spring security系列二:过滤器机制
spring security框架的过滤器是基于基础的filter来实现,这样它能够不须要依赖任何web框架,甚至连spring mvc框架都不须要依赖,这样整个spring security过滤器就会变得异常的轻量级和无侵入性。java
spring security处理请求流程
用户发起请求,认证管理器(Authentication Manager)会发起拦截,验证用户发起请求时的一些凭证信息,未经过验证信息审核的那么返回给用户,经过审核的,那么继续进行请求访问,访问页面以前,会被访问决策管理(Access Decision Manager)拦截,访问决策管理器验证用户是否有访问页面的权限,若是有,那么继续到访问页面。web
另外spring security是经过委托代理(delegates)的方式去实现过滤器链的,
首先先经过过滤器拦截用户的请求,拦截后经过servlet来进行处理,若是处理成功那么进行正常访问,在返回给用户一个请求。正则表达式
spring security 内置拦截器顺序及用途
一、ChannelProcessingFilter,使用它由于咱们可能会指向不一样的协议(如:Http,Https)spring
二、SecurityContextPersistenceFilter,负责从SecurityContextRepository 获取或存储 SecurityContext。SecurityContext 表明了用户安全和认证过的session安全
三、ConcurrentSessionFilter,使用SecurityContextHolder的功能,更新来自“安全对象”不间断的请求,进而更新SessionRegistrycookie
四、认证进行机制,UsernamePasswordAuthenticationFilter,CasAuthenticationFilter,BasicAuthenticationFilter等等--SecurityContextHolder可能会修改含有Authentication这样认证信息的token值session
五、SecurityContextHolderAwareRequestFilter,若是你想用它的话,须要初始化spring security中的HttpServletRequestWrapper到你的servlet容器中。mvc
六、JaasApiIntegrationFilter,若是JaasAuthenticationToken在SecurityContextHolder的上下文中,在过滤器链中JaasAuthenticationToken将做为一个对象。app
七、RememberMeAuthenticationFilter,若是尚未新的认证程序机制更新SecurityContextHolder,而且请求已经被一个“记住我”的服务替代,那么将会有一个Authentication对象将存放到这(就是 已经做为cookie请求的内容)。框架
八、AnonymousAuthenticationFilter,若是没有任何认证程序机制更新SecurityContextHolder,一个匿名的对象将存放到这。
九、ExceptionTranslationFilter,为了捕获spring security的错误,因此一个http响应将返回一个Exception或是触发AuthenticationEntryPoint。
十、FilterSecurityInterceptor,当链接被拒绝时,保护web URLS而且抛出异常。
安全过滤器链
Spring Security维护了一个过滤器链,每一个过滤器拥有特定的功能,过滤器须要服务也会对应添加和删除。 过滤器的次序是很是重要的,它们之间都有依赖关系。
DelegatingFilterProxy
当使用servlet过滤器时,你很须要在你的web.xml中声明它们, 它们可能被servlet容器忽略。在Spring Security,过滤器类也是定义在xml中的spring bean, 所以能够得到Spring的依赖注入机制和生命周期接口。 spring的DelegatingFilterProxy提供了在 web.xml和application context之间的联系。
当使用DelegatingFilterProxy,你会看到像 web.xml文件中的这样内容:
<filter>
<filter-name>myFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>myFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
注意这个过滤器实际上是一个DelegatingFilterProxy,这个过滤器里没有实现过滤器的任何逻辑。 DelegatingFilterProxy作的事情是代理Filter的方法,从application context里得到bean。 这让bean能够得到spring web application context的生命周期支持,使配置较为轻便。 bean必须实现javax.servlet.Filter接口,它必须和filter-name里定义的名称是同样的。
FilterChainProxy
若是咱们把全部的过滤器做为一个DelegatingFilterProxy入口添加到web.xml, 确认它们的次序是正确的。 这是一种繁琐的方式,会让web.xml显得十分杂乱,若是咱们配置了太多过滤器的话。 咱们最好添加一个单独的入口,在web.xml中,而后在application context中处理实体, 管理咱们的web安全bean。 这就是FilterChainProxy所作的事情。它使用DelegatingFilterProxy (就像上面例子中那样),可是对应的class是org.springframework.security.web.FilterChainProxy。 过滤器链是在application context中声明的。这里有一个例子:
<bean id="filterChainProxy" class="org.springframework.security.web.FilterChainProxy">
<sec:filter-chain-map path-type="ant">
