Spring Security之认证信息的处理

最新推荐文章于 2024-12-12 16:02:30 发布
原创 最新推荐文章于 2024-12-12 16:02:30 发布 · 1.3k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #springboot

前言

在《Spring Security之认证过滤器》中,我们知道认证信息在用户登录成功后,会通过SecurityContextRepository保存。而在《Spring Security之Session管理》中,我们知道SessionManagementConfigurer会创建他。但上面两篇文章都没有仔细说,今天作为主角,咱就好好说道说道,并聊聊与之相关的SecurityContextHolder。

SecurityContextRepository

从名字,我们就知道负责维护SecurityContext。先来看看他的定义:

public interface SecurityContextRepository {
   
   

	/**
	 * 保存安全上下文
	 */
	void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response);

	/**
	 * 从仓库中查询当前请求是否存在上下文
	 */
	boolean containsContext(HttpServletRequest request);
	/**
	 * 从提供的请求中获取SecurityContext。对于未认证的用户,应返回空SecurityContext,而不是null。
	 * HttpRequestResponseHolder参数的作用是允许实现者返回二次封装的request和response,以便访问特定的request或者response(也可以都返回)。
	 * 当最后一次调用的时候,会显式保存SecurityContext,从holder获取的值将被传到过滤器链条和saveContext方法中。
	 * 实现类可能希望返回-当发生错误或者重定向时,确保上下文已经保存的-SaveContextOnUpdateOrErrorResponseWrapper的子类作为response对象。
	 * 实现类可能允许传入原始的request的response来实现显式保存。
	 * @deprecated 请使用#loadDeferredContext(HttpServletRequest)方法代替.
	 */
	@Deprecated
	SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder);
	/**
	 * 延迟从HttpServletRequest加载SecurityContext,在需要的时候才加载。
	 * 很明显这个方法是前者的代替者。
	 */
	default DeferredSecurityContext loadDeferredContext(HttpServletRequest request) {
   
   
		Supplier<SecurityContext> supplier = () -> loadContext(new HttpRequestResponseHolder(request, null));
		return new SupplierDeferredSecurityContext(SingletonSupplier.of(supplier),
				SecurityContextHolder.getContextHolderStrategy());
	}
}

前面聊session的时候,我们也说过,这个组件有两个实现,一个负责stateless应用,另一个负责stateful应用。我们重点看看后者。

为什么使用Session存储认证信息

我们知道Session也就是会话,会话可以用于维护用户当前一系列操作请求的状态。而我们的认证信息,就是其中的状态之一。他表示用户已经登录,并且是哪个账号在访问系统。但是很显然的是,我们这些信息只能是一个时间段内的,因为我们的账号可能会退出登录态,也就是登出。因此,虽然我们可以在后台数据库中维持这一状态,但是随着用户的退出,我们保存在数据库中的状态,也就不存在任何意义了,浪费空间。
使用Session来存储这一信息,正好符合诉求。需要使用时,直接读取,不用时(退出登录态)自动清除,腾出空间。

