperties;

        addUrlPatterns("/api/admin/**", "/api/content/comments");

        addExcludeUrlPatterns(
            "/api/admin/login",
            "/api/admin/refresh/*",
            "/api/admin/installations",
            "/api/admin/migrations/halo",
            "/api/admin/is_installed",
            "/api/admin/password/code",
            "/api/admin/password/reset",
            "/api/admin/login/precheck"
        );

        // set failure handler
        DefaultAuthenticationFailureHandler failureHandler = new DefaultAuthenticationFailureHandler();
        failureHandler.setProductionEnv(haloProperties.isProductionEnv());
        failureHandler.setObjectMapper(objectMapper);

        setFailureHandler(failureHandler);

    }

    @Override
    protected void doAuthenticate(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        if (!haloProperties.isAuthEnabled()) {
            // Set security
            userService.getCurrentUser().ifPresent(user ->
                SecurityContextHolder.setContext(new SecurityContextImpl(new AuthenticationImpl(new UserDetail(user)))));

            // Do filter
            filterChain.doFilter(request, response);
            return;
        }

        // Get token from request
        String token = getTokenFromRequest(request);

        if (StringUtils.isBlank(token)) {
            throw new AuthenticationException("未登录,请登录后访问");
        }

        // Get user id from cache
        Optional<Integer> optionalUserId = cacheStore.getAny(SecurityUtils.buildTokenAccessKey(token), Integer.class);

        if (!optionalUserId.isPresent()) {
            throw new AuthenticationException("Token 已过期或不存在").setErrorData(token);
        }

        // Get the user
        User user = userService.getById(optionalUserId.get());

        // Build user detail
        UserDetail userDetail = new UserDetail(user);

        // Set security
        SecurityContextHolder.setContext(new SecurityContextImpl(new AuthenticationImpl(userDetail)));

