Spring Security 之默认过滤器链的SecurityContextPersistenceFilter(七)

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量427 收藏 1
点赞数 1
分类专栏: spring security 文章标签: 新星计划 java security filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang131peng/article/details/118572501
版权

1.SecurityContextPersistenceFilter 是干啥的

SecurityContextPersistenceFilter 是用来在认证之前从SecurityContextRepository获取SecurityContext,然后放入SecurityContextHolder中。

然后在其他filter执行完毕之后,再将SecurityContext 通过SecurityContextRepository存储到想要存储的地方,然后清理掉SecurityContextHolder中的SecurityContext




2.doFilter源码解读

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (request.getAttribute(FILTER_APPLIED) != null) {
			// ensure that filter is only applied once per request
			// 这个就是确保一个request只会走一次SecurityContextPersistenceFilter 
			chain.doFilter(request, response);
			return;
		}

		final boolean debug = logger.isDebugEnabled();
		// 给request打标记,说明这个Filter已经执行过一次了。
		request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

		if (forceEagerSessionCreation) {
			// 要不要先创建session
			HttpSession session = request.getSession();

			if (debug && session.isNew()) {
				logger.debug("Eagerly created session: " + session.getId());
			}
		}
	
		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
				response);
		// 通过SecurityContextRepository加载SecurityContext
		// 默认使用的是HttpSessionSecurityContxtReposity
		// 这个就是说,默认是从session中获取。如果session里面获取不到就创建一个新的SecurityContext
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

		try {
			// 将 SecurityContext 丢入 SecurityContextHolder
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			// 执行其他拦截器
			chain.doFilter(holder.getRequest(), holder.getResponse());

		}
		finally {
			// 在其他拦截器执行完后,再将SecurityContext 从 SecurityContextHolder中移除
			SecurityContext contextAfterChainExecution = SecurityContextHolder
					.getContext();
			// Crucial removal of SecurityContextHolder contents - do this before anything
			// else.
			SecurityContextHolder.clearContext();
			// 保存经过其他拦截器操作过后的SecurityContext到指定地方
			//repo的默认值是HttpSessionSecurityContxtReposity
			// 也就是保存到session中去
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),
					holder.getResponse());
			// ok,这个filter执行完毕,移除重复标记
			request.removeAttribute(FILTER_APPLIED);

			if (debug) {
				logger.debug("SecurityContextHolder now cleared, as request processing completed");
			}
		}
	}

简述流程:

1.从SecurityContextRepository中获取SecurityContext

2.将SecurityContext存入SecurityContextHolder

3.执行其他过滤器,对SecurityContext进行处理

4.在其他的执行完后,将SecurityContextSecurityContextHolder中清除,并通过SecurityContextRepository进行回写。



3.题外话之默认的HttpSessionSecurityContextRepository

这是默认的SecurityContext的存储器。其实就是将SecurityContext存储在session中。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3LQteQhm-1625724984029)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/781f14f0-9f3e-4f30-b672-5bf83fcd62f4/Untitled.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AUXkbMez-1625724984031)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/4f7b4f86-df86-4c83-bd59-84b476328d6e/Untitled.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qhqvLLXt-1625724984033)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/e74cf8de-bc6b-4e08-ba45-e00c352cf8fd/Untitled.png)]

从上面我们可以看到,从session中拿SecurityContext和存SecurityContext的过程。

同时我们也可以仿造HttpSessionSecurityContextRepository去实现我们自己的SecurityContextRepository。完成对SecurityContext的储存。




4.小结

在这个类中,我们可以看到如何保证filter只执行一次。如何对SecurityContext的生命周期的把控。以及最关键的SecurityContext的存储机制和时机。

