Spring Security默认过滤器链解析(十二)

最新推荐文章于 2021-10-20 19:58:05 发布
最新推荐文章于 2021-10-20 19:58:05 发布
阅读量728 收藏 1
点赞数 2
分类专栏: spring security 文章标签: 新星计划 java spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang131peng/article/details/118699627
版权

1.DefaultLoginPageGeneratingFilter 默认登录页生成

从名字就可以看出,这是默认登录页生成过滤器。内容比较简单,就简单过一下。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		// 是不是异常页面
		boolean loginError = isErrorPage(request);
		// 是不是登出成功页面
		boolean logoutSuccess = isLogoutSuccess(request);
		if (isLoginUrlRequest(request) || loginError || logoutSuccess) {
			// 登录的,异常的,登出成功的都返回登录页面
			// 这里进行页面生成
			String loginPageHtml = generateLoginPageHtml(request, loginError,
					logoutSuccess);
			response.setContentType("text/html;charset=UTF-8");
			response.setContentLength(loginPageHtml.getBytes(StandardCharsets.UTF_8).length);
			response.getWriter().write(loginPageHtml);

			return;
		}

		chain.doFilter(request, response);
	}

登录页面生成有好几种:

表单登录: formLogin

openId登录:openId

oauth2登录:oauth2Login

saml2登录:saml2Login

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nGxRV325-1626158128489)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/bba56aa5-e562-4e5d-bdfb-7cc0ffe6c2cb/Untitled.png)]



2.DefaultLogoutPageGeneratingFilter 默认登出页生成

登出页就没有登录页那么复杂了。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YApsyUXj-1626158128492)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/4cfbb371-2086-4b3d-a5a7-f67c8282583a/Untitled.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-irMrxgUF-1626158128494)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/30efe74e-30e3-45f4-a07a-8c2106f0a398/Untitled.png)]



3.BasicAuthenticationFilter

这个跟表单认证不同,这是HTTP基本认证(Basic Authentication),至于什么是Basic认证,请参考《HTTP Basic 认证

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eGd1320x-1626158128503)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/6db849e1-2c16-4189-a496-cf8e3f219612/Untitled.png)]

看一下Basic如何从header中解析出用户名和密码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BahF4bgi-1626158128506)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/cf18d94a-5cc8-4dbe-8130-2e844564e25c/Untitled.png)]

上面其实就是从头信息中获取Authorization的参数,然后将值进行base64解码。然后进行通过冒号 进行分隔,前面是用户名,后面是密码。

其实从这里可以看出。Basic其实不适用于外网使用,跟裸奔一样。适用于高安全性的内部网络使用。



4.RequestCacheAwareFilter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ytwti838-1626158128508)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/abb4b183-f0e2-4a7c-aff4-c8dad13a2bcf/Untitled.png)]



5.SecurityContextHolderAwareRequestFilter

这里是将request又包装了一遍,将SecurityContextHolder包装进去,同时还增加了Servlet3对异步获取SecurityContextHolder的支持。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qaPz2Gu9-1626158128509)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/c60cd533-ce61-4969-b841-522857e99ae0/Untitled.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zaZmqw3e-1626158128511)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/d8ed29c4-5051-4979-8bdc-9d7499465789/Untitled.png)]



6.AnonymousAuthenticationFilter 匿名认证对象

每个匿名对象都要像真正的认证对象一样有userName,password,authority。

其中key(userName)的生成方式:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MpUu05CC-1626158128512)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/eabc64ba-8d32-42f5-bf8a-559dde8ac8fd/Untitled.png)]

password和权限:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tgfT2j4Y-1626158128513)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/2f94cf97-e8ee-417a-ae4e-437e60fb5feb/Untitled.png)]

所以这个类就是生成了一个匿名认证对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7pMAd6DA-1626158128514)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/1d072e0d-0675-4fb8-9d21-54eb24b3f0a4/Untitled.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zlpppYKu-1626158128515)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/337116fd-d2a5-48f0-86e2-27ead37ce314/Untitled.png)]



