Spring Security之SecurityFilterChain的选择与执行流程(五)

最新推荐文章于 2024-06-07 10:03:45 发布
最新推荐文章于 2024-06-07 10:03:45 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: spring security 文章标签: spring security java filter 新星计划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang131peng/article/details/118542579
版权

1.FilterChainProxy去找过滤器链去了~

FilterChain 是过滤器链,我好像之前一直说的拦截器链(尴尬

在上一篇中,我们知道FilterChainProxy 拿到了三条过滤器链,那FilterChainProxy如何根据请求去选择呢?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3EYxyAGy-1625627158547)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/ce9b8808-24a1-4175-8395-c305f0fecf61/Untitled.png)]

每个SecurityFilterChain都有一个RequestMatcher 匹配器,这个匹配器中可以放置多个url或者通配符表达式进行匹配,匹配成功就直接返回这个过滤器链的过滤器集合。

所以SecurityFilterChain其实也不是过滤器链的真正执行者,而是一个URL匹配器+过滤器集合存储容器的工具人。



2.VirtualFilterChain 接手SecurityFilterChain的过滤器集合

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ufL4ZcYk-1625627158550)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/85ac842b-9345-4a1f-9ead-95ca649dc2ca/Untitled.png)]

研究一下VirtualFilterChain如何形成过滤器链,如何再返回到tomcat的过滤器链上去。毕竟如果security认证或者鉴权通过后,还是要走DispatcherServlet的。

@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
			if (currentPosition == size) {
				// 通过一个指针去遍历过滤器集合
				// 当指针走到集合尾部时,security过滤器链里的过滤器执行完毕
				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " reached end of additional filter chain; proceeding with original chain");
				}

				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();
				// 将请求和响应重新交给tomcat的过滤器链中,security的执行完毕了。
				originalChain.doFilter(request, response);
			} else {
				currentPosition++;
				// 获取security 过滤器链的下一个过滤器
				Filter nextFilter = additionalFilters.get(currentPosition - 1);

				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " at position " + currentPosition + " of " + size
							+ " in additional filter chain; firing Filter: '"
							+ nextFilter.getClass().getSimpleName() + "'");
				}
				// 执行过滤器
				nextFilter.doFilter(request, response, this);
			}
		}

上面的过程其实就是拿出配置的一个个过滤器,然后一个个去执行。



3.小结

下一篇会详细的讲解一下security默认过滤器链中的15个过滤器到底是干啥用的
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JKRW10qO-1625627158552)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/6c66e251-69b3-4b90-a12d-27f1a8f0e446/Untitled.png)]