欢谷悠扬
关注
专栏目录
SpringSecurity源码解析--SecurityContextPersistenceFilter
程序员劝退师的博客
11-19 319
概述 SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。 通过SecurityContextPersistenceFilter的这种
java技术专家 【安全框架第九篇】 SpringSecurity核心过滤器-SecurityContextPersistenceFilter
大壮
12-23 905
java技术专家 安全框架【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
聊聊SecurityContextPersistenceFilter
weixin_33854644的博客
12-17 322
为什么80%的码农都做不了架构师?>>> ...
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1337
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
7、spring security拦截器之SecurityContextPersistenceFilter
u012153127的博客
06-24 230
SecurityContextPersistenceFilter:创建空SecurityContext并设置到SecurityContextHolder public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest
9.SpringSecurity核心过滤器-SecurityContextPersistenceFilter
飘然渡沧海的博客
03-06 489
9.SpringSecurity核心过滤器-SecurityContextPersistenceFilter
【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
yqqの博客
03-18 275
SpringSecurity中的jar分为4个,作用分别为。
spring security 4 filter SecurityContextPersistenceFilter(三)
it帝国的博客-辉
03-13 1707
今天我们讲的filterSecurityContextPersistenceFilter,通过其名字,就能大概猜出来这个过滤器的作用,就是用来持久化SecurityContext实例用的,也是spring security filter 核心的过滤器之一。 接下去我们将根据其源码分析一下其作用,先看看doFilter这个方法 public void doFilter(Servl...
扩展篇:再探Spring Security过滤器SecurityContext
小奇学编程的博客
10-25 1030
扩展篇:再探Spring Security过滤器 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security过滤器,完整的剖析全路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
Spring Security常用过滤器实例解析
08-24
SecurityContextPersistenceFilterSpring Security 中的一个重要的过滤器,负责将 SecurityContext 保存到Session 中或从 Session 中获取 SecurityContextSecurityContext 中存储了当前用户的认证信息和权限...
Spring Security过滤器【探案】+源码剖析
Crown_123的博客
03-13 869
Spring Security过滤器【探案】 Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不赘述了,接下来咱们就一起看看Spring Security中这些过滤器都是干啥用的,有名字,大家可以自己在IDEA中Double Shift找到它们。 1.org.springframework.security.web.context.Securit...
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 3071
对Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍中过滤器的相关知识。类比JAVA Web中的过滤器中的过滤器进行了各种代理和增强,可以简单理解Security中的过滤器请求到(代理过滤器)调用(过滤器代理)根据请求,调用匹配的Security中的过滤器)中的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
SecurityContextPersistenceFilter
weixin_35753431的博客
01-04 223
SecurityContextPersistenceFilterSpring Security 框架中的一个过滤器,它的作用是在请求到达时恢复用户的安全上下文,并在请求完成后将其保存。这样,用户在跳转到另一个页面或在浏览器中打开另一个标签页时,仍然可以保持登录状态。 SecurityContextPersistenceFilter 会从 HTTP 请求中读取用户凭证,并使用它们来恢复用户的安...
[3] SecurityContextPersistenceFilter
热门推荐
既无风雨也无晴
03-08 2万+
SecurityContextPersistenceFilter 介绍 我们从字面上可以看出这是一个SecurityContext持久化的过滤器,这个也是SecurityContext相关的过滤器。再一次HTTP请求经过该过滤器时,Spring Security会先从SecurityContextRepository的取认证信息,这个接口有2种实现,分别是:1)_NullSecurityCont...
security的一个过滤器——SecurityContextPersistenceFilter
linhao_obj的博客
07-26 678
security的一个过滤器——SecurityContextPersistenceFilter 1、关于security的用户信息获取 a、SecurityContextHolder.getContext().getAuthentication() b、在 Controller 的方法中,加入 Authentication 参数,调用getPrincipal()方法 问题:异常情况上述两种方式获取用户都为null,即系统获取不到用户信息,报错状态码401,这又是怎么回事呢? 要弄明白这个问题,我们就得明白
Spring Security Web 5.1.2 源码解析 -- SecurityContextPersistenceFilter
Details Inside Spring
12-02 737
SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空Security...
深入理解Spring Security内置过滤器机制
"本文将全面解析Spring Security的内置Filter,这些FilterSpring Security权限控制的关键,它们按照特定的顺序组成过滤器,以实现安全控制。了解并掌握这些内置过滤器对于解决实际开发中的安全问题至关重要。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

欢谷悠扬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值