<sec:filter-chain pattern="/webServices/**" filters="
securityContextPersistenceFilterWithASCFalse,
basicAuthenticationFilter,
exceptionTranslationFilter,
filterSecurityInterceptor" />
<sec:filter-chain pattern="/**" filters="
securityContextPersistenceFilterWithASCFalse,
formLoginFilter,
exceptionTranslationFilter,
filterSecurityInterceptor" />
</sec:filter-chain-map>
</bean>
你可能注意到FilterSecurityInterceptor声明的不一样方式。 命名空间元素filter-chain-map被用来设置安全过滤器链。 它映射一个特定的URL模式,到过滤器链中,从bean名称来定义的filters元素。 它同时支持正则表达式和ant路径,而且只使用第一个出现的匹配URI。 在运行阶段FilterChainProxy会定位当前web请求匹配的第一个URI模式,由filters属性指定的过滤器bean列表将开始处理请求。 过滤器会按照定义的顺序依次执行,因此你能够对处理特定URL的过滤器链进行彻底的控制。
你可能注意到了,咱们在过滤器链里声明了两个SecurityContextPersistenceFilter(ASC是allowSessionCreation的简写,是SecurityContextPersistenceFilter的一个属性)。 由于web服务历来不会在请求里带上jsessionid,为每一个用户代理都建立一个HttpSession彻底是一种浪费。 若是你须要构建一个高等级最高可扩展性的系统,咱们推荐你使用上面的配置方法。 对于小一点儿的项目,使用一个HttpSessionContextIntegrationFilter(让它的allowSessionCreation默认为true)就足够了。
在有关声明周期的问题上,若是这些方法被FilterChainProxy本身调用,FilterChainProxy会始终根据下一层的Filter代理init(FilterConfig)和destroy()方法。 这时,FilterChainProxy会保证初始化和销毁操做只会在Filter上调用一次, 而无论它在过滤器链中被声明了多少次)。你控制着全部的抉择,好比这些方法是否被调用 或targetFilterLifecycle初始化参数DelegatingFilterProxy。 默认状况下,这个参数是false,servlet容器生命周期调用不会传播到 DelegatingFilterProxy。
当咱们了解如何使用命名控制配置构建web安全。 咱们使用一个DelegatingFilterProxy,它的名字是“springSecurityFilterChain”。 你应该如今能够看到FilterChainProxy的名字,它是由命名空间建立的。
自定义Filter
自定义Filter 建议继承 GenericFilterBean
配置自定义 Filter 在 Spring Security 过滤器链中的位置
HttpSecurity 有三个经常使用方法来配置:
- addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter)在 beforeFilter 以前添加 filter
- addFilterAfter(Filter filter, Class<? extends Filter> afterFilter)在 afterFilter 以后添filter
- addFilterAt(Filter filter, Class<? extends Filter> atFilter)在 atFilter 相同位置添加 filter,此 filter 不覆盖 filter.
经过在不一样 Filter 的 doFilter() 方法中加断点调试,能够判断哪一个 filter 先执行,从而判断 filter 的执行顺序 。
- 1. spring security系列二:过滤器机制
- 2. Spring Security入门(1-12)Spring Security 的过滤器机制
- 3. spring security------过滤器源码解析(二)
- 4. Spring Security的过滤器链
- 5. spring security 过滤器链
- 6. spring security 核心过滤器
- 7. 【SpringSecurity】Spring Security过滤器链
- 8. spring security过滤器顺序
- 9. Spring Security 实战干货:图解Spring Security的过滤器体系
- 10. Spring Security系列之核心过滤器源码分析(四)
- 更多相关文章...
- • PHP 过滤器 - PHP教程
- • PHP FILTER_CALLBACK 过滤器 - PHP参考手册
- • 漫谈MySQL的锁机制
- • Docker容器实战(七) - 容器眼光下的文件系统
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. spring security系列二:过滤器机制
- 2. Spring Security入门(1-12)Spring Security 的过滤器机制
- 3. spring security------过滤器源码解析(二)
- 4. Spring Security的过滤器链
- 5. spring security 过滤器链
- 6. spring security 核心过滤器
- 7. 【SpringSecurity】Spring Security过滤器链
- 8. spring security过滤器顺序
- 9. Spring Security 实战干货:图解Spring Security的过滤器体系
- 10. Spring Security系列之核心过滤器源码分析(四)