SpringSecurity源码学习(六)

最新推荐文章于 2024-08-12 17:06:41 发布
最新推荐文章于 2024-08-12 17:06:41 发布
阅读量1.3k 收藏
点赞数
分类专栏: SpringSecurity源码 文章标签: spring-security java 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ifeengwd2012/article/details/61433213
版权
本文深入探讨SpringSecurity的HttpSecurity构建器中的配置器,详细解析每个配置器如CsrfConfigurer、ExceptionHandlingConfigurer等如何初始化和配置过滤器。文章还介绍了SecurityContextPersistenceFilter、CsrfFilter、LogoutFilter等过滤器的工作原理,阐述了它们在安全链中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

本文讨论HttpSecurity这个构建器中的配置器在HttpSecurity构建SecurityChainFilter的过程中做的事情。

HttpSecurity中配置器

比如在我写的例子中,HttpSecurity中有11个配置器。那么会顺序调度这11个配置器的init()、configurer()。
这里写图片描述

这里要强调的是,不是一个配置器对应一个过滤器。另外,配置的器的调度顺序和其生成的过滤器顺序无关,SecurityChainFilter过滤链中的过滤器顺序是由FilterComparator这个比较器决定的。

CsrfConfigurer

添加的过滤器
CsrfFilter

ExceptionHandlingConfigurer

添加的过滤器
ExceptionTranslationFilter

HeadersConfigurer

添加响应头。默认添加的结果是:

   Cache-Control: no-cache, no-store, max-age=0, must-revalidate
   Pragma: no-cache
   Expires: 0
   X-Content-Type-Options: nosniff
   Strict-Transport-Security: max-age=31536000 ; includeSubDomains
   X-Frame-Options: DENY
   X-XSS-Protection: 1; mode=block

SessionManagementConfigurer

添加的过滤器
SessionManagementFilter
ConcurrentSessionFilter

SecurityContextPersistenceFilter

添加的过滤器
SecurityContextPersistenceFilter

AnonymousConfigurer

添加的过滤器
AnonymousAuthenticationFilter

ServletApiConfigurer

添加的过滤器
SecurityContextHolderAwareRequestFilter

DefaultLoginPageConfigurer

添加的过滤器
DefaultLoginPageGeneratingFilter

LogoutConfigurer

添加的过滤器
LogoutFilter

FormLoginConfigurer

添加的过滤器
UsernamePasswordAuthenticationFilter

过滤器


这里写图片描述

除了我自定义的验证码过滤器(CustomCapchaFilter),其他的过滤器都是系统生成的。

SecurityContextPersistenceFilter

SecurityContextHolder是和当前线程关联的SecurityContext存放容器,SecurityContextRepository是和当前session关联的SecurityContext存放容器。
这个过滤器做的事情就是,使用SecurityContextRepository中获取的SecurityContext(不会返回null,如果不存在,会返回一个SecurityContext,这里面是一个空的Authtication)填充SecurityContextHolder。这样,在线程处理请求的任何一个地方,都可以通过它来获取、设置SecurityContext(特别是在我们的controller中,可以直接使用它获取当前用户)。当请求处理完成之后(经过了后续过滤链、controller、service等的处理),将SecurityContextHolder的数据保存到SecurityContextRepository中,清空SecurityContextHolder。

CsrfFilter

这个过滤器就是添加csrf的功能。
使用LazyCsrfTokenRepository包裹的HttpSessionCsrfTokenRepository将生成的CsrfToken存放在HttpSession中。当请求来的时候,判断session中有无CsrfToken,没有就生成一个,然后保存到session中。并且将生成的CsrfToken放在request对象中,默认key是“_csrf”。然后判断请求需不需要csrf校验,如果不需要则调下一个过滤器。如果需要,则判断用户的请求中请求头或请求体中的csrf与session中的时候相同,相同则校验通过。否则,调用accessDeniedHandler处理。

LogoutFilter

提供登出的功能。
判断请求是不是登出请求,如果是,迭代配置的所有LogoutHandler(比如在CsrfConfigurer中配置csrf过滤器时,给此过滤器的配置器添加了一个CsrfLogoutHandler,用于在登出的时候,清空csrfToken).
最后再调用logoutSuccessHandler。

UsernamePasswordAuthenticationFilter

登录认证(密码校验)。
严格来说,它并不是一个认证过滤器,它的父类AbstractAuthenticationProcessingFilter才是。判断请求是否是登录认证请求,如果是,则进行密码校验。具体进行验证的是AuthticationManager。认证成功之后将返回一个fully的Authtication对象。注意,认证成功之后,将执行sessionStrategy,默认是修改sessionId,预防session fixation攻击。并且在认证成功之后,是不继续走过滤链的,直接将请求交给successHandler处理了。

RequestCacheAwareFilter

判断当前请求对应的session中,有无key=SPRING_SECURITY_SAVED_REQUEST的对象,有则表示有保存的request对象,那么就使用保存的这个对象重新请求。

SecurityContextHolderAwareRequestFilter

拓展了httpServletRequest的功能。

HttpServletRequest.authenticate(HttpServletResponse)
HttpServletRequest.login(String, String) 
HttpServletRequest.logout()
AsyncContext.start(Runnable)

