关于springSecurity

最新推荐文章于 2024-05-19 19:04:00 发布
最新推荐文章于 2024-05-19 19:04:00 发布
阅读量2.3k 收藏
点赞数
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejx618/article/details/51147687
版权

保存请求与移除请求

//save request
org.springframework.security.web.access.ExceptionTranslationFilter#doFilter{
handleSpringSecurityException(request, response, chain, ase);
}
org.springframework.security.web.access.ExceptionTranslationFilter#handleSpringSecurityException{
sendStartAuthentication(request,response,chain,new InsufficientAuthenticationException("Full authentication is required to access this resource"));
}
org.springframework.security.web.access.ExceptionTranslationFilter#sendStartAuthentication{
requestCache.saveRequest(request, response);
}
org.springframework.security.web.savedrequest.HttpSessionRequestCache#saveRequest{
request.getSession().setAttribute(SAVED_REQUEST, savedRequest);
}

//remove request
//case 1
org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#doFilter{
successfulAuthentication(request, response, chain, authResult);
}
org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication{
successHandler.onAuthenticationSuccess(request, response, authResult);
}
org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler#onAuthenticationSuccess{
requestCache.removeRequest(request, response);
}
org.springframework.security.web.savedrequest.HttpSessionRequestCache#removeRequest{
session.removeAttribute(SAVED_REQUEST);
}

//case 2
org.springframework.security.web.savedrequest.RequestCacheAwareFilter#doFilter{
HttpServletRequest wrappedSavedRequest = requestCache.getMatchingRequest((HttpServletRequest) request, (HttpServletResponse) response);
}
org.springframework.security.web.savedrequest.HttpSessionRequestCache#getMatchingRequest{
removeRequest(request, response);
}
org.springframework.security.web.savedrequest.HttpSessionRequestCache#removeRequest{
session.removeAttribute(SAVED_REQUEST);
}

保存Session(如果要持久化到redis就要看

org.springframework.security.web.context.SecurityContextPersistenceFilter#doFilter{
repo.saveContext(contextAfterChainExecution, holder.getRequest(),holder.getResponse());
}

org.springframework.security.web.context.HttpSessionSecurityContextRepository#saveContext{
responseWrapper.saveContext(context);
}
org.springframework.security.web.context.HttpSessionSecurityContextRepository.SaveToSessionResponseWrapper#saveContext{
HttpSession httpSession = request.getSession(false);
httpSession.setAttribute(springSecurityContextKey, context);
}

这个repo在springSecurity有两种实现:org.springframework.security.web.context.HttpSessionSecurityContextRepository和org.springframework.security.web.context.NullSecurityContextRepository(这种实现为了不保存session,比如服务端保持无状态),如果想要注入自己的实现,比如保存到数据库之类的方法如下:重写org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)

http.securityContext().securityContextRepository(securityContextRepository)

授权拦截处理:

.authorizeRequests().antMatchers("/me").access("#oauth2.hasScope('read')")这一类:
org.springframework.security.web.access.intercept.FilterSecurityInterceptor#invoke{
InterceptorStatusToken token = super.beforeInvocation(fi);
}
org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation{
this.accessDecisionManager.decide(authenticated, object, attributes);
}
启用全局方法安全这一类(详细看<十springSecurity启用全局方法使用aop的分析>):对拦截方法类生成代理,在调用方法前先调用前置通知
org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor#invoke{
InterceptorStatusToken token = super.beforeInvocation(mi);
}
org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation{
this.accessDecisionManager.decide(authenticated, object, attributes);
}

