Spring Security Filter详解

汇总

Filter 作用
DelegatingFilterProxy Spring Security基于这个Filter建立拦截机制
AbstractAuthenticationProcessingFilter 获取用户提供的信息并创建一个部分完整的 Authentication 对象来传递凭证信息
AbstractSecurityInterceptor (最后一个filter)判断一个请求是被允许还是被拒绝
LogoutFilter 退出登录处理

DelegatingFilterProxy

  • 要使用security必须先配置这个filter
  • 这个filter是Spring框架提供的,并不是security特有
  • Security使用这个filter来包装所有的应用请求
<!--web.xml-->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filterclass>
    org.springframework.web.filter.DelegatingFilterProxy </filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

(Abstract)AbstractAuthenticationProcessingFilter

获取用户提供的信息并创建一个部分完整的 Authentication 对象来传递凭证信息

实现类 - UsernamePasswordAuthenticationFilter

继承树

UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter
    [注入](Interface)AuthenticationManager
    [实现类]ProviderManager implements AuthenticationManager
            [注入](Interface) AuthenticationProvider
            [实现类]DaoAuthenticationProvider implements AuthenticationProvider
                    [注入]UserDetailsService
                    [实现类]InMemoryDaoImpl implements UserDetailsService

作用描述

  • ProviderManager 注入 UserDetails 获取 o.s.s.core.userdetails.UserDetails (用户信息)
  • AuthenticationManager 校验用户的凭证信息,用户无效会抛出一个特定的异常 成功会补全Authentication的信息(如权限信息)

作用流程

(AbstractAuthenticationProcessingFilter)       ( j_spring_security_check)
UsernamePasswordAuthenticationFilter        →      拦截到用户登录
                                                创建一个 Authentication
                                         (UsernamePasswordAuthenticationToken)
                                                    ↓
                                            (AuthenticationManager)
                                                ProviderManager
                                                    ↓   获取并且验证用户信息
                                            (AuthenticationProvider)
                                            DaoAuthenticationProvider
                                                    ↓   获取合法用户信息
                                            (UserDetailsService)
                                                InMemoryDaoImpl
                                                    ↓   查询合法用户信息
                                                Memory Store

配置authenticationManager

<!--org.springframework.security.authentication.ProviderManager-->
<authentication-manager alias="authenticationManager">
    <!-- o.s.s.authentication.dao.DaoAuthenticationProvider-->
    <authentication-provider>
        <!-- o.s.s.core.userdetails.memory.InMemoryDaoImpl  -->
        <user-service>
            <user authorities="ROLE_USER" name="guest" password="guest"/>
        </user-service>
    </authentication-provider>
</authentication-manager>

(Abstract)AbstractSecurityInterceptor

判断一个请求是被允许还是被拒绝

  • 最后一个servelt 过滤器
  • 通过DefaultFilterInvocationSecurityMetadataSource获取需要的权限列表(ConfigAttribute)
  • 委托一个AccessDecisionManager完成授权的判断

实现类 - FilterSecurityInterceptor extends AbstractSecurityInterceptor

作用流程

    //访问资源(即授权管理)
    user request url
        ↓
    (AbstractSecurityInterceptor)
      FilterSecurityInterceptor
        ↓(获取配置的权限信息)
    FilterInvocationSecurityMetadataSource
        ↓(委托一个AccessDecisionManager完成授权的判断)
    AccessDecisionManager(需要获取AccessDecisionVoters)
        ↓
    返回决策结果
(Interface)o.s.s.access.AccessDecisionManager
  • 提供了一个基于AccessDecisionVoter 接口和投票集合的授权机制。
  • supports:这个逻辑操作实际上包含两个方法,它们允许AccessDecisionManager 的实现
    类判断是否支持当前的请求。
  • decide:基于请求的上下文和安全配置,允许AccessDecisionManager 去核实访问是否被
    允许以及请求是否能够被接受。decide 方法实际上没有返回值,通过抛出异常来表明对
    请求访问的拒绝。
AbstractAccessDecisionManager implements AccessDecisionManager
AbstractAccessDecisionManager 实现类
org.springframework.security.access.vote.UnanimousBased
所有的投票器必须全是允许的,否则访问将被拒绝

org.springframework.security.access.vote.AffirmativeBased
如果有任何一个投票器允许访问,请求将被立刻允许

org.springframework.security.access.vote.ConsensusBased
多数票决定

配置

<http auto-config="true" access-decision-manager-ref="unanimousBased" >
<!--AccessDecisionManager-->
<bean class="org.springframework.security.access.vote.UnanimousBased" id="unanimousBased">
    <property name="decisionVoters">
        <list>
            <ref bean="roleVoter"/>
            <ref bean="authenticatedVoter"/>
        </list>
    </property>
</bean>
<!-- 检查用户是否拥有声明角色的权限 (GrantedAuthority) access="ROLE_USER,ROLE_ ADMIN"-->
<bean class="org.springframework.security.access.vote.RoleVoter" id="roleVoter"/>
<!--支持特定类型的声明,允许使用通配符-->
<bean class="org.springframework.security.access.vote.AuthenticatedVoter" id="authenticatedVoter"/>

LogoutFilter

  • 使得HTTP session 失效(如果invalidate-session 属性被设置为true);
  • 清除SecurityContex(真正使得用户退出);
  • 将页面重定向至logout-success-url 指明的URL。
    <http auto-config="true" use-expressions="true">
        <logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/j_spring_security_logout"/>
    </http>
属性 作用
invalidate-session 如果被设置为true,用户的HTTP session 将会在退出时被失效
logout-success-url 用户在退出后将要被重定向到的URL
logout-url 要读取的URL

Spring Security Filter详解的更多相关文章

  1. Spring Security 入门详解(转)

    1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理 ...

