Acegi(八): securityContextHolderAwareRequestFilter

最新推荐文章于 2024-11-02 08:55:59 发布
最新推荐文章于 2024-11-02 08:55:59 发布 · 218 阅读 · 0
文章标签:

#Acegi #配置管理 #Security #Tomcat #Bean

本文详细解析了Acegi Security框架中SecurityContextHolderAwareRequestFilter的配置与作用,包括如何配置及其实现原理,解释了该过滤器如何确保Acegi的安全认证信息能够正确地覆盖Web容器自身的认证信息。

  上篇 中我们说了下 LogoutFilter的配置, 这篇里接着看另一个常见的配置SecurityContextHolderAwareRequestFilter. 下面先看怎么把它配置到Acegi里.

    应该说对 securityContextHolderAwareRequestFilter 的配置要比LogoutFilter的更简单些. 有以下两步:
         Step1: 定义一个名为securityContextHolderAwareRequestFilter的bean, 如下所示:

              

<bean id="securityContextHolderAwareRequestFilter"     
             class="org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter" />
 

             呵呵, 简单地我就有些不好意思往这写了. 就这么一个干巴巴的类, 别什么属性要配置的.


         Step2: 把定义好的 securityContextHolderAwareRequestFilter放到 filterInvocationDefinitionSource里, 如下所示:
               /**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,securityContextHolderAwareRequestFilter ,exceptionTranslationFilter,filterInvocationInterceptor
            

    上面是对它的配置, 这个配置有些干巴巴的, 那它究竟有什么用呢? 我们接着往下看, 那将是一个丰富多彩的世界.

    SecurityContextHolderAwareRequestFilter类名怎么这么长? 也看不出什么有用的信息啊. 不过, 看文档得知 SecurityContextHolderAwareRequestFilter的作用是:将传来的 request用一个 HttpServletRequestWrapper封装下再传给 filterChain. 我们不禁要问? 为什么要这么做呢? 也就是说这么做有什么好处呢?

    要弄通这个问题, 我们得看这个Filter对传的 request做了些什么手脚, 也就是说是以什么样的一个 HttpServletRequestWrapper来封装了传来的 request. 在Acegi中我们发现就有两个 HttpServletRequestWrapper的子类: SecurityContextHolderAwareRequestWrapper和 SavedRequestAwareWrapper. 它们又有什么样的特质呢? 发现 SavedRequestAwareWrapper是 SecurityContextHolderAwareRequestWrapper的子类, 为了钻研的方便, 我们先看父类 SecurityContextHolderAwareRequestWrapper , 所谓有其父必有其子嘛.

    先解剖下这个类, 这个类只有一个属性authenticationTrustResolver(其实它没什么多大的用处, 待会再细说), 覆盖了 HttpServletRequestWrapper的三个方法: getRemoteUser, getUserPrincipal, isUserInRole.
    (这里先顺便说下, 我以前一直没注意到上面的这三个方法是接口里定义的, 看来Servlet规范里早就考虑到Security方面的问题了; 另一个没注意到的是, 原来 Principal是Java标准类security包下的定义的接口, 而Acegi里重要的接口 Authentication是继承自 Principal )
    于是问题就转为为什么要单独再覆盖这三个方法了.那得看这三个方法又都干了什么. 看方法的实现, 发现它们实际上是做了同样的事, 即通过 SecurityContextHolder.getContext().getAuthentication()拿到 Authentication后再get出String类型的 RemoteUser,或 Principal类型信息, 或看这个 Authentication是否有指定的权限. 也就是说它们把Acegi里自身的验证信息放到Servlet规范里体现的对Security的支持!

    那为什么非要用Acegi的认证信息来替换或填充Servlet规范中 Security信息呢? 我想有这么几点好处:
         1, 替换掉Web容器自身的认证信息. 拿Tomca为例, 我们知道在Tomcat中可以配置管理权限的, 若Tomcat自身配置了权限管理, 而Acegi不做什么处理的话, 程序员从 HttpServletRequest里通过调用上面三种方法得到的Security方面的信息就不是通过Acegi配置的了, 那样岂不就乱套了? Acegi自身的Security作用也就给架空了, 这还得了? 于是Acegi就有果断地通过 SecurityContextHolderAwareRequestWrapper把漏洞给补上了.
         2, 还有一个可能的好处, 那就是通过这种覆盖处理, 程序员可以在Action或JSP中方便地得到当前登录用户的信息, 而不必在系统中揉合进Acegi自己的API. 项目中这样的反例太多了.

    通过上面的分析,再看类的名字 SecurityContextHolderAwareRequestFilter, 这样也就好理解了, 真是顾名思义! 这个名字表达的意思是说, 这个Filter是让Request 来aware下SecurityContextHolder里的信息, 这个让它Aware正是通过覆盖三个方法实现的.

