前言:用户登录信息校验成功后,都会获得当前用户所拥有的全部权限,所以对访问的路径当前用户有无权限则需要拦截验证一发

Spring security过滤器的执行顺序

首先我们需要验证为啥FilterSecurityInterceptor会在UsernamePassowrdAuthenticationFilter/CasAuthenticationFilter之后,这里则可以去看下spring security包下的FilterComparator的构造函数便可以得知

FilterComparator() {

		int order = 100;

		****

		****

		order += STEP;

		put(CorsFilter.class, order);

		order += STEP;

		put(CsrfFilter.class, order);

		order += STEP;

		put(LogoutFilter.class, order);

		order += STEP;

		put(X509AuthenticationFilter.class, order);

		order += STEP;

		put(AbstractPreAuthenticatedProcessingFilter.class, order);

		order += STEP;

				filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter",

				order);

		order += STEP;

		put(UsernamePasswordAuthenticationFilter.class, order);

		order += STEP;

		put(ConcurrentSessionFilter.class, order);

		order += STEP;

		filterToOrder.put(

				"org.springframework.security.openid.OpenIDAuthenticationFilter", order);

		order += STEP;

		****

		****

		order += STEP;

		put(AnonymousAuthenticationFilter.class, order);

		order += STEP;

		put(SessionManagementFilter.class, order);

		order += STEP;

		put(ExceptionTranslationFilter.class, order);

		order += STEP;

		put(FilterSecurityInterceptor.class, order);

		order += STEP;

		put(SwitchUserFilter.class, order);

	}

另外FilterComparator#compare()方法表明是按照order的从小到大排序,所以Filter的执行顺序便一目了然,重要的Filter执行顺序如下

LogoutFilter-->CasAuthenticationFilter-->

UsernamePasswordAuthenticationFilter-->

AnonymousAuthenticationFilter-->ExceptionTranslationFilter-->

FilterSecurityInterceptor

FilterSecurityInterceptor#doFilter()-执行逻辑

代码如下

	public void doFilter(ServletRequest request, ServletResponse response,

			FilterChain chain) throws IOException, ServletException {

		FilterInvocation fi = new FilterInvocation(request, response, chain);

		invoke(fi);

	}

进而查看下FilterSecurityInterceptor#invoke()方法

	//主要展示了具体的逻辑,涉及到父类方法的调用

	public void invoke(FilterInvocation fi) throws IOException, ServletException {

		//对同一个请求的多次访问则放行

		if ((fi.getRequest() != null)

				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)

				&& observeOncePerRequest) {

			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

		}

		else {

			//第一次访问则需要拦截验证

			if (fi.getRequest() != null) {

				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);

			}

			/**

			**调用父类AbstractSecurityInterceptor方法进行校验

			**

			*/

			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {

				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

			}

			finally {

				//是否需要重新设置spring的安全上下文SecurityContext

				super.finallyInvocation(token);

			}

			//处理@PostAuthorize and @PostFilter注解

			super.afterInvocation(token, null);

		}

	}

下面针对父类的方法进行分析

AbstractSecurityInterceptor#beforeInvocation-执行主要校验工作

由于代码偏长,截取重要代码片段分析

	protected InterceptorStatusToken beforeInvocation(Object object) {

		Assert.notNull(object, "Object was null");

		***

		***

		//一般通过SecurityMetadataSource对象获取当前用户访问路径对应的角色

		Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()

				.getAttributes(object);

		//为空则抛异常或者返回null

		if (attributes == null || attributes.isEmpty()) {

			if (rejectPublicInvocations) {

				throw new IllegalArgumentException(

						"Secure object invocation "

								+ object

								+ " was denied as public invocations are not allowed via this interceptor. "

								+ "This indicates a configuration error because the "

								+ "rejectPublicInvocations property is set to 'true'");

			}

			if (debug) {

				logger.debug("Public object - authentication not attempted");

			}

			publishEvent(new PublicInvocationEvent(object));

			return null; // no further work post-invocation

		}

		if (debug) {

			logger.debug("Secure object: " + object + "; Attributes: " + attributes);

		}

		//如果没有验证过则抛出AuthenticationException异常

		if (SecurityContextHolder.getContext().getAuthentication() == null) {

			credentialsNotFound(messages.getMessage(

					"AbstractSecurityInterceptor.authenticationNotFound",

					"An Authentication object was not found in the SecurityContext"),

					object, attributes);

		}

		//对于非token和非login请求

		//一般都会有默认的AnonymousAuthenticationFilter使其不再校验

		//所以此处一般不需要再次校验

		Authentication authenticated = authenticateIfRequired();

		// Attempt authorization 尝试授权

		try {

			this.accessDecisionManager.decide(authenticated, object, attributes);

		}

		catch (AccessDeniedException accessDeniedException) {

			publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,

					accessDeniedException));

			//对于授权失败则会抛出异常,这个异常会由ExceptionTranslationFilter获取

			throw accessDeniedException;

		}

		****

		****

		// 默认不处理,runAs返回null

		Authentication runAs = this.runAsManager.buildRunAs(authenticated, object,

				attributes);

		if (runAs == null) {

			//直接返回

			return new InterceptorStatusToken(SecurityContextHolder.getContext(), false,

					attributes, object);

		}

		else {

			if (debug) {

				logger.debug("Switching to RunAs Authentication: " + runAs);

			}

			SecurityContext origCtx = SecurityContextHolder.getContext();

			SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());

			SecurityContextHolder.getContext().setAuthentication(runAs);

			// need to revert to token.Authenticated post-invocation

			return new InterceptorStatusToken(origCtx, true, attributes, object);