7.小结

今天看了一下6个Filter,还有3个,明天继续~

欢谷悠扬
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Spring Security Filter详解
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
【深入浅出Spring Security(三)】默认登录认证的实现原理
qq_63691275的博客
05-30 3426
思考:发送请求的登录界面是如何来的?用户名和密码为什么是user和一个UUID字符串呢?它又是如何进行用户名和密码验证的呢?得知道 DaoAuthenticationProvider retrieveUser 方法和 additionalAuthenticationChecks 方法(这俩方法分别应用了UserDetailsService和PasswordEncoder对象)。UsernamePasswordAuthenticationFilter 最后也是去通过 ProviderManager 中的 au
全面解析Spring Security 过滤器的机制和特性
08-18
主要介绍了Spring Security 过滤器的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7103
这章主要用来分析Spring Security中的过滤器包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
图解Spring Security默认使用的过滤器
xyz20003的专栏
06-15 406
第 9 章 图解过滤器 图 9.1. auto-config='true'时的过滤器列表 9.1. HttpSessionContextIntegrationFilter 图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4366
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
Spring Security常用过滤器实例解析
08-24
Spring Security 常用过滤器实例解析 Spring Security 是一个功能强大且灵活的安全框架,提供了许多实用的过滤器来帮助我们实现身份验证、授权和保护我们的应用程序。下面我们将介绍 15 个常用的 Spring Security ...
SpringSecurity深度解析与实践(3)
最新发布
12-23
1. **Spring Security架构**:Spring Security基于过滤器的概念,每个过滤器负责特定的安全任务。主要组件包括:DelegatingFilterProxy、HttpSessionContextIntegrationFilter、AuthenticationProcessingFilter、...
浅析Spring Security登录验证流程
08-25
当一个请求到达时按照过滤器的顺序依次进行处理,通过所有过滤器的验证,就可以访问API接口了。SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是...
SpringBoot2.6整合SpringSecurity+JWT
01-11
1. **防止CSRF攻击**:Spring Security默认集成了对CSRF(跨站请求伪造)的防护,可以调整配置以适应不同的安全需求。 2. **错误处理**:合理处理安全异常,返回友好的错误信息,避免泄露敏感信息。 3. **权限控制...
springsecurity使用配置详解
03-24
Spring Security通过过滤器来实现这些功能,其中最核心的过滤器是`DelegatingAuthenticationEntryPoint`、`AuthenticationFilter`、`AccessDecisionManager`和`AuthenticationManager`。 1. **身份验证...
Spring Security 实战干货:图解Spring Security过滤器体系
码农小胖哥
07-02 3707
欢迎加入[微信圈子]程序员交流圈交流编程经验。1. 前言我在Spring Security 实战干货:内置 Filter解析Spring Security的内置过滤器进行罗列...
spring security学习- 图解过滤器
u013269938的专栏
05-07 742
图解过滤器 图 11.1. auto-config='true'时的过滤器列表 11.1. HttpSessionContextIntegrationFilter 图 11.2. org.springframework.security.context.HttpSessionContextIntegrationFilte
spring security过滤器
qujiahuiqu的博客
03-11 288
spring security过滤器一、spring security过滤器的简单介绍二、配置spring security过滤器1.在pom.xml文件中输入以下代码下载spring security的架包2.在web.xml文件中配置spring security过滤器3.在resources包下创建spring-security.xml文件三、案例1.bean层2.Dao层3.mapper4...
SpringSecurity过滤器
libo_hh的博客
08-08 988
一、过滤器加载过程 1.DelegatingFilterProxy 在web.xml中配置过滤器 进入doFilter方法 invokeDelegate方法执行FilterChainProxy的doFilter 最终采用遍历的方式执行十五个默认过滤器 二、默认的15个过滤器 1.org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,非常重要 主要是使用SecurityContextR
Spring Security原理
...
04-14 377
Spring Security过滤器介绍 SpringSecurity 采用的是责任的设计模式,它有一条很长的过滤器。现在对这条过滤器的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContex
深入理解Spring Security过滤器责任模式分析
李永志的博客
05-04 969
Spirng Security的核心思路就是采用了责任模式通过一系列的Filter来实现权限控制(关于责任模式前面有过简单的介绍[责任模式](https://liyongzhi.blog.csdn.net/article/details/90741924))。这篇文章主要分析了Spring-Security中怎么生成和使用过滤器的。
springsecurity原理执行流程_Spring Security 实战干货:图解Spring Security中的Servlet过滤器体系...
weixin_39692557的博客
12-05 225
1. 前言 我在Spring Security 实战干货:内置 Filter解析Spring Security的内置过滤器进行了罗列,但是Spring Security真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键。 2. Servlet Filter体系 这里我们以Servlet Web为讨论目标,Reactive Web暂不讨论。我们先来看下最基础的S...
springsecurity权限过滤略解
秃头的博客
10-20 2312
//配置过滤器 //配置过滤的url路径 //?:匹配单个字符 ?.jsp //*:匹配任意字符 *.jsp //**:匹配任意目录 //授权请求,前面是路径,后面是规则,指定得url和执行得规则 //.antMatchers()正常请求 //.regexMatchers() 可以使用正则表达式进行匹配 //.anyRequest()所有的请求,与.antMatchers("/**
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

欢谷悠扬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值