當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

spring security 核心过滤器

發布時間：2025/3/21 编程问答 21 豆豆

生活随笔收集整理的這篇文章主要介紹了 spring security 核心过滤器小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

2019獨角獸企業重金招聘Python工程師標準>>>

#14. Core Security Filter 有很多關鍵過濾器在spring 安全的項目中總是使用,所以我們可以查看這些支持的類和接口.想要全面了解,請查看javadoc.

##14.1 FilterSecurityInterceptor

一個典型的配置如下

FilterSecurityInterceptor主要保護http資源的安全.它要求一個AuthenticationManager和一個AccessDecisionManager的引用.它也提供了一些配置屬性來適應不同的http請求.

FilterSecurityInterceptor可以通過兩種方式來配置屬性.第一個,如上所述,使用<filter-security-metadata-source>命名空間.它與<http>空間很像,但它的子元素只有pattern,access元素.逗號用來劃分不同http url的配置元素.第二選項是寫自己的SecurityMetadataSource,但是這個超出了文本文件的內容.無論何種方法,SecurityMetadataSource用來返回關于單個http url的List<ConfigAttribute>.

filter-security-metadata-source的匹配表達式可以通過request-matcher來設置.默認是ant匹配.

模式按定義的順序執行.重要的是指定一些具體模式的順序在一些模糊模式之前.在我們的例子中,具體路徑"/secure/super"的模式在"/secure/"模式之前.如果反轉順序,那么/secure/模式總會匹配,而/secure/super模式不會執行.

14.2 ExceptionTranslationFilter

ExceptionTranslationFilter是基于FilterSecurityInterceptor的棧中的.它本身不參與安全攔截,負責處理安全攔截器拋出的異常,并提供合適的http請求.

###14.2.1 AuthenticationEntryPoint

當你訪問一個收保護的資源而沒有認證時,AuthenticationEntryPoint就會被調用.此時你希望調用的是LoginUrlAuthenticationEntryPoint,它會重定向到不同的url中.

###14.2.2 AccessDeniedHandler

有時已認證的用戶會訪問被保護的資源會失敗.例如,一個user的用戶訪問admin的資源,有時是直接用html連接,有時是restful的參數問題.通常需要在web層驗證,或在服務層的接口固定調用許可.

如果一個AccessDeniedException被拋出,如果用戶已被認證,那么ExceptiontranslationFilter會啟用第二種方案,AccessDeniedHandler.一般它會返回403的狀態碼,另外你可以指定一個錯誤頁面.它可以是簡單的"access denied"頁面,也可以是jsp,還可以實現自己的接口.

你也可以實現一個自定義的AccessDeniedHandler.

###14.2.3 SavedRequest and the RequestCache Interface 異常轉化器的另一個職責是在調用AuthenticationEntryPoint之前保存當前請求.當用戶被認證之后,它允許請求重置.典型的例子,如表單登陸.一般它可以通過SavedRequestAwareAuthenticationSuccessHandler進行重定向.

RequestCache的一個作用就是存儲和恢復HttpServletRequest實例.當HttpSessionRequestCache被使用時,它會在httpSession中存儲請求.RequestCacheFilter的工作就是從緩存中取出已保存的請求,并將它們重定向到原來的url中.

##14.3 SecurityContextPersistenceFilter 基本配置如下:

它的職責是存儲http請求之間的securityContext內容,并在請求完成之后清空SecurityContextHolder.如果不清空ThreadLocal,當它被容器線程池回收時,關于用戶的上下文信息就會一直儲存.這個線程可能會在以后的階段使用錯誤的認證信息繼續執行.

14.3.1 SecurityContextRepository

spring security 3.0,負載和存儲security上下文是由一個單獨的策略接口完成的:

public interface SecurityContextRepository{SecurityContext loadContext(HttpRequestResponseHolder requestResponseHodler);void saveContext(SecurityContext context,HttpServletRequest,request,HttpServletResponse response); }

HttpRequestResponseHolder,包含了到來的請求和返回信息,并替換他們.它返回的內容會通過攔截鏈.

其默認實現是HttpSessionSecurityContextRepository,它將security上下文作為httpSesion的一個屬性來存儲.重要屬性,allowSessionCreation,默認值是true.它允許類在需要存儲認證用戶上下文時來創建一個session.(只有當認證發生,且上下文內容改變才創建).如果你不想創建session,你需要將屬性設為false.

另外,你也可使用一個NullSecurityContextRepository的實例,一個空的對象實現.這樣會阻止安全上下文存儲.即使session已經存在. ##14.4 UsernamePasswordAuthenticationFilter form-login元素的配置,有三個方面需要配置

在loginUrlAuthenticationEntryPoint配置登陸頁的url.就像之前一樣,并在ExceptionTranslationFilter中設置
實現登陸頁(使用 jsp或mvc控制器)
在應用上下文中配置UsernamePasswordAuthenticationFilter的實例
在你的攔截器代理中添加攔截器bean(認真排序)

登陸表單包含username和password兩個字段,默認路徑是URl.基本的攔截器配置如下:

###14.4.1 認證成功或失敗的流向

成功或失敗都是有AuthenticationSuccessHandler或AuthenticationFailureHandler策略接口分別決定的.現在有SimpleUrlAuthenticationSuccessHandler,SaveRequestAwareAuthenticationSuccessHandler,SimpleUrlAuthenticationFailureHandler,ExceptionMappingAuthenticationFailureHandler and DelegatingAuthenticationFailureHandler.可以查看文檔了解更多.

如果認證成功,則AuthenticationSuccessHandler會調用,并重定向到合適的目的地.默認是使用SavedRequestAwareAuthenticationSuccessHandler,登陸成功后會重定向到原始目的地.

轉載于:https://my.oschina.net/u/1590027/blog/912736

總結

以上是生活随笔為你收集整理的spring security 核心过滤器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：慢动作输出 Linux 命令结果并用彩色
下一篇：一个QQ旋风的BUG

3atv精品不卡视频,97人人超碰国产精品最新,中文字幕av一区二区三区人妻少妇,久久久精品波多野结衣,日韩一区二区三区精品

编程问答

spring security 核心过滤器

總結