        // Do filter
        filterChain.doFilter(request, response);
    }

    @Override
    protected String getTokenFromRequest(@NonNull HttpServletRequest request) {
        //admin_token / ADMIN-Authorization
        return getTokenFromRequest(request, ADMIN_TOKEN_QUERY_NAME, ADMIN_TOKEN_HEADER_NAME);
    }
}
安财小辣鸡
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Halo
03-30
光环
一款基于SpringBoot的优秀开源博客系统:Halo
weixin_40733384的博客
06-04 1255
传送门:Halo 官网 我是小白,今年大一,刚刚脱离了数理化苦海的我,发现对学习计算机有着浓厚的兴趣,学的过程中发现了很多有意思的东西,比如刚刚接触的开源操作系统 Linux,对于从小接触 Windows 的我,以为操作系统等于 Windows,Windows 就是唯一的操作系统 同时解锁了另一个属性就是“折腾”,喜欢去找开源的好用的软件来替代正在使用的软件,当然这个过程中也让我发现了不少非常实用的工具,比如做笔记用的 Typora,加密小电影用的 VeraCrypt 随着整理的笔记越来越多,记录的资料.
Halo源码 -- ① Admin功能
DC9751的博客
06-30 538
AdminService + AdminServiceImpl AdminController 作为后端学习项目,源码阅读先从项目的Service层和Controller层着手,搞清楚项目的业务逻辑。 一、Service层 & Controller层 1. Service层: Service层主要负责业务模块的逻辑应用设计。同样是首先设计接口,再设计其实现的类,接着再Spring的配置文件中配置其实现的关联。这样我们就可以在应用中调用Service接口来进行业务处理。 Service层的业务实现,
halo项目源码本地部署解决方案
旺旺的博客
04-29 2128
目录前言1、拉取halo项目2、使用idea打开halo3、构建的时候出现的错误4、结果后言 前言 先列举会出错的点: 1、Plugin [id: ‘org.springframework.boot’, version: ‘2.2.5.RELEASE’] was not found in any of the follow 2、Bean method ‘buildProperties’ in ‘P...
Halo博客项目源码学习
03-17 404
看了一些Halo博客源码,觉得十分规范和优雅,从中学习了不少新的技术、业务的实现方式、代码编写规范等,在此记录一下笔记。
Halo开源项目Halo学习笔记(一)
mdwsmg的博客
01-29 4431
开源项目Halo学习笔记(一) 笔记为学习笔记,欢迎指出任何问题,希望能学完,少打两局游戏 项目启动遇到的错误 JDK版本错误 Execution failed for task ‘:compileJava’. Could not target platform: ‘Java SE 11’ using tool chain: ‘JDK 8 (1.8)’. 修改Gradle JVM 为对应版本 修改运行设置,一定要记得,不然就会有下面第个错误 @Deprecated 注释错误 可以看到源
基于Halo个人博客搭建
qq_21182441的博客
09-19 378
基于Halo个人博客搭建
halo 开源项目源码学习
qq_45256489的博客
10-10 2043
目的 看开源项目的目的无非就两个,看别人的代码组织结构。看别人的用到得到技术,还有就是看别人踩过的坑。 感受 就我看halo项目的感觉而言。感觉就是注释几乎就没有用。我看似乎这个项目国人挺多的怎么一句中文注释也没有?你英文旁边加个中文也好。好多百度翻译出来的意思也是连蒙带猜。 注释基本就是类名的完整版。反正我感受最大的就是注释最重要的是要写明为什么需要这个类有什么作用。最好还有以写上可能什么时候调用。有些方法感觉根本调试不到。虽然我之前注释也没做到。但我以后会这样要求自己。 另外一个和我之前写的项目相比一个
云服务器使用halo搭建个博客
weixin_44027937的博客
03-10 1140
一、材料准备: 一台云服务器 ssh+sftp工具(Windows下推荐mobaxterm,mac下推荐secure CRT+transmit) mobaxter下载地址:https://mobaxterm.mobatek.net/download-home-edition.html halo开源博客系统jar包, 源码地址:https://github.com/halo-dev/halo jar包下载地址:https://github.com/halo-dev/halo/releases/tag/v1
通过自定义注解排除不需要过滤URL的方法
weixiaohuai的博客
10-16 3326
一、简介 最近在项目中,使用过滤器的时候,在设置哪些URL需要过滤,哪些URL不需过滤时,一开始想着用配置文件的形式进行配置(当然这种方法也可行),但是我想了想有没有更加优雅的方式,这种URL硬编码在配置文件里面并不太友好,也不好维护,于是我想到了用自定义注解的形式来配置哪些URL进行排除在外,下面就介绍详细的实现步骤。 、实现步骤 【a】创建springboot项目,pom.xml依赖文...
API has been disabled by blogger currently
qq_43416237的博客
03-04 906
使用halo构建系统后发现网页上报错“API has been disabled by blogger currently” 解决方案如下:
Halo博客系统-其他
06-12
Halo是一款以Java+MySQL进行开发的现代化的个人独立博客系统,给习惯写博客的同学一个更好的选择。同时Halo也可以说是一款非常好的Java博客系统。 Halo博客系统特点: 部署方便 采用了应用与用户配置分离的模式。你...
halo-theme-sagiri:像sagiri一样可爱
05-15
另外说一下,两个版本的源码及结构是不一样的,所以开源版本有什么 Bug 的话请告知我,我将进行优化,不然我不知道 安装 压缩包上传方式(推荐) 下载最新发行版zip压缩包到本地 进入博客后台-外观-主题-安装 选择...
halo-theme-vno
05-24
复制 https://github.com/halo-dev/halo-theme-vno。 进入后台 -> 外观 -> 主题。 点击右下方按钮选择安装主题,随后选择 远程拉取。 粘贴复制的链接到远程地址,点击下载即可。 更新方法 方法一 进入后台 -> 外观 -...
halo-theme-sakura:Halo 版本的樱花:cherry_blossom:主题
08-04
Sakura | | | :face_with_monocle: 说明 该主题的基础版为 ,非常感谢将基础版主题移植过来,给了我后续补充内容的条件。 本主题参照 WordPress 主题 制作,在原有的 主题上添加了 Sakura 的内容,并优化了部分内容...
halo-theme-simple-bootstrap:Halo主题引导程序样式·简单
01-31
感谢使用Halo Simple Bootstrap主题 主题演示地址: 主题采用原生的Bootstrap样式,未经过大幅度的修改,主题色调为黑灰白,大幅度使用Courier New字体,没有华丽的图片做修饰,界面极为简洁,让读者专注于文字,而...
spring boot 自定义starter示例
最新发布
weixin_46591962的博客
05-01 1356
在创建一个自定义的Starter项目时,我们需要编写一个属性类,用来定义我们要集成的功能模块所需的配置项,并且使用@ConfigurationProperties注解来指定用户配置文件中的前缀。在resources/META-INF目录下创建一个名为spring.factories的文件,用来指定我们的自动配置类,让Spring Boot能够在启动时自动扫描并加载它。在创建一个自定义的Starter项目时,我们需要编写一个自动配置类,用来根据属性类和业务功能类,创建相应的Bean对象。
Spring Boot面试知识点总结(经典15问)
shiranyyds的博客
04-29 1910
Spring Boot是一个基于Spring框架的开源项目,它简化了Spring应用的初始搭建以及开发过程。通过提供“约定优于配置”的方式,Spring Boot可以帮助开发者快速构建出生产级别的Spring应用。答案:起步依赖是Spring Boot提供的一组预先定义好的依赖集合,它包含了运行特定功能所需的所有依赖项。开发者只需要在项目的pom.xml文件中添加相应的起步依赖,即可快速引入所需的功能,无需手动管理大量的依赖关系。
spring boot中一般如何使用线程池
Programming Talk
04-26 1554
本文将详细阐述如何在Spring Boot中正确使用线程池,包括配置参数、实例化、任务提交、监控及常见问题处理等环节,并辅以代码示例,以期为开发者提供一份全面的实践指南。​,配置核心参数,正确提交任务,并借助监控工具持续观察与调整,可以显著提升应用的并发处理能力与资源利用率。线程池是一种基于池化技术管理线程的机制,其核心目标在于减少线程创建与销毁的开销,通过复用已创建的线程来处理一系列异步任务。​​是实现线程池的基础类,而Spring Boot则通过封装​。​等组件,简化了线程池的配置和使用。
halo博客源码解读
09-01
你好!很高兴回答你关于CSDN博客源码的问题。CSDN博客是一个非常受欢迎的技术社区,提供了许多优秀的博客文章和资源。CSDN博客源码解读可以从不同的角度来进行,比如前端、后端、数据库等方面。 在前端方面,CSDN博客使用了HTML、CSS和JavaScript来构建页面。可以看到它的页面结构和样式,包括主页、文章详情页、个人中心等。它还使用了一些前端框架和库,如jQuery来处理交互效果,Bootstrap来实现响应式布局等。 在后端方面,CSDN博客使用了一种Web开发框架来处理请求和响应。具体的框架可能是基于Java、Python、Node.js等不同的技术栈。它还使用了一些数据库来存储用户信息、博客文章、评论等数据。常见的数据库有MySQL、MongoDB等。 另外,CSDN博客还涉及到用户认证、权限管理、搜索功能等。这些都需要在源码中进行详细的分析和理解。 总之,CSDN博客源码解读是一个庞大而复杂的任务,需要对前端、后端和数据库等方面有一定的了解和经验。如果你有具体的问题或想深入了解某个方面,我可以帮助你进一步解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值