本文详细介绍了Spring Security框架中的关键过滤器组件,包括WebAsyncManagerIntegrationFilter、SecurityContextPersistenceFilter、HeaderWriterFilter等,解析了每个过滤器在安全上下文管理、请求认证、异常处理等方面的作用。
| 名称 | 简介 |
|---|---|
WebAsyncManagerIntegrationFilter | 为请求处理过程中可能发生的异步调用准备安全上下文获取途径 |
SecurityContextPersistenceFilter | 整个请求处理过程所需的安全上下文对象SecurityContext的准备和清理不管请求是否针对需要登录才能访问的页面,这里都会确保 SecurityContextHolder中出现一个SecurityContext对象:1.未登录状态访问登录保护页面:空 SecurityContext对象,所含Authentication为null2.登录状态访问某个页面:从 SecurityContextRepository获取的SecurityContext对象 |
HeaderWriterFilter | 将指定的头部信息写入响应对象 |
CsrfFilter | 对请求进行csrf保护 |
LogoutFilter | 检测用户退出登录请求并做相应退出登录处理 |
UsernamePasswordAuthenticationFilter | 检测用户名/密码表单登录认证请求并作相应认证处理: 1. session管理,比如为新登录用户创建新session(session fixation防护)和设置新的csrf token等2.经过完全认证的 Authentication对象设置到SecurityContextHolder中的SecurityContext上;3.发布登录认证成功事件 InteractiveAuthenticationSuccessEvent4.登录认证成功时的 Remember Me处理5.登录认证成功时的页面跳转 |
DefaultLoginPageGeneratingFilter | 生成缺省的登录页面 |
DefaultLogoutPageGeneratingFilter | 生成缺省的退出登录页面 |
BasicAuthenticationFilter | 检测和处理http basic认证 |
RequestCacheAwareFilter | 提取请求缓存中缓存的请求 1.请求缓存在安全机制启动时指定 2.请求写入缓存在其他地方完成 3.典型应用场景: 1.用户请求保护的页面, 2.系统引导用户完成登录认证, 3.然后自动跳转到到用户最初请求页面 |
SecurityContextHolderAwareRequestFilter | 包装请求对象使之可以访问SecurityContextHolder,从而使请求真正意义上拥有接口HttpServletRequest中定义的getUserPrincipal这种访问安全信息的能力 |
RememberMeAuthenticationFilter | 针对Remember Me登录认证机制的处理逻辑 |
AnonymousAuthenticationFilter | 如果当前SecurityContext属性Authentication为null,将其替换为一个AnonymousAuthenticationToken |
SessionManagementFilter | 检测从请求处理开始到目前是否有用户登录认证,如果有做相应的session管理,比如针对为新登录用户创建新的session(session fixation防护)和设置新的csrf token等。 |
ExceptionTranslationFilter | 处理AccessDeniedException和 AuthenticationException异常,将它们转换成相应的HTTP响应 |
FilterSecurityInterceptor | 一个请求处理的安全处理过滤器链的最后一个,检查用户是否已经认证,如果未认证执行必要的认证,对目标资源的权限检查,如果认证或者权限不足,抛出相应的异常:AccessDeniedException或者AuthenticationException |
注意 :
- 上面的
Filter并不总是同时被起用,根据配置的不同,会启用不同的Filter。 - 对于被起用的
Filter,在对一个请求进行处理时,位于以上表格上部的过滤器先被调用。 - 上面的
Filter被启用时并不是直接添加到Servlet容器的Filter chain中,而是先被组织成一个FilterChainProxy, 然后这个Filter会被添加到Servlet容器的Filter chain中。FilterChainProxy也是一个Filter,它应用了代理模式和组合模式,它将上面的各个Filter组织到一起在自己内部形成一个filter chain,当自己被调用到时,它其实把任务代理给自己内部的filter chain完成。 - 上面的
Spring Security Filter被组合到一个FilterChainProxy的过程可以参考配置类WebSecurityConfiguration的方法Filter springSecurityFilterChain(),这是一个bean定义方法,使用的bean名称为AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME:springSecurityFilterChain。
扫一扫
1001
到【灌水乐园】发言
