FilterSecurityInterceptor的简单介绍

最新推荐文章于 2022-04-25 16:58:46 发布
原创 最新推荐文章于 2022-04-25 16:58:46 发布 · 2.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#security #spring

本文深入探讨SpringSecurity在Web应用中的作用,解释了其作为过滤器的功能及其内部如何构建过滤器链。重点阐述了权限验证过程,特别是FilterSecurityInterceptor在认证及验权流程中的关键角色,以及ProviderManager和AccessDecisionManager在认证和验证过程中的具体实现。

          在web应用中,spring security是一个filter。而在filter内部,它又自建了一个filter chain(如果不用命名空间,也可以自定义)。spring security按顺序对每个filter进行处理。各filter之间有较大的差异性。与权限验证关系最密切的是FilterSecurityInterceptor。

 

FilterSecurityInterceptor认证及验权流程:

 

 

FilterSecurityInterceptor的类关系图如下。它使用AuthenticationManager做认证(用户是否已登录),使用AccessDecisionManager做验证(用户是否有权限)。


 
ProviderManager是默认的AuthenticationManager实现类,它不直接进行认证。而是采用组合模式,将认证工作委托给AuthenticationProvider。一般情况下,一组AuthenticationProvider有一个认证成功,就被视为认证成功。ProviderManager关系图如下:



 


 AccessDecisionManager负责验证用户是否有操作权限,它也是采用组合模式。security自带的AccessDecisionManager实现类有三种:AffirmativeBased只要有一个认证处理器认证通过就表示成功;ConsensusBased采用的是多数原则;UnanimousBased采用一票否决制。



 
 

【2.5 认证中心(SpringSecurity)】微服务权限认证SpringSecurity入门介绍
本本本添哥
10-30 314
Spring Security ,是一个强大的安全框架Spring Security ,提供了认证(Authentication)和授权(Authorization)的功能。Spring Security ,核心是基于过滤器链(Filter Chain)的设计模式,通过一系列的过滤器来处理请求的安全性。
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
主要介绍Spring security用户URL权限FilterSecurityInterceptor使用解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 1063
FilterSecurityInterceptor.doFilter中调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
FilterSecurityInterceptor源码解读
weixin_47071411的博客
04-08 572
FilterSecurityInterceptor源码解读 FilterSecurityInterceptor概念: 获取所配置资源访问的授权信息,根据SecurityContextHolder中存储的用户信息来决定其是否有权限。 要实现FilterSecurityInterceptor得有三个条件 (1)决策管理器:决定这个用户能不能访问这个资源 三种类型的决策器 AffirmativeBased:只要有一个voter投同意票,就授权成功,一般用这个 ConsensusBased:只要投同意票的大于投
聊聊FilterSecurityInterceptor
weixin_34204057的博客
12-18 257
为什么80%的码农都做不了架构师?>>> ...
[13] FilterSecurityInterceptor
既无风雨也无晴
03-19 2万+
FilterSecurityInterceptor 简介 Spring Security对于权限的控制有2种方式,1.通过ExpressionInterceptUrlRegistry进行配置,2.通过注解和切面的方式。FilterSecurityInterceptor是针对于第一种方式权限配置的控制机制,在项目或服务启动时,Spring Security会把ExpressionIntercept...
Spring Security(09)——Filter介绍
Elim的博客
06-07 1万+
Spring Security的底层是通过一系列的Filter来管理的,每个Filter都有其自身的功能,而且各个Filter在功能上还有关联关系,本文主要描述Spring Security是如何通过一系列的Filter来实现它的核心功能的,Spring Security中已经定义了哪些内置的Filter,作用是什么,以及如何添加自定义的Filter到已有的Filter链中。
springsecurity的相关介绍以及简单的原理分析和简单使用
m0_51491702的博客
04-25 925
security的认证流程和登录流程的介绍。以及整个security的执行原理讲解
AbstractSecurityInterceptor 类介绍
最新发布
03-20
### 功能介绍 1. **安全元数据源 (Security Metadata Source)** - 它提供了一种机制,用于确定某个特定目标对象的安全配置信息。例如,在 URL 请求或方法调用中需要哪些权限。 2. **决策管理器 (Access ...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
spring-security FilterSecurityInterceptor 源码分析
qq_30321211的博客
12-25 683
FilterSecurityInterceptor 这个过滤器决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限?这些判断和处理都是由该类进行的 FilterSecurityInterceptor public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter { //默认实现类:ExpressionBasedFilterInvocati
Spring Security Web 5.1.2 源码解析 -- FilterSecurityInterceptor
Details Inside Spring
12-21 1442
概述 此过滤器FilterSecurityInterceptor是一个请求处理过程中安全机制过滤器链中最后一个filter,它执行真正的HTTP资源安全控制。 具体代码实现上,FilterSecurityInterceptor主要是将请求上下文包装成一个FilterInvocation然后对它进行操作。FilterSecurityInterceptor仅仅包含调用FilterInvocation的...
Spring Security API: FilterSecurityInterceptor
dengdeying的博客
12-27 301
FilterSecurityInterceptor Declare package org.springframework.security.web.access.intercept; public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter Class Jdoc ...
FilterSecurityInterceptor详解
小汤圆
08-14 2480
我们已经有了认证,有了请求的封装,有了Session的关联…还缺一个:由什么控制哪些资源是受限的,这些受限的资源需要什么权限,需要什么角色…这一切和访问控制相关的操作,都是由FilterSecurityInterceptor完成的。 FilterSecurityInterceptor的工作流程用笔者的理解可以理解如下:FilterSecurityInterceptorSecurityContextHolder中获取Authentication对象,然后比对用户拥有的权限和资源所需的权限。前者可以通过Aut
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2909
前言: 当用spring security时,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
史上最简单Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3728
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
史上最简单Spring Security教程(十六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 9620
FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
Spring Security默认过滤器链之FilterSecurityInterceptor(十四)
欢谷悠扬
07-15 1058
1.作用 这个主要是针对http请求进行权限校验 权限校验需要注意的几点: 1.用户需要先认证 2.获取资源所需授权 3.获取用户被授权信息 4.授权校验 5.授权成功处理 6.授权失败处理 2.直接开撸 2.1 参数封装 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 先构建了一
Spring Security3源码分析(10)-FilterSecurityInterceptor分析
Benjamin
09-11 2144
FilterSecurityInterceptor过滤器对应的类路径为  org.springframework.security.web.access.intercept.FilterSecurityInterceptor  这个filter是filterchain中比较复杂,也是比较核心的过滤器,主要负责授权的工作  在看这个filter源码之前,先来看看spring是如何构造filte
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值