一、核心拦截器详细说明

  1.WebAsyncManagerIntegrationFilter 

    根据请求封装获取WebAsyncManager
    从WebAsyncManager获取/注册SecurityContextCallableProcessingInterceptor

  2.SecurityContextPersistenceFilter  

    先实例SecurityContextHolder->HttpSessionSecurityContextRepository(下面以repo代替)
    作用:其会从Session中取出已认证用户的信息,提高效率,避免每一次请求都要查询用户认证信息
    根据请求和响应构建HttpRequestResponseHolde
    repo根据HttpRequestResponseHolder加载context获取SecurityContext
    SecurityContextHolder将获得到的SecurityContext设置到Context中,然后继续向下执行其他过滤器
    finally-> SecurityContextHolder获取SecurityContext,然后清除,
    并将其和请求信息保存到repo,从请求中移除FILTER_APPLIED属性

  3.HeaderWriterFilter
    往该请求的Header中添加相应的信息,在http标签内部使用security:headers来控制

 4.CsrfFilter
    csrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。
    对需要验证的请求验证是否包含csrf的token信息,如果不包含,则报错。
    这样攻击网站无法获取到token信息,则跨域提交的信息都无法通过过滤器的校验。

 5.LogoutFilter
    匹配URL,默认为/logout
    匹配成功后则用户退出,清除认证信息

 6.RequestCacheAwareFilter
    通过HttpSessionRequestCache内部维护了一个RequestCache,用于缓存HttpServletRequest

 7.SecurityContextHolderAwareRequestFilter
    针对ServletRequest进行了一次包装,使得request具有更加丰富的API

 8.AnonymousAuthenticationFilter
    当SecurityContextHolder中认证信息为空,则会创建一个匿名用户存入到SecurityContextHolder中。

 9.SessionManagementFilter
    securityContextRepository限制同一用户开启多个会话的数量
    SessionAuthenticationStrategy防止session-fixation protection attack(保护非匿名用户)

 10.ExceptionTranslationFilter
    ExceptionTranslationFilter异常转换过滤器位于整个springSecurityFilterChain的后方,
    用来转换整个链路中出现的异常
    此过滤器的作用是处理中FilterSecurityInterceptor抛出的异常,然后将请求重定向到对应页面,
    或返回对应的响应错误代码
  
 11.FilterSecurityInterceptor
    获取到所配置资源访问的授权信息
    根据SecurityContextHolder中存储的用户信息来决定其是否有权限
    主要一些实现功能在其父类AbstractSecurityInterceptor中

 12.UsernamePasswordAuthenticationFilter
    表单认证是最常用的一个认证方式,一个最直观的业务场景便是允许用户在表单中输入用户名和密码进行登录,
    而这背后的UsernamePasswordAuthenticationFilter,在整个Spring Security的认证体系中则扮演着至关重要的角色

二、框架的核心组件

  SecurityContextHolder:提供对SecurityContext的访问

  SecurityContext:持有Authentication对象和其他可能需要的信息

  AuthenticationManager :其中可以包含多个AuthenticationProvider; ProviderManager对象为AuthenticationManager接口的实现类

  AuthenticationProvider:主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作

  Authentication:Spring Security方式的认证主体

  GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示

  UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到

  UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象

Spring Security 学习记录的更多相关文章

  1. [转]Spring Security学习总结一

    [总结-含源码]Spring Security学习总结一(补命名空间配置) Posted on 2008-08-20 10:25 tangtb 阅读(43111) 评论(27)  编辑  收藏 所属分 ...

  2. Spring security 学习 (自助者,天助之!)

    自己努力,何必要强颜欢笑的求助别人呢?  手心向下不求人! Spring security学习有进展哦: 哈哈! 1.页面都是动态生产的吧! 2.设置权限:  a:pom.xml配置jar包 b:cr ...

  3. SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能

    在 Spring Security 中基于表单的认证模式,默认就是密码帐号登录认证,那么对于短信验证码+登录的方式,Spring Security 没有现成的接口可以使用,所以需要自己的封装一个类似的 ...