这两类最终都由decide方法作出决定是否授权

xiejx618
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Spring-Security的理解
power_guoxinzhao的专栏
03-22 133
SpringSecurity组件主要是做的安全方面一些工作,比如 登陆过滤 退出登陆都有相应的配置方法。  
关于spring Security的一些简单用法
qq_42400763的博客
05-20 148
简介 springSecurity是针对spring项目的安全框架,也是springBoot底层安全模块的技术选型,他可以实现强大的web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理. 首先我们需要记住这几个类: WebSecurityConfigurationAdapter:自定义security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity
Spring Security之认证信息的处理
Evan_L的博客
05-19 1012
我们通常将当前用户信息保存在session中,由HttpSessionSecurityContextRepository来管理。在请求进入后,先通过SecurityContextPersistenceFilter将HttpSessionSecurityContextRepository中的SecurityContext恢复到SecurityContextHolder,这样后续的处理就能通过它来获取SecurityContext了。
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 1925
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
Spring Security体系结构
qq_27890899的博客
05-31 293
Spring Security的过滤器链加载与执行原理。
Spring Security Config : HttpSecurity安全配置器 SecurityContextConfigurer
Details Inside Spring
06-16 1400
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,SecurityContextConfigurer的配置任务如下 : 配置如下安全过滤器Filter SecurityContextPersistenceFilter 如果存在共享对象SecurityContextRepository,则使用它作为安全上下文存储库,否则创建一个实现类型为HttpSessi...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security模块
09-03
**Spring Security 模块详解** Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,主要用于构建安全的 Java Web 应用程序。它提供了一套全面的安全解决方案,包括身份验证、授权、会话管理以及跨...
SpringSecurity.md
07-21
SpringSecurity.md
详解cookie、session和HTTP缓存
weixin_72689548的博客
11-22 881
来自维基百科的解释:在计算机科学领域来说,尤其是在网络领域,会话(session)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制,session在网络协议(例如telnet或FTP)中是非常重要的部分。个人理解: session 是一种在服务器端保存数据的机制。服务器通过读取浏览器发送的 cookie 和 服务器端的 session 来交换数据。java,保存于服务器内存中,重启服务器,session 消失。
HTTP基础
dqd66的博客
10-17 528
Etag 实体标签 根据实体内容生成的一段hash 字符 可以标识资源状态 通过http请求 if-None-Match。OPRIONS:要求服务器返回对某一资源有效的HTTP请求方法 服务器返回Allow消息头的响应 包含支持的请求方法。1对Web应用程序进行测试需要使用相关的编码方式对数据进行编码 确保应用程序按照相应的范式进行处理。http请求通过 if-Modified-Since 传递缓存保存的最后修改时间。根据缓存中保存的资源最后修改时间与服务器资源文件的最后修改时间对比 如果一致使用缓存。
spring security自定义指南
weixin_34296641的博客
12-24 208
序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义AuthenticationProvider 自定义AccessDecisionManager 自定义securityMetadataSource 自定...
spring security3教程系列--自定义过滤链
shadowsick的专栏
02-08 1万+
本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8576449 spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤链,看本文章需要读者对spring security3 有一定程度的了解
spring security控制session
热门推荐
neweastsun的专栏
02-25 2万+
spring security控制session 本文给你描述在spring security中如何控制http session。包括session超时、启用并发session以及其他高级安全配置。 创建session时机 我们可以准确地控制什么时机创建session,有以下选项进行控制: always – 如果session不存在总是需要创建; ifRequired – 仅当需要时...
springSecurity 登录以及用户账号密码解析原理
weixin_33910137的博客
01-15 1935
springSecurity 拦截器链 用户登录基本流程处理如下: 1 SecurityContextPersistenceFilter 2 AbstractAuthenticationProcessingFilter 3 UsernamePasswordAuthenticationFilter 4 AuthenticationManager 5 AuthenticationProvider 6...
SpringSecurity学习笔记
SIMBA1949的博客
12-31 858
SpringSecurity学习笔记 前言 博客书 版本说明 platform-bom=Cairo-SR7 spring-cloud-dependencies=Finchley.SR4 相关链接 SpringSecurity 官网: https://spring.io/projects/spring-security SpringSecurity 官方文档: https://docs.spri...
关于Spring Security的描述
最新发布
06-07
Spring Security是一个基于Spring框架的安全性认证和授权的框架。它提供了一系列的安全性解决方案,包括用户认证、访问控制、加密、攻击防范等等。Spring Security可以很方便地与Spring框架集成,也可以与其他框架...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值