但值得注意的是,使用Session需要留意一下,在登录后,通常我们都会重建Session,这可能会导致一些问题。

HttpSessionSecurityContextRepository

/**
 * SecurityContextRepository的一个实现,将安全上下文保存在HttpSession中。
 * 默认情况下,会通过loadContext方法(key: #SPRING_SECURITY_CONTEXT_KEY)从HttpSession中查询获取SecurityContext。
 * 如果不能从HttpSession中获取到一个有效的SecurityContext,则不管是什么原因,都会调用新的SecurityContextHolder#createEmptyContext()方法创建一个新的SecurityContext,并返回该实例。
 * 
 * 当saveContext方法被调用时,上下文将使用同样的key进行保存,为如下场景提供服务:
 * <ol>
 * <li>值变更</li>
 * <li>配置好的AuthenticationTrustResolver不认为该内容代表一个匿名用户</li>
 * </ol>
 * 
 * 在标准配置中,即便是真的不存在HttpSession,loadContext方法也不会创建新的HttpSession。当saveContext在web请求即将结束被调用,只有在传入的SecurityContext不是一个空的SecurityContext实例时,才会创建一个新的HttpSession。这能够避免不必要的HttpSession的创建,但会自动存储请求期间对上下文所做的变更。
 * 注意:如果SecurityContextPersistenceFilter配置了提前HttpSession,那么session最小化的逻辑将不再生效。
 * 如果你使用急切的session创建方式,那么你应该确保这个类的allowSessionCreation属性设置为true(默认)。
 * <p>
 * 如果由于某些原因(例如,使用Basic认证方式或者多个类似的客户端永远不会出现相同的jsessionid的情况)导致HttpSession没有被创建,那么应当通过#setAllowSessionCreation(boolean)将allowSessionCreation属性设置为false。
 * 只有你真正需要节省服务器内存时,并确保所有使用SecurityContextHolder的类,都被设计成:在不同的web请求之间都不需要持久化的SecurityContext时,你才能这样做。
 * @since 3.0
 */
public class HttpSessionSecurityContextRepository implements SecurityContextRepository
最低0.47元/天 解锁文章
Spring Security 6.x 系列(6)—— 显式设置和修改登录态信息
gmHappy
11-26 1万+
显式设置和修改登录态,使用SecurityContextRepository的具体方法
Spring Security之安全异常处理
Evan_L的博客
07-17 2356
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常)
Spring Security 自定义SecurityContextRepository
m13012606980的专栏
02-08 2643
spring security的逻辑是判断一个请求如果需要进行身份验证,它需要通过SecurityContextRepository#loadContext方法看是否能获取到已验证的身份信息,如果获取到则直接访问对应的请求,获取不到则说明用户没有进行身份认证,则需要跳转到“/login”进行登录,登录成功,会把已验证的身份信息存储起来,调用SecurityContextRepository#saveContext方法。
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 2312
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
spring security-源码流程分析(三)
luoxiaomei999的博客
03-31 2078
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、模拟一次请求,过滤器执行流程 本次重点关注以上几个过滤器的部分执行过程 SecurityContextPersistenceFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) .
SpringSecurity的默认Filter详解
WayneHu的博客
09-20 1590
SpringSecurity默认的Filter详解
精选资源
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
自定义Spring Security的身份验证失败处理方法
08-25
自定义Spring Security的身份验证失败处理方法 在 Spring Security 中,身份验证失败处理方法是一个非常重要的组件,它能够帮助我们处理身份验证失败的情况。然而,默认的身份验证失败处理方法并不总是能够满足我们...
SpringSecurity------Persisting Authentication(十一)
豢龙先生
06-20 1133
当用户第一次请求受保护的资源时,客户端HTTP请求的汇总:1、未经认证的用户请求受保护资源 2、用户提交他们的用户名和密码 4、后续请求包括会话cookie,该cookie用于在会话剩余时间对用户进行身份验证 二、SecurityContextRepository Spring Security使用SecurityContextRepository关联登录用户和登录之后发往服务器的请求HttpSecurityContextRepository是SecurityContextRepository的默认实现,它
Markdonw语法
吴大侠的博客
11-25 2673
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
多线程异步方法Spring Security框架的SecurityContext无法获取认证信息的原因及解决方案
小蜜蜂1010的博客
11-19 4457
解决异步任务执行时,无法获取Spring Security的安全上下文中的用户身份信息
Spring Security Web 5.1.2 源码解析 -- HttpSessionSecurityContextRepository
Details Inside Spring
12-02 6046
Spring Security Web提供的类HttpSessionSecurityContextRepository是一个SecurityContextRepository接口的实现,用于在HttpSession中保存安全上下文(security context),这样属于同一个HttpSession的多个请求,就能够利用此机制访问同一安全上下文了。 package org.springfram...
分布式工程搭建--spring cloud alibaba(spring security网关鉴权)
asdcctv882的博客
08-21 3625
Nacos-注册中心搭建 1.1 注册中心Nacos与Eureka对比 在此项目中naocs服务器是通过mysql来进行连接的,nacos不用手动搭建服务器,对于开发者来说,上手很快。 1.2 Nacos安装和启动 nacos 的下载和启动方法请参考Nacos 官网。 在启动nacos2.01的时候,有个坑,默认启动方式是以集群的方式启动,需要修改, 直接使用命令启动 startup.sh -m standalone 1.3 注册中心客户端搭建 Pom依赖导入: <dependency&.
SpringSecurity详细介绍(一)基本原理
最新发布
kebin2012的博客
12-12 1249
SpringSecurity(下文简称ss)是目前最流行的Web应用安全管理框架,其前身是Acegi项目(2006年左右纳入Spring子项目)。截至目前最新的版本是6.4.1。ss早期版本的配置非常复杂,项目维护小组做了大量的工作简化了框架的配置和使用,现有的版本只需要寥寥几行代码就可以实现一个基本的权限控制功能。丰富的组件和高度定制化是ss的另一大特点,官方提供了各种强大的过滤器及认证、鉴权组件,开发人员也可以按业务需求灵活定制认证和安全访问策略。
SpringSecurity中文文档(Servlet Persisting Authentication)
znjy111的博客
07-01 693
用户第一次请求受保护的资源时,系统会提示他们输入凭据。提示凭据的最常见方法之一是将用户重定向到登录页。对于请求受保护资源的未经身份验证的用户,总结的 HTTP 交换可能如下所示:用户提交他们的用户名和密码。在对用户进行身份验证后,该用户与一个新的会话 ID 相关联,以防止会话固定攻击。后续请求包括会话 Cookie,该 Cookie 用于在会话的其余部分对用户进行身份验证。
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7613
这章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
spring security——学习笔记(day04)身份认证源码解析SecurityContextPersistenceFilter+UsernamePasswordAuthenticationF
键上艺术家
12-26 1423
5.认证与授权
Java:76-SpringSecurity介绍
qq_59609098的博客
08-21 657
当然如果你没有学习spring boot,没有关系,可以到88章博客里面去学习,就知道为什么这样的操作了 接下来我们运行启动类,访问http://localhost:8080/hello,即可得到返回的数据 接下来整合SpringSecurity: 添加SpringSecurity依赖 重启Spring Boot启动类,再次访问http://localhost:8080/hello: 出现如下: 默认有访问/login,该/login会优先于写的controller的/login,即自己写的/login
SpringSecurity如何设置和修改登录态
xsgnzb的专栏
04-02 1949
通过更新和,我们就能完整更新中的用户信息。如果项目中引入了Spring Session,Spring Session维护的登录态也会同步更新。
SpringSecurity自定义异常处理配置源码解析
本文将围绕“配置SpringSecurity的自定义异常信息处理”这一主题,深入剖析其核心知识点、实现原理以及具体源码结构。 首先,从标题和描述来看,该文件聚焦于如何在Spring Security环境中配置并实现自定义的异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值