  4. SpringBoot + Spring Security 学习笔记(三)实现图片验证码认证

    整体实现逻辑 前端在登录页面时,自动从后台获取最新的验证码图片 服务器接收获取生成验证码请求,生成验证码和对应的图片,图片响应回前端,验证码保存一份到服务器的 session 中 前端用户登录时携带当 ...

  5. Spring Boot学习记录(二)--thymeleaf模板 - CSDN博客

    ==他的博客应该不错,没有细看 Spring Boot学习记录(二)--thymeleaf模板 - CSDN博客 http://blog.csdn.net/u012706811/article/det ...

  6. [转]Spring Security学习总结二

    原文链接: http://www.blogjava.net/redhatlinux/archive/2008/08/20/223148.html http://www.blogjava.net/red ...

  7. 我的Spring Boot学习记录(二):Tomcat Server以及Spring MVC的上下文问题

    Spring Boot版本: 2.0.0.RELEASE 这里需要引入依赖 spring-boot-starter-web 这里有可能有个人的误解,请抱着怀疑态度看. 建议: 感觉自己也会被绕晕,所以 ...

  8. spring security 学习资料

    spring security 学习资料 网址 Spring Security 文档参考手册中文版 https://springcloud.cc/spring-security.html

  9. spring security实现记录用户登录时间等信息

    目录 spring security实现记录用户登录时间等信息 一.原理分析 二.实现方式 2.1 自定义AuthenticationSuccessHandler实现类 2.2 在spring-sec ...

随机推荐

  1. 变量的范围 namespace

    变量的范围 范围 变量有 菊部变量 和 全局变量之分, local variable 和 global variable 一般在函数体外定义的变量是全局的,函数体内定义的变量只能在函数内使用 注意:在 ...

  2. 手工释放服务器的swap分区缓存

    时间     恢复时间 状态 信息 主机 问题 • 严重性 持续时间 确认 动作 2019-03-21 20:29:30     09:51:30     -ai-代理 Lack of free sw ...

  3. m6A甲基化及预测方法工具总结

    DNA.RNA和蛋白三个层面的可逆修饰示意图(Fu et al. Nature Reviews Genetics, 2014) DNA和蛋白存在各种修饰,RNA也不例外,目前已知的RNA修饰已经超过上 ...

  4. C#中Path类的常用方法

    场景 打开VS,输入Path,我们可以看到其定义. 都是静态方法,所以我们可以使用类名直接调用. 实现 新建命令行程序,编码如下: string str = @"C:\Users\Admin ...

  5. 宝锋UV-5R说明书下载

    宝锋UV-5R说明书 百度网盘下载地址: 链接: https://pan.baidu.com/s/1QJXEJ2YyO7ovMAQG7Uur4A 提取码: j8d2 BI8EJM     73    ...

  6. BAT资深工程师 由浅入深分析 Tp5&Tp6底层源码 - 分享

    BAT资深工程师由浅入深分析Tp5&Tp6底层源码 第1章 课程简介 本章主要让大家知道本套课程的主线, 导学内容,如何学习源码等,看完本章要让小伙伴觉得这个是必须要掌握的,并且对加薪有很大的 ...

  7. jmeter linux压测报错:Error in NonGUIDriver java.lang.IllegalArgumentException: Problem loading XML from:'/home/server/ptest/disk_out.jmx'.

    1.linux环境jmeter与win环境编写脚本的jmeter版本不一致,版本改为一致 2.脚本中存在中文,去除中文 3.脚本中存在类似于jp@gc - Active Threads Over Ti ...

  8. 5分钟学linux命令之split

    情景介绍 平时工作中,我习惯使用rz从本地上传文件到服务器,sz从服务器下载文件到本地,但对传输文件大小有限制,例如排查线上jvm的问题,需要生成了dump文件,可能有10G大,超过了限制,怎么下载呢 ...

  9. 【linux】【FastDFS】FastDFS数据迁移

    后来同步的时候发现有的没有同步过来,应该是没有同步完成我就停止服务了. 最后尝试直接把fastdfs storage的data文件迁移过去即可. 1.在新的storage server服务器上停止所有 ...

  10. 【linux】【PostgreSQL】PostgreSQL安装

    前言 PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),是以加州大学计算机系开发的POSTGRES,4.2版本为基础的对象关系型数据库管理系统.POSTGR ...