Spring Security Filter详解

汇总

Filter 作用
DelegatingFilterProxy Spring Security基于这个Filter建立拦截机制
AbstractAuthenticationProcessingFilter 获取用户提供的信息并创建一个部分完整的 Authentication 对象来传递凭证信息
AbstractSecurityInterceptor (最后一个filter)判断一个请求是被允许还是被拒绝
LogoutFilter 退出登录处理

DelegatingFilterProxy

  • 要使用security必须先配置这个filter
  • 这个filter是Spring框架提供的,并不是security特有
  • Security使用这个filter来包装所有的应用请求
<!--web.xml-->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filterclass>
    org.springframework.web.filter.DelegatingFilterProxy </filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

(Abstract)AbstractAuthenticationProcessingFilter

获取用户提供的信息并创建一个部分完整的 Authentication 对象来传递凭证信息

实现类 - UsernamePasswordAuthenticationFilter

继承树

UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter
    [注入](Interface)AuthenticationManager
    [实现类]ProviderManager implements AuthenticationManager
            [注入](Interface) AuthenticationProvider
            [实现类]DaoAuthenticationProvider implements AuthenticationProvider
                    [注入]UserDetailsService
                    [实现类]InMemoryDaoImpl implements UserDetailsService

作用描述

  • ProviderManager 注入 UserDetails 获取 o.s.s.core.userdetails.UserDetails (用户信息)
  • AuthenticationManager 校验用户的凭证信息,用户无效会抛出一个特定的异常 成功会补全Authentication的信息(如权限信息)

作用流程

(AbstractAuthenticationProcessingFilter)       ( j_spring_security_check)
UsernamePasswordAuthenticationFilter        →      拦截到用户登录
                                                创建一个 Authentication
                                         (UsernamePasswordAuthenticationToken)
                                                    ↓
                                            (AuthenticationManager)
                                                ProviderManager
                                                    ↓   获取并且验证用户信息
                                            (AuthenticationProvider)
                                            DaoAuthenticationProvider
                                                    ↓   获取合法用户信息
                                            (UserDetailsService)
                                                InMemoryDaoImpl
                                                    ↓   查询合法用户信息
                                                Memory Store

配置authenticationManager

<!--org.springframework.security.authentication.ProviderManager-->
<authentication-manager alias="authenticationManager">
    <!-- o.s.s.authentication.dao.DaoAuthenticationProvider-->
    <authentication-provider>
        <!-- o.s.s.core.userdetails.memory.InMemoryDaoImpl  -->
        <user-service>
            <user authorities="ROLE_USER" name="guest" password="guest"/>
        </user-service>
    </authentication-provider>
</authentication-manager>

(Abstract)AbstractSecurityInterceptor

判断一个请求是被允许还是被拒绝

  • 最后一个servelt 过滤器
  • 通过DefaultFilterInvocationSecurityMetadataSource获取需要的权限列表(ConfigAttribute)
  • 委托一个AccessDecisionManager完成授权的判断

实现类 - FilterSecurityInterceptor extends AbstractSecurityInterceptor

作用流程

    //访问资源(即授权管理)
    user request url
        ↓
    (AbstractSecurityInterceptor)
      FilterSecurityInterceptor
        ↓(获取配置的权限信息)
    FilterInvocationSecurityMetadataSource
        ↓(委托一个AccessDecisionManager完成授权的判断)
    AccessDecisionManager(需要获取AccessDecisionVoters)
        ↓
    返回决策结果
(Interface)o.s.s.access.AccessDecisionManager
  • 提供了一个基于AccessDecisionVoter 接口和投票集合的授权机制。
  • supports:这个逻辑操作实际上包含两个方法,它们允许AccessDecisionManager 的实现
    类判断是否支持当前的请求。
  • decide:基于请求的上下文和安全配置,允许AccessDecisionManager 去核实访问是否被
    允许以及请求是否能够被接受。decide 方法实际上没有返回值,通过抛出异常来表明对
    请求访问的拒绝。
AbstractAccessDecisionManager implements AccessDecisionManager
AbstractAccessDecisionManager 实现类
org.springframework.security.access.vote.UnanimousBased
所有的投票器必须全是允许的,否则访问将被拒绝

org.springframework.security.access.vote.AffirmativeBased
如果有任何一个投票器允许访问,请求将被立刻允许

org.springframework.security.access.vote.ConsensusBased
多数票决定

配置

<http auto-config="true" access-decision-manager-ref="unanimousBased" >
<!--AccessDecisionManager-->
<bean class="org.springframework.security.access.vote.UnanimousBased" id="unanimousBased">
    <property name="decisionVoters">
        <list>
            <ref bean="roleVoter"/>
            <ref bean="authenticatedVoter"/>
        </list>
    </property>
</bean>
<!-- 检查用户是否拥有声明角色的权限 (GrantedAuthority) access="ROLE_USER,ROLE_ ADMIN"-->
<bean class="org.springframework.security.access.vote.RoleVoter" id="roleVoter"/>
<!--支持特定类型的声明,允许使用通配符-->
<bean class="org.springframework.security.access.vote.AuthenticatedVoter" id="authenticatedVoter"/>

LogoutFilter

  • 使得HTTP session 失效(如果invalidate-session 属性被设置为true);
  • 清除SecurityContex(真正使得用户退出);
  • 将页面重定向至logout-success-url 指明的URL。
    <http auto-config="true" use-expressions="true">
        <logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/j_spring_security_logout"/>
    </http>
属性 作用
invalidate-session 如果被设置为true,用户的HTTP session 将会在退出时被失效
logout-success-url 用户在退出后将要被重定向到的URL
logout-url 要读取的URL

Spring Security Filter详解的更多相关文章

  1. Spring Security 入门详解(转)

    1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理 ...

