Spring Security3源码分析-SecurityContextHolderAwareRequestFilter分析

最新推荐文章于 2024-11-02 08:55:59 发布
最新推荐文章于 2024-11-02 08:55:59 发布
阅读量443 收藏
点赞数
分类专栏: Spring Security 文章标签: securitycontextholderawarerequestfilter spring security
本文探讨了 Spring Security 中 SecurityContextHolderAwareRequestFilter 的作用,它主要负责包装请求对象,实现 Servlet API 的相关接口,如 isUserInRole 和 getRemoteUser 方法,通过这个过滤器,Spring Security 能够在应用中实现认证和授权功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SecurityContextHolderAwareRequestFilter过滤器对应的类路径为
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        chain.doFilter(new SecurityContextHolderAwareRequestWrapper((HttpServletRequest) req, rolePrefix), res);
    }


SecurityContextHolderAwareRequestWrapper类对request包装的目的主要是实现servlet api的一些接口方法isUserInRole、getRemoteUser

    //从SecurityContext中获取认证实体Authentication
    private Authentication getAuthentication() {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();

        if (!authenticationTrustResolver.isAnonymous(auth)) {
            return auth;
        }

        return null;
    }

    //实现getRemoteUser方法。首先获取认证实体,再从认证实体中获取登录账号
    @Override
    public String getRemoteUser() {
        Authentication auth = getAuthentication();

        if ((auth == null) || (auth.getPrincipal() == null)) {
            return null;
        }

        if (auth.getPrincipal() instanceof UserDetails) {
            return ((UserDetails) auth.getPrincipal()).getUsername();
        }

        return auth.getPrincipal().toString();
    }

    //实现getUserPrincipal方法
    @Override
    public Principal getUserPrincipal() {
        Authentication auth = getAuthentication();

        if ((auth == null) || (auth.getPrincipal() == null)) {
            return null;
        }

        return auth;
    }

    //判断是否授权。这里注意一下rolePrefix,就是角色的前缀
    private boolean isGranted(String role) {
        Authentication auth = getAuthentication();

        if( rolePrefix != null ) {
            role = rolePrefix + role;
        }

        if ((auth == null) || (auth.getPrincipal() == null)) {
            return false;
        }

        Collection<GrantedAuthority> authorities = auth.getAuthorities();

        if (authorities == null) {
            return false;
        }


        for (GrantedAuthority grantedAuthority : authorities) {
            if (role.equals(grantedAuthority.getAuthority())) {
                return true;
            }
        }

        return false;
    }

    //实现isUserInRole
    @Override
    public boolean isUserInRole(String role) {
        return isGranted(role);
    }