    好了, 这篇就写到这里, 下一篇中我们将看 SecurityContextHolderAwareRequestFilter子类 SavedRequestAwareWrapper又加了些什么功能. Until the next.

javaweb开发源码-acegi-security-in-one-hour:http://www.javaworld.com/article
05-19
例如,`AuthenticationProcessingFilter`用于处理身份验证,`SecurityContextHolderAwareRequestFilter`确保每个请求都包含安全上下文,`FilterSecurityInterceptor`则处理授权逻辑。 5. **异常处理**:当出现安全...
acegi安全框架例子
07-20
5. **启动安全过滤器**:将Acegi的安全过滤器添加到Web应用的过滤器链中,通常是`ChannelProcessingFilter`和`SecurityContextHolderAwareRequestFilter`。 6. **测试和调试**:确保所有安全配置正确无误后,进行...
Acegi(): securityContextHolderAwareRequestFilter
rmn190
03-04 240
     在Acegi()Acegi() 里, 我们对securityContextHolderAwareRequestFilter有了个较为全面的剖析.在这篇做个小结, 也把一些漏落补上.          在上两篇里,我们实际上是介绍了三个类: SecurityContextHolderAwareRequestFilterSecurityContextHolderAwareReq...
Spring常用过滤器(Filter)-SecurityContextHolderAwareRequestFilter
最新发布
Liang的博客
11-02 573
1.5.1 SecurityContextHolderAwareRequestFilter是Spring Security框架中的一个重要组件,它通过包装HttpServletRequest请求,使其能够访问SecurityContextHolder中的安全上下文。--- 包装后的请求可以通过getUserPrincipal、getRemoteUser等方法访问安全上下文中的用户信息。--- 这样可以确保后续的过滤器或控制器能够访问到安全上下文中的用户信息。
Spring Security Web 5.1.2 源码解析 -- SecurityContextHolderAwareRequestFilter
Details Inside Spring
12-07 1709
概述 SecurityContextHolderAwareRequestFilter对请求HttpServletRequest采用Wrapper/Decorator模式包装成一个可以访问SecurityContextHolder中安全上下文的SecurityContextHolderAwareRequestWrapper。这样接口HttpServletRequest上定义的getUserPrinc...
[9] SecurityContextHolderAwareRequestFilter
热门推荐
既无风雨也无晴
03-16 2万+
SecurityContextHolderAwareRequestFilter 介绍 Spring Security TokenEndpoint中获取token的请求,有这样一个参数:Principal。 对于一个普通HttpServletRequest,是没有Principal参数类型的。SecurityContextHolderAwareRequestFilter通过HttpServletR...
Spring Security3源码分析(9)-SecurityContextHolderAwareRequestFilter分析
Benjamin
09-11 5469
SecurityContextHolderAwareRequestFilter过滤器对应的类路径为  org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter  从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码  Java代码   pub
Spring Acegi安全框架入门实例详解
例如:`SecurityContextHolderAwareRequestFilter`、`BasicProcessingFilter`、`UsernamePasswordAuthenticationFilter` 等。这些过滤器协同工作,完成从请求拦截、身份识别、凭证校验到权限判定的全过程。其中最...
Acegi安全框架应用示例解析
例如,`SecurityContextHolderAwareRequestFilter` 用于包装请求以支持安全上下文访问,`UsernamePasswordAuthenticationFilter` 处理表单登录提交,`FilterSecurityInterceptor` 则负责最终的访问决策。这种模块化...
Spring Acegi安全框架详细文档与实例
文档中很可能会详细介绍Acegi所使用的多个关键过滤器,例如SecurityContextHolderAwareRequestFilter、BasicProcessingFilter、CasAuthenticationFilter等,每个过滤器负责不同的安全职责,共同构建起完整的安全控制...
Spring Security3源码分析-SecurityContextHolderAwareRequestFilter分析
Dead_Knight的专栏
05-07 461
SecurityContextHolderAwareRequestFilter过滤器对应的类路径为 org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter 从类名称可以猜出这个过滤器主要是包装请求对象request的,看源码 [code="java"] public...
java multipartrequestwrapper,如何从Servlet3SecurityContextHolderAwareRequestWrapper中获取MultipartRequest...
weixin_30716611的博客
03-01 1378
I'm using Grails 2.4.3 and I have a with method set to post, but I'm not getting a MutlipartRequest in my controller action. Instead I'm getting a Servlet3SecurityContextHolderAwareRequestWrapper wh...
从查询串中分离请求参数——acegi securitySecurityContextHolderA
VirgooooS
09-03 229
大多数情况下我们是不需要单独处理HttpServletRequest查询串的,因为应用服务器(比如Tomcat)已经先期处理过了,已经将查询参数分离了出来,可以与post参数一样使用getParameter获得,但是在组合使用某些过滤器(Filter)的情况下,当处理转发(Forword)请求时,有可能已经错过了应用服务器处理查询串的时机,从而导致使用getParameter时得不到查询串中的参数...
深入浅出SpringSecurity和OAuth2(四)—— SecurityContextPersistenceFilter以及ExceptionTranslationFilter
你要悄悄的拔尖,然后惊艳所有人
08-19 852
前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth2的知识没有一个整体概念的把握,知识体系没有形成系统,遂决定写一个关于SpringSecurity和OAuth2的系列专栏,在建造自己知识体系的同时还希望能帮助有同
Spring Security(学习笔记)-SecurityContextHolder!
TONGZHOUGONGDU的博客
04-22 4360
匿名访问,多线程获取用户信息。
Spring Security学习笔记一
小夏陌的博客
11-21 3939
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架,能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在 Web 请求级和方法调用级处理身份确认和授权。为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(Spring Boot使Spring Security更加易用,也使...
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2837
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 4303
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值