  2. Spring Security 入门详解

    序:本文主要参考 spring实战 对里面的知识做一个梳理 1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完 ...

  3. Spring jar包详解

    Spring jar包详解 org.springframework.aop ——Spring的面向切面编程,提供AOP(面向切面编程)的实现 org.springframework.asm——spri ...

  4. Spring——jar包详解(转)

    Spring——jar包详解 org.springframework.aop ——Spring的面向切面编程,提供AOP(面向切面编程)的实现 org.springframework.asm——spr ...

  5. spring原理案例-基本项目搭建 02 spring jar包详解 spring jar包的用途

    Spring4 Jar包详解 SpringJava Spring AOP: Spring的面向切面编程,提供AOP(面向切面编程)的实现 Spring Aspects: Spring提供的对Aspec ...

  6. (转)Spring JdbcTemplate 方法详解

    Spring JdbcTemplate方法详解 文章来源:http://blog.csdn.net/dyllove98/article/details/7772463 JdbcTemplate主要提供 ...

  7. Spring Boot异常处理详解

    在Spring MVC异常处理详解中,介绍了Spring MVC的异常处理体系,本文将讲解在此基础上Spring Boot为我们做了哪些工作.下图列出了Spring Boot中跟MVC异常处理相关的类 ...

  8. spring事务配置详解

    一.前言 好几天没有在对spring进行学习了,由于这几天在赶项目,没有什么时间闲下来继续学习,导致spring核心架构详解没有继续下去,在接下来的时间里面,会继续对spring的核心架构在继续进行学 ...

  9. spring注入参数详解

    spring注入参数详解 在Spring配置文件中, 用户不但可以将String, int等字面值注入到Bean中, 还可以将集合, Map等类型的数据注入到Bean中, 此外还可以注入配置文件中定义 ...

随机推荐

  1. SQLite 之 C#版 System.Data.SQLite 使用

    简介 SQLite简介 SQLite,是一款轻型的关系型数据库.它的设计目标是嵌入式. 它能够支持Windows/Linux/Unix等等主流的操作系统,同时能够跟很多程序语言相结合,比如 C++.C ...

  2. 最近项目用到Dubbo框架,分享一下~

    1. Dubbo是什么? Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案.简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是不需 ...

  3. Git分支合并选择

    用Git进行多人协作开发时,必然会合并代码,解决冲突.然而合并代码也是需要点技巧的,如果对一些关键命令没有理解去使用的话,git的版本演进路线就会变得很乱,从而造成了日后维护的一些麻烦. Git上合并 ...

  4. AngularJS操作DOM——angular.element

    addClass()-为每个匹配的元素添加指定的样式类名 after()-在匹配元素集合中的每个元素后面插入参数所指定的内容,作为其兄弟节点 append()-在每个匹配元素里面的末尾处插入参数内容a ...

  5. js中的sort方法

    js中原生的sort()采用快排和插入排序算法,根据比较器对数组排序. 默认是将数组元素转为字符串,然后根据Unicode字符集编号的大小排序. charCodeAt(index) 返回指定位置字符的 ...

  6. 刨根究底字符编码之五——简体汉字编码方案(GB2312、GBK、GB18030、GB13000)以及全角、半角、CJK

    简体汉字编码方案(GB2312.GBK.GB18030.GB13000)以及全角.半角.CJK   一.概述 1. 英文字母再加一些其他标点字符之类的也不会超过256个,用一个字节来表示一个字符就足够 ...

  7. Spring Boot 声明式事务结合相关拦截器

    我这项目的读写分离方式在使用ThreadLocal实现的读写分离在迁移后的偶发错误里提了,我不再说一次了,这次是有要求读写分离与事务部分要完全脱离配置文件,程序员折腾了很久,于是我就查了一下,由于我还 ...

  8. cookie创建,删除

    Cookie 历来指就着牛奶一起吃的点心.然而,在因特网内,“Cookie”这个字有了完全不同的意思.那么“Cookie”到底是什么呢?“Cookie”是小量信息,由网络服务器发送出来以存储在网络浏览 ...

  9. Java静态代理与动态代理模式的实现

    前言:    在现实生活中,考虑以下的场景:小王打算要去租房,他相中了一个房子,准备去找房东洽谈相关事宜.但是房东他很忙,平时上班没时间,总找不到时间去找他,他也没办法.后来,房东想了一个办法,他找到 ...

  10. vue-cli项目中怎么mock数据

    在vue项目中, mock数据可以使用 node 的 express模块搭建服务 1. 在根目录下创建 test 目录, 用来存放模拟的 json 数据, 在 test 目录下创建模拟的数据 data ...