		}

	}

小结

FilterSecurityInterceptor实现的作用有

  1. SecurityMetadataSource对象来获取当前访问路径对应的角色集合Collection<ConfigAttribute> attributes

  2. AccessDecisionManager对象来对获取到的角色集合进行校验,与Authentication.getAuthorities()集合进行对照

  3. 验证与授权过程中产生的异常AuthenticationExceptionAccessDeniedException会被ExceptionTranslationFilter拦截处理,从而请求casServer登录或者直接返回错误

Springboot security cas源码陶冶-FilterSecurityInterceptor的更多相关文章

  1. Springboot security cas源码陶冶-ExceptionTranslationFilter

    拦截关键的两个异常,对异常进行处理.主要应用异常则跳转至cas服务端登录页面 ExceptionTranslationFilter#doFilter-逻辑入口 具体操作逻辑如下 public void ...

  2. Springboot security cas源码陶冶-CasAuthenticationFilter

    Springboot security cas整合方案中不可或缺的校验Filter类或者称为认证Filter类,其内部包含校验器.权限获取等,特开辟新地啃啃 继承结构 - AbstractAuthen ...

  3. Springboot security cas整合方案-原理篇

    前言:网络中关于Spring security整合cas的方案有很多例,对于Springboot security整合cas方案则比较少,且有些仿制下来运行也有些错误,所以博主在此篇详细的分析cas原 ...

  4. Springboot security cas整合方案-实践篇

    承接前文Springboot security cas整合方案-原理篇,请在理解原理的情况下再查看实践篇 maven环境 <dependency> <groupId>org.s ...

  5. Spring-shiro源码陶冶-DelegatingFilterProxy和ShiroFilterFactoryBean

    阅读源码有助于陶冶情操,本文旨在简单的分析shiro在Spring中的使用 简单介绍 Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能 web.xml配置Shiro环 ...

  6. 修改CAS源码是的基于DB的认证方式配置更灵活

    最近在做CAS配置的时候,遇到了数据源不提供密码等数据的情况下,怎样实现密码输入认证呢? 第一步:新建Java项目,根据假面算法生成CAS加密工具 出于保密需要不提供自定义的加密工具,在您的实际项目中 ...

  7. Spring-shiro源码陶冶-DefaultFilter

    阅读源码有助于陶冶情操,本文旨在简单的分析shiro在Spring中的使用 简单介绍 Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能 Apache Shiro自带的 ...

  8. SpringBoot自动配置源码调试

    之前对SpringBoot的自动配置原理进行了较为详细的介绍(https://www.cnblogs.com/stm32stm32/p/10560933.html),接下来就对自动配置进行源码调试,探 ...

  9. 调试CAS源码步骤

    1.先安装gradle2.eclipse安装gradle(sts)插件3.克隆cas源码 这一块需要很长时间4.gradle build 会遇到安装node.js 的模块 不存在的问题. 按提示解决就 ...

随机推荐

  1. C/C++中substr函数的应用(简单讲解)

    substr(字符串,截取开始位置,截取长度) //返回截取的字 substr('Hello World',0,1) //返回结果为 'H'  *从字符串第一个字符开始截取长度为1的字符串 subst ...

  2. hdu_1027(好吧。。。牛。。。next_permutation也可以水过)

    #include<cstdio> #include<cstring> #include<algorithm> using namespace std; ; int ...

  3. hdu_1018(斯大林公式/n!的位数)

    题意:求大数n!的位数. 根据n! = (int)log(n!)+1 方法1: log(n!) = log(1*2*3*...*n) = log1+log2+...+logn 方法2: 斯大林公式: ...

  4. stl 在 acm中的应用总结

    总结一些在acm中常用的小技巧,小函数 之前尝试着总结过很多次.都失败了,因为总是担心不全,理解的也不是很透彻.这次再来一次...其实之前保存了很多的草稿就不发布了,当然,下面说的很不全面,路过的大牛 ...

  5. 解决mysql不是内部或外部命令

    安装Mysql后,当我们在cmd中敲入mysql时会出现'Mysql'不是内部或外部命令,也不是可运行的程序或其处理文件. 工具/原料 mysql cmd 方法/步骤 1 打开我的电脑在我的电脑右键中 ...

  6. javascript如何自动去除所有空格?

    1.jquery自带了trim方法:    $.trim(" abc ") // abc 2.自己写方法: function trim(str) { return str.repl ...

  7. 5分钟学会使用gitlab

    第一次接触到gitlab,操作不是很熟练,犯了一堆错,在多次尝试之后,大概了解了流程,这篇文章主要帮助大家快速上手gitlab,如果文章有什么不对的地方,欢迎在评论区留言~ 1.新建项目 首先你得有个 ...

  8. 详解python中的__init__与__new__方法

    一.__init__和__new__方法执行的顺序? 在面向对象中介绍了关于对象创建的过程,我们知道__new__方法先于__init__方法执行. 二.__new__方法是什么? 首先,我们先来看下 ...

  9. 动态添加div及对应的js、css文件

    动态添加div及对应的js.css文件 在近期的项目开发中需要在首页中添加很多面板型的div,直接加载代码显得很繁琐,于是利用js封装一个动态添加div及其对应css文件和js文件的方法供大家参考使用 ...

  10. 用Express、MySQL搭建项目(接口以及静态文件获取、文件上传等)

    一.简介 本文将主要基于node.js使用express框架搭建一个后台环境,包括如何自定义项目目录.所用依赖以及中间件.路由以及模板引擎.接口数据获取以及文件上传等内容. 二.后台环境搭建 1.新建 ...