Spring Security 中跨 request 请求保持 SecurityContext

最新推荐文章于 2024-12-30 17:31:04 发布
原创 最新推荐文章于 2024-12-30 17:31:04 发布 · 4.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Spring Security如何通过SecurityContextPersistenceFilter实现跨请求的安全上下文保持。在一个Servlet Web应用中,针对不同请求间的同一用户会话,Spring Security利用HttpSession保存安全上下文,确保各请求间的一致性。

在一个ServletWeb应用中,对于一个请求进行处理的全过程,服务端使用的是同一个线程,通过利用SecurityContextHolderMODE_THREADLOCAL安全上下文SecurityContext保持机制,无论该处理过程中使用到了哪些对象的哪些方法,这些方法内都可以获得当前访问者的安全上下文SecurityContext。但是,如果跨多个请求需要保持同样的安全上下文SecurityContext,又该怎么办呢?

这种需求很常见,同一个用户登录之后会对服务器发起多次请求,每次请求用到的安全上下文SecurityContext都应该是一样的。

Spring Security中,跨请求安全上下文SecurityContext的保持,是通过SecurityContextPersistenceFilter来实现的,缺省情况下,SecurityContextPersistenceFilter将安全上下文SecurityContext对象保存为当前用户HttpSession对象的一个属性,这样,当前用户在同一个会话的多个请求之间,就可以使用同一个安全上下文对象了。

具体来讲,可以理解为如下流程:

  • 一个安全上下文在某个请求1处理过程中被创建并记录到SecurityContextHolder
  • 请求1的处理结束时,SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文保存到HttpSession;
  • 后续该用户会话中的另外一个请求2处理过程开始时,SecurityContextPersistenceFilter会将安全上下文从HttpSession恢复到SecurityContextHolder;
  • 请求2处理过程结束时,SecurityContextPersistenceFilter会将SecurityContextHolder中的安全上下文保存到HttpSession;
  • 后续其他请求的处理过程会重复和上面请求2处理过程中一样的使用SecurityContextPersistenceFilter重置/恢复SecurityContext的动作。

另外还有一些应用是不使用Session机制的,比如无状态的Restful API,这类接口需要每次认证。但是对于这种请求的处理过程,SecurityContextPersistenceFilter还是会被使用到,它被用来在每个请求处理结束时清除SecurityContextHolder中的安全上下文。