  2. Spring Security 入门详解

    序:本文主要参考 spring实战 对里面的知识做一个梳理 1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完 ...

  3. Spring jar包详解

    Spring jar包详解 org.springframework.aop ——Spring的面向切面编程,提供AOP(面向切面编程)的实现 org.springframework.asm——spri ...

  4. Spring——jar包详解(转)

    Spring——jar包详解 org.springframework.aop ——Spring的面向切面编程,提供AOP(面向切面编程)的实现 org.springframework.asm——spr ...

  5. spring原理案例-基本项目搭建 02 spring jar包详解 spring jar包的用途

    Spring4 Jar包详解 SpringJava Spring AOP: Spring的面向切面编程,提供AOP(面向切面编程)的实现 Spring Aspects: Spring提供的对Aspec ...

  6. (转)Spring JdbcTemplate 方法详解

    Spring JdbcTemplate方法详解 文章来源:http://blog.csdn.net/dyllove98/article/details/7772463 JdbcTemplate主要提供 ...

  7. Spring Boot异常处理详解

    在Spring MVC异常处理详解中,介绍了Spring MVC的异常处理体系,本文将讲解在此基础上Spring Boot为我们做了哪些工作.下图列出了Spring Boot中跟MVC异常处理相关的类 ...

  8. spring事务配置详解

    一.前言 好几天没有在对spring进行学习了,由于这几天在赶项目,没有什么时间闲下来继续学习,导致spring核心架构详解没有继续下去,在接下来的时间里面,会继续对spring的核心架构在继续进行学 ...

  9. spring注入参数详解

    spring注入参数详解 在Spring配置文件中, 用户不但可以将String, int等字面值注入到Bean中, 还可以将集合, Map等类型的数据注入到Bean中, 此外还可以注入配置文件中定义 ...

随机推荐

  1. Unite'17 Shanghai再一次问候

    Unite'17 Shanghai再一次问候 --暨Unity2017年度大会 2017年5月11日,主题为"再一次问候"的Unity年度盛会在上海国际会议中心举行,这是Unity ...

  2. 15、TCP/IP协议

    15.TCP/IP协议       几台孤立计算机系统组在一起形成网络,几个孤立网络连在一起形成一个网络的网络,即互连网.一个互连网就是一组通过相同协议族互连在一起的网络. 互联网的目的之一是在应用程 ...

  3. ArrayList源码解析(二)自动扩容机制与add操作

    本篇主要分析ArrayList的自动扩容机制,add和remove的相关方法. 作为一个list,add和remove操作自然是必须的. 前面说过,ArrayList底层是使用Object数组实现的. ...

  4. 关于JAVA自带MD5的方法

    有空再详细解释 import java.security.MessageDigest; public class MD5 { public final static String MD51(Strin ...

  5. spark 2.1.0 集群安装

    jdk安装 http://www.cnblogs.com/xiaojf/p/6568426.html scala2.11 安装 http://www.cnblogs.com/xiaojf/p/6568 ...

  6. poi合并单元格同时导出excel

    poi合并单元格同时导出excel POI进行跨行需要用到对象HSSFSheet对象,现在就当我们程序已经定义了一个HSSFSheet对象sheet. 跨第1行第1个到第2个单元格的操作为 sheet ...

  7. UVALive-5731

    UVALive-5731 题意 一颗 n - 1 条边的有向树,要求整棵树成为强连通图,一次操作即构建一条路(一笔画), 限制: 新建的路上的所有边必须与原有的边逆向,即构建的路必须在原有的边和点上, ...

  8. Java阶段性测试--第二三大题参考代码

    第二大题: 1.打印出所有的 "水仙花数 ",所谓 "水仙花数 "是指一个三位数,其各位数字立方和等于它本身 package Test1; //1.打印出所有的 ...

  9. 【JAVAEE学习笔记】hibernate03:多表操作详解、级联、关系维护和练习:添加联系人

    一.一对多|多对一 1.关系表达 表中的表达 实体中的表达 orm元数据中表达 一对多 <!-- 集合,一对多关系,在配置文件中配置 --> <!-- name属性:集合属性名 co ...

  10. dedecms列表页调用子栏目列表,织梦首页调用栏目的子栏目标签代码

    dedecms列表页调用子栏目列表,织梦首页调用栏目的子栏目标签代码. dedecms列表页调用子栏目列表标签: {dede:channelartlist type='sun' }<a href ...