欢谷悠扬
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security 6.x 系列(3)—— 基于过滤器的基础原理(二)
gmHappy
10-31 2万+
`ExceptionTranslationFilter` 允许将 `AccessDeniedException` 和 `AuthenticationException` 转换为 `HTTP` 响应。 `ExceptionTranslationFilter`作为`Security Filter`之一插入到 `FilterChainProxy` 中。
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 730
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
Spring Security 多过滤链的使用
huan的学习记录
07-14 887
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
SpringSecurity入门(一)
最新发布
qq_27352081的博客
06-07 922
SpringSecurity入门
SpringSecurity原理(四)——过滤器
trayvontang的博客
05-07 1141
概述 前面的文章中我们已经基本了解了怎样使用Spring Security的基本的认证(Authentication)和授权(Authority) 但是,我们还不清楚Spring Security到底是怎样执行这些流程。 这篇文章,我们就以SpringBoot为例,来梳理一下Spring Security从启动到执行这些流程的过程。 前置知识 我们知道Spring Security是通过Filter的方式来完成它的核心流程。但是: Spring Security到底拥有哪些Filter? 这些Filter
Spring-Security过滤器链的加载过程和请求对象
m0_73700925的博客
08-05 358
本篇博客深入探讨了Spring Security中的两个核心概念:过滤器链和请求对象。在现代Web应用程序中,安全性是至关重要的。Spring Security作为一个功能强大的安全框架,为开发人员提供了一套灵活且易于使用的安全功能。
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
Filter在SecurityFilterChain上的的排序规则
xsgnzb的专栏
03-11 707
为了让系统正常运行,SecurityFilterChain 上的Filter要保持一定的顺序,例如AuthorizationFilter 要放在各类AuthenticationFilter 的后面,不然还没认证就开始校验权限信息,那一定不会通过。Spring Security为默认的Filter设置了固定的顺序,这些Filter和Filter的子类,都会按照这个顺序执行
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 4045
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
自定义securityFilter过滤链
热门推荐
xiaozhuanhao的专栏
04-24 1万+
spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤链,看本文章需要读者对spring security3 有一定程度的了解 先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的
附DEMO| 绝活!Spring Security过滤器就该这么配置
码农小胖哥
02-16 2219
2022年的开工福利已经发布,点击下面按钮获取最新PDF。以前胖哥带大家用Spring Security过滤器实现了手机验证码认证,今天我们来改良一下验证码认证的配置方式。这绝对是绝活66...
spring security (originalChain和additionalFilters)
海贼懒懒
08-01 2061
Spring Security过滤器其实分成2部分:originalChain 和additionalFilters 顺序就是先走我们定义的过滤器(additionalFilters),然后再走内部过滤器(originalChain) 代码实例:我们配置在httpSecurity的都是在additionalFilters里,在WebSecurity里配的在originalChain里...
springsecurityspringSecurityFilterChain
hepei120的专栏
06-03 6627
如果在web项目中增加springsecurity作为你的登录认证授权框架,那么第一步就需要在web.xml 增加如下配置         &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt;org.springframework.web.filt...
httpservletrequest 设置请求头_(七)springSecurityFilterChain处理请求流程
weixin_39593247的博客
11-26 1644
知识回顾:1、springSecurityFilterChainSpringSecurity框架的入口,是一个FilterChainProxy类型的bean,继承于Filter2、web框架的DelegatingFilterProxy会将调用springSecurityFilterChain的doFilter方法,将请求传递给SpringSecurity框架3、在传统web项目中Delegati...
Spring Security中代理过滤器是通过FilterChain如何工作的
u013828625的博客
05-23 4605
我们在搭建Spring Security框架的第一步配置是在项目的web.xml添加代理过滤器,配置如下 springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 由此我我们可以得出一个结果
springsecurity jwt单点登录执行流程
07-27
Spring Security和JWT(JSON Web Token)结合起来实现单点登录的执行流程如下: 1. 用户登录:用户通过提供用户名和密码进行身份验证,后台用户的凭据是否。 2. 颁发JWT如果用户的凭据验证通过,后台将颁发一个JWT给用户。JWT包含了用户的身份信息和其他必要的数据。 3. 将JWT发送给客户端:后台将JWT发送给客户端,通常是通过在响应的头部或者响应的主体中添加JWT。 4. 客户端保存JWT:客户端接收到JWT后,通常会将其保存在本地,例如在浏览器的本地存储或者cookie中。 5. 客户端发送JWT:当客户端发送请求到其他需要认证的资源服务器时,它会在请求的头部或者请求的主体中添加JWT。 6. 验证JWT:资源服务器接收到请求后,会从请求中提取JWT,并对其进行验证。验证包括检查JWT的签名是否有效、是否过期以及其他自定义的验证规则。 7. 授权访问:如果JWT验证通过,资源服务器将授权客户端访问受保护的资源。这可以通过在响应中返回所需的数据或者访问令牌来实现。 8. 重复以上步骤:客户端可以使用相同的JWT访问其他受保护的资源,只需要在每个请求中添加JWT即可。 需要注意的是,这只是一个简化的流程,实际的单点登录流程可能会根据具体的系统需求有所不同。此外,还需要考虑JWT的安全性,例如对JWT的签名进行保护,防止篡改和伪造。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值