这个过滤器看起来很简单。目的仅仅是实现java ee中servlet api一些接口方法。
一些应用中直接使用getRemoteUser方法、isUserInRole方法,在使用spring security时其实就是通过这个过滤器来实现的。
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 3645
Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍中过滤器的相关知识。类比JAVA Web中的过滤器中的过滤器进行了各种代理和增强,可以简单理解Security中的过滤器请求到(代理过滤器)调用(过滤器链代理)根据请求,调用匹配的Security中的过滤器链)中的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
java multipartrequestwrapper,如何从Servlet3SecurityContextHolderAwareRequestWrapper中获取MultipartRequest...
weixin_30716611的博客
03-01 1357
I'm using Grails 2.4.3 and I have a with method set to post, but I'm not getting a MutlipartRequest in my controller action. Instead I'm getting a Servlet3SecurityContextHolderAwareRequestWrapper wh...
SecurityContextHolder之策略模式源码分析
sdaujsj1的博客
07-02 438
springsecurity 之 登录用户数据的获取 springsecurity中,用户登录信息本质是保存到HttpSession中,springsecurity进行封装 获取登录数据有两种思路: 从SecurityContextHolder中获取 从当前请求对象中获取 从SecurityContextHolder中获取 @RestController public class HelloController { @GetMapping("/hello") public void he
Acegi(八): securityContextHolderAwareRequestFilter
rmn190
03-01 205
  上篇 中我们说了下 LogoutFilter的配置, 这篇里接着看另一个常见的配置SecurityContextHolderAwareRequestFilter. 下面先看怎么把它配置到Acegi里.     应该说对 securityContextHolderAwareRequestFilter 的配置要比LogoutFilter的更简单些. 有以下两步:          Ste...
Spring Security3源码分析(9)-SecurityContextHolderAwareRequestFilter分析
Benjamin
09-11 5446
SecurityContextHolderAwareRequestFilter过滤器对应的类路径为  org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter  从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码  Java代码   pub
Spring Security Web 5.1.2 源码解析 -- SecurityContextHolderAwareRequestFilter
Details Inside Spring
12-07 1605
概述 SecurityContextHolderAwareRequestFilter对请求HttpServletRequest采用Wrapper/Decorator模式包装成一个可以访问SecurityContextHolder中安全上下文的SecurityContextHolderAwareRequestWrapper。这样接口HttpServletRequest上定义的getUserPrinc...
Spring常用过滤器(Filter)-SecurityContextHolderAwareRequestFilter
最新发布
Liang的博客
11-02 507
1.5.1 SecurityContextHolderAwareRequestFilterSpring Security框架中的一个重要组件,它通过包装HttpServletRequest请求,使其能够访问SecurityContextHolder中的安全上下文。--- 包装后的请求可以通过getUserPrincipal、getRemoteUser等方法访问安全上下文中的用户信息。--- 这样可以确保后续的过滤器或控制器能够访问到安全上下文中的用户信息。
spring security框架使用及源码解析(保姆级教程)
边走、边悟、迟早变好
06-28 2309
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
Spring_Security3_源码分析
06-22
总结,Spring Security 3源码分析是一个深度学习的过程,涵盖了安全领域的多个方面。通过理解其内部工作机制,开发者可以更好地利用这一强大的框架,为应用程序提供安全的保障。同时,源码分析也能帮助开发者解决...
spring security源码分析.pdf
07-11
### Spring Security 源码分析知识...以上内容涵盖了 Spring Security 3源码分析中几个关键点的具体内容。通过对这些内容的深入学习和理解,可以更好地掌握 Spring Security 的工作原理及其在实际项目中的应用技巧。
spring-security源码,直接引用这个压缩文件即可
08-28
分析`spring-security 5.0`的源码时,我们可以深入理解其核心机制,帮助我们更好地使用和扩展该框架。 1. **模块结构**: Spring Security 5.0 的源码包含多个模块,如`core`、`config`、`web`等。`core`模块...
[9] SecurityContextHolderAwareRequestFilter
热门推荐
既无风雨也无晴
03-16 2万+
SecurityContextHolderAwareRequestFilter 介绍 Spring Security TokenEndpoint中获取token的请求,有这样一个参数:Principal。 对于一个普通HttpServletRequest,是没有Principal参数类型的。SecurityContextHolderAwareRequestFilter通过HttpServletR...
Acegi(十): securityContextHolderAwareRequestFilter
rmn190
03-04 229
     在Acegi(八) 和Acegi(九) 里, 我们对securityContextHolderAwareRequestFilter有了个较为全面的剖析.在这篇做个小结, 也把一些漏落补上.          在上两篇里,我们实际上是介绍了三个类: SecurityContextHolderAwareRequestFilterSecurityContextHolderAwareReq...
Spring Security(学习笔记)-SecurityContextHolder!
TONGZHOUGONGDU的博客
04-22 4019
匿名访问,多线程获取用户信息。
深入浅出SpringSecurity和OAuth2(四)—— SecurityContextPersistenceFilter以及ExceptionTranslationFilter
你要悄悄的拔尖,然后惊艳所有人
08-19 828
前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth2的知识没有一个整体概念的把握,知识体系没有形成系统,遂决定写一个关于SpringSecurity和OAuth2的系列专栏,在建造自己知识体系的同时还希望能帮助有同
使用 Spring Security 保护 Web 应用的安全
07-12 1023
在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
SpringSecurity 登录用户数据获取
你今天真好看呀
08-21 1952
登录成功后,在后续的业务逻辑汇总,可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。SecurityContextHolder 是一个静态方法,意味着我们随时随地都可以获取到登录用户信息,在service层也可以获取到登录用户信息。启动项目,登录成功后,访问/user接口,控制台就会打印出登录用户信息,当然,由于我们目前没有给用户配置角色,所以默认的用户角色为空数组。
SpingSecurity框架重要知识点(理解)
tigerhhzz的博客
05-10 590
一,SpingSecurity本质是一个过滤器链(11个过滤器) 1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到Se
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值