AnonymousAuthenticationFilter

判断SecurityContextHolder中Authentication是否是null,如果是,则创建AnonymousAuthenticationToken。

SessionManagementConfigurer

不理解

ExceptionTranslationFilter

这个过滤器架起了java异常到Http response的桥梁。
如果遇到 AuthenticationException,交给authenticationEntryPoint处理
如果遇到 AccessDeniedException ,交给AccessDeniedHandler处理

FilterSecurityInterceptor

虽然这个类名字不是XXFilter,但他确实是一个过滤器。它不是由前面XXX配置器创建的。而是由AbstractInterceptUrlConfigurer创建的。它是整个权限校验的入口,另开一章吧。。。

@Override
    public void configure(H http) throws Exception {
        FilterInvocationSecurityMetadataSource metadataSource = createMetadataSource(http);
        if (metadataSource == null) {
            return;
        }
        FilterSecurityInterceptor securityInterceptor = createFilterSecurityInterceptor(
                http, metadataSource, http.getSharedObject(AuthenticationManager.class));
        if (filterSecurityInterceptorOncePerRequest != null) {
            securityInterceptor
                    .setObserveOncePerRequest(filterSecurityInterceptorOncePerRequest);
        }
        securityInterceptor = postProcess(securityInterceptor);
        http.addFilter(securityInterceptor);
        http.setSharedObject(FilterSecurityInterceptor.class, securityInterceptor);
    }
spring security 源码
05-28
关于spring security 源码的研究及详细资料的讨论,等一些设计理念。最好的文档是源码
SpringSecurity源码学习
莫失莫忘的博客
08-07 232
SpringSecurity源码学习 一、Spring-Boot的自动配置 看到它的自动配置类:SecurityFilterAutoConfiguration @Bean @ConditionalOnBean(name = DEFAULT_FILTER_NAME) public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration( SecurityProperties securityPropertie
spring security源码解析
tbb678822的博客
08-12 1884
spring security源码解析
SpringSecurity源码
05-29
SpringSecurity教程配套源码 专栏地址:http://blog.youkuaiyun.com/column/details/springsecurity.html
spring-security源码
09-04
基于SpringSecurity4.2.2权限框架搭建教程的详细源码,实现用户登录时,验证其合法性,并通过security访问数据库可以获取到相对应角色和资源信息存储到SecurityContext里面等功能。
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
基于JavaSpring Security框架源码学习与实践
10-03
在深入探讨基于JavaSpring Security框架源码学习与实践的过程中,我们将会涉及到多个方面,包括Spring Security框架的核心概念、关键组件、以及如何通过源码来掌握其安全机制的实现原理。 首先,Spring Security...
基于Java语言的SpringSecurity框架设计源码学习仓库
最新发布
10-06
这个“基于Java语言的SpringSecurity框架设计源码学习仓库”是一个宝贵的资源,它不仅包含了大量的实践代码和演示应用,还深入剖析了SpringSecurity框架的内部工作原理。无论是对于想要掌握框架细节的新手,还是寻求...
Spring Security源码阅读
Mr1ght的博客
02-28 992
1. SecurityContextHolder 上下文持有器 内部封装一个SecurityContextHolderStrategy(一种针对线程存储安全上下文信息的策略),通过配置文件初始化对应的策略,以达到获取和设置上下文的目的(SecurityContext) 1.1 SecurityContextHolderStrategy 针对线程存储安全上下文信息的策略 ThreadLocalSecurityContextHolderStrategy:利用ThreadLocal来存储一个SecurityC
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战()的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
springsecurity安全框架源码
11-27
springsecurity安全框架下载 .
springsecurity源码(鉴权有缺陷)
05-20
springsecurity源码(鉴权有缺陷)
SpringSecurity源码理解
qq_42859722的博客
12-23 374
SpringSecurity源码理解 1.用户输入用户名和密码,通过SecurityContextPersistenceFilter传递参数,经过UsernamePasswordAuthentication封装到token中 2.检查缓存中是否存在该token的信息,不存在则通过AuthenticationManager调用authenticate方法去数据库查询是否存在3.AbstractUserDetailauthenticationprovider的子类DaoAuthenticationProvid
SpringSecurity源码分析
吴大侠的博客
11-27 240
一、过滤器链加载源码 1.1 过滤器链加载流程分析 1.2 过滤器链加载流程源码分析 1.2.1 spring boot启动中会加载spring.factories文件, 在文件中有对应针对Spring Security的过滤器链的配置信息 # 安全过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.Security...
Spring Security源码分析
sober_pluto的博客
06-19 1032
SpringSecurity源码分析
Spring Security源码解析(一)
qq_40577332的博客
05-30 3472
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
Spring Security源码
moernagedian的博客
03-17 597
WebSecurityConfigurerAdapter已废弃,官方推荐使用HttpSecurity 或WebSecurity。new DebugFilter(filterChainProxy)对filterChainProxy进行装饰。可以通过@EnableWebSecurity(debug = true)开启debug模式。都继承了SecurityBuilder。
SpringSecurity学习项目源码下载
资源摘要信息: "Spring-Security-demo.zip 是一个包含了 SpringSecurity 学习demo源码的压缩文件包。SpringSecurity 是一个功能强大且高度可定制的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值