SpringSecurity认证的结果在请求间共享
程序员劝退师的博客
10-12 997
springSecurity认证的结果如何在请求间共享 那么在多个请求间共享数据小系统就是放在session中的,那么SpringSecurity是什么时候放到session中的,又是什么时候从session中读取出来的 看看流程图 这里涉及到SecurityContexHolder、SecurityContextSecurityContextPersistenceFilter这几个类。 这里先看看SecurityContexHolder和SecurityContext这两个 在认证流程中认证成功调用
Spring Security 6.x 系列【19】源码篇之安全上下文SecurityContext
记录知识、锤炼自我
04-17 1111
Spring中的Context上下文,大家都知道是容器,用来存放Bean对象,那么中的也是容器,用来存放用户认证信息。
springSecurity基于表单认证源码解析、认证结果如何在多个请求之间共享、获取认证用户信息
一点光辉的博客
12-02 1339
备注:此为看视频之后,自己理解总结的 1、认证处理流程说明 首先是springSecurity的过滤器链 核心认证流程 我们自定义的验证用户名的逻辑MyUserDetailsService @Component public class MyUserDetailsService implements UserDetailsService { private Logger ...
Spring Security是如何在各个请求共用认证信息的?
wuqihawubito的博客
06-20 515
Spring Security直接通过 Session来共享认证信息 我们现在来从源码分析下: 我们知道,认证的过滤器Filter 是 UsernamePasswordAuthenticationFilter ,然后找到它的父类 :AbstractAuthenticationProcessingFilter,有一个 protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse resp
Spring Security3源码分析(9)-SecurityContextHolderAwareRequestFilter分析
Benjamin
09-11 5470
SecurityContextHolderAwareRequestFilter过滤器对应的类路径为  org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter  从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码  Java代码   pub
SpringSecurityContextHolder的异步使用解说
IT- 研究者
09-17 1789
SpringSecurityContextHolder的异步使用解说
【第三篇】SpringSecurity请求流程分析
筱白爱学习!的博客
06-12 1266
本篇文章主要分析一下SpringSecurity在系统启动的时候做了那些事情、第一次请求执行的流程是什么、以及SpringSecurity的认证流程是怎么样的,主要的过滤器有哪些?
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1145
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
SpringSecurity中的过滤器链与自定义过滤器
最新发布
pan_junbiao的博客
12-30 1290
Spring Security 中的过滤器链(Filter Chain)是一个核心的概念,它定义了一系列过滤器,这些过滤器按照特定的顺序处理HTTP请求,并负责执行各种安全任务,如身份验证、授权、CSRF 保护等。过滤器链是由多个过滤器组成的链式结构,请求依次经过每个过滤器,每个过滤器可以决定是否继续传递请求。此外,Spring Security 还允许开发人员自定义过滤器,并将其添加到安全过滤器链中。这使得可以根据特定的业务需求,扩展安全过滤器链的功能。
Spring Security如何在Servlet中执行
08-19
- `SecurityContextPersistenceFilter`:在请求之间保持`SecurityContext`,存储用户的安全信息。 - `ConcurrentSessionFilter`:管理用户的并发会话,防止同一用户同时登录。 - `LogoutFilter`:处理注销请求,...
crosswalk request was denied for security问题解决
01-10
解决crosswalk23版本 request was denied for security 异常,原因是 https服务器SSL证书是自签名的 导致部分android机报错,现修改crosswalk代码以做到支持。附件分为eclipse与studio版本
新版的 Springsecurity request.getRequestDispatcher).forward(request, response); 404 问题,已解决
wangchaoqi1985的博客
07-24 450
新版的 Springsecurity request.getRequestDispatcher).forward(request, response); 404 问题,已解决
oauth2 通过SecurityContextHolder获取用户信息(二)
个人工作学习内容总结
04-06 2250
既上一篇获取用户信息,又找到了另一种获取用户信息的方法,在这做下介绍 本方法获取用户信息使用的是 token-info-uri user-info-uri方式移步 资源服务配置文件 当使用token-info-uri时,默认user-info-uri不生效,loadBalanced:集群配置 security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth1/users/cu
springSecurity系列之 SecurityContextHolder与SecurityContext
weixin_39802680的博客
03-27 1714
SecurityContextHolder SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext。 安全上下文 SecurityContext SecurityContext 可以理
BLE 协议:从端安全请求 Slave Security Request
Nokia_7600的博客
02-01 1657
原文 The slave device may request security by transmitting a Security Request command to the master. When a master device receives a Security Request command it may encrypt the link, initiate the
新版的 Springsecurity request.getRequestDispatcher).forward(request, response); 404 问题,已解决...
weixin_30338481的博客
11-11 948
旧版本的可以直接转发登陆 request.getRequestDispatcher).forward(request, response); 新版本的转发会404,原因SpringSecurity 过滤器不支持转发 可以加上以下配置解决 security: filter: dispatcher-types: FORWARD,INCLUDE,REQUEST,...
Spring Security 使用request.login
Yuan_xii的博客
04-25 564
package edu.gdufs.party.configuration; import edu.gdufs.party.configuration.security.SimpleAccessDeniedHandler; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframe
resin中SpringSecurity启动了2次。
狮子座人生
09-10 549
日志内容: Resin-3.1.s081219 (built Fri, 19 Dec 2008 09:54:59 PST) Copyright(c) 1998-2008 Caucho Technology. All rights reserved. Starting Resin on Sat, 10 Sep 2011 12:47:07 +0800 (CST) ...
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 898
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值