文档章节

spring security 核心过滤器

流光韶逝
 流光韶逝
发布于 2017/06/01 17:38
字数 1389
阅读 35
收藏 1

#14. Core Security Filter 有很多关键过滤器在spring 安全的项目中总是使用,所以我们可以查看这些支持的类和接口.想要全面了解,请查看javadoc.

##14.1 FilterSecurityInterceptor

一个典型的配置如下

<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager" />
<property name="securityMetadataSource">
		<security:filter-security-metadata-source>
		<security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
		<security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER">
</property>

FilterSecurityInterceptor主要保护http资源的安全.它要求一个AuthenticationManager和一个AccessDecisionManager的引用.它也提供了一些配置属性来适应不同的http请求.

FilterSecurityInterceptor可以通过两种方式来配置属性.第一个,如上所述,使用<filter-security-metadata-source>命名空间.它与<http>空间很像,但它的子元素只有pattern,access元素.逗号用来划分不同http url的配置元素.第二选项是写自己的SecurityMetadataSource,但是这个超出了文本文件的内容.无论何种方法,SecurityMetadataSource用来返回关于单个http url的List<ConfigAttribute>.

filter-security-metadata-source的匹配表达式可以通过request-matcher来设置.默认是ant匹配.

<bean id="filterInvocationInterceptor"
	class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager"/>
<property name="runAsManager" ref="runAsManager"/>
<property name="securityMetadataSource">
	<security:filter-security-metadata-source request-matcher="regex">
	<security:intercept-url pattern="\A/secure/super/.*\Z" access="ROLE_WE_DONT_HAVE"/>
	<security:intercept-url pattern="\A/secure/.*\" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
	</security:filter-security-metadata-source>
</property>
</bean>

模式按定义的顺序执行.重要的是指定一些具体模式的顺序在一些模糊模式之前.在我们的例子中,具体路径"/secure/super"的模式在"/secure/"模式之前.如果反转顺序,那么/secure/模式总会匹配,而/secure/super模式不会执行.

14.2 ExceptionTranslationFilter

ExceptionTranslationFilter是基于FilterSecurityInterceptor的栈中的.它本身不参与安全拦截,负责处理安全拦截器抛出的异常,并提供合适的http请求.

<bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">

<property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
<property name="accessDeniedHandler" ref="accessDeniedHandler"/>
<bean/>
<bean id="authenticationEntryPoint"
class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
<property name="loginFormUrl" value="/login.jsp"/>
</bean>
<bean id="accessDeniedHandler"
	class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
<property name="errorPage" value="/accessDenied.htm"/>

###14.2.1 AuthenticationEntryPoint

当你访问一个收保护的资源而没有认证时,AuthenticationEntryPoint就会被调用.此时你希望调用的是LoginUrlAuthenticationEntryPoint,它会重定向到不同的url中.

###14.2.2 AccessDeniedHandler

有时已认证的用户会访问被保护的资源会失败.例如,一个user的用户访问admin的资源,有时是直接用html连接,有时是restful的参数问题.通常需要在web层验证,或在服务层的接口固定调用许可.

如果一个AccessDeniedException被抛出,如果用户已被认证,那么ExceptiontranslationFilter会启用第二种方案,AccessDeniedHandler.一般它会返回403的状态码,另外你可以指定一个错误页面.它可以是简单的"access denied"页面,也可以是jsp,还可以实现自己的接口.

你也可以实现一个自定义的AccessDeniedHandler.

###14.2.3 SavedRequest and the RequestCache Interface 异常转化器的另一个职责是在调用AuthenticationEntryPoint之前保存当前请求.当用户被认证之后,它允许请求重置.典型的例子,如表单登陆.一般它可以通过SavedRequestAwareAuthenticationSuccessHandler进行重定向.

RequestCache的一个作用就是存储和恢复HttpServletRequest实例.当HttpSessionRequestCache被使用时,它会在httpSession中存储请求.RequestCacheFilter的工作就是从缓存中取出已保存的请求,并将它们重定向到原来的url中.

##14.3 SecurityContextPersistenceFilter 基本配置如下:

<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter"/>

它的职责是存储http请求之间的securityContext内容,并在请求完成之后清空SecurityContextHolder.如果不清空ThreadLocal,当它被容器线程池回收时,关于用户的上下文信息就会一直储存.这个线程可能会在以后的阶段使用错误的认证信息继续执行.

14.3.1 SecurityContextRepository

spring security 3.0,负载和存储security上下文是由一个单独的策略接口完成的:

public interface SecurityContextRepository{
	SecurityContext loadContext(HttpRequestResponseHolder requestResponseHodler);
	void saveContext(SecurityContext context,HttpServletRequest,request,HttpServletResponse response);
}

HttpRequestResponseHolder,包含了到来的请求和返回信息,并替换他们.它返回的内容会通过拦截链.

其默认实现是HttpSessionSecurityContextRepository,它将security上下文作为httpSesion的一个属性来存储.重要属性,allowSessionCreation,默认值是true.它允许类在需要存储认证用户上下文时来创建一个session.(只有当认证发生,且上下文内容改变才创建).如果你不想创建session,你需要将属性设为false.

<bean id="securityContextPersistenceFilter"
	class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
<property name='securityContextRepository'>
	<bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'>
	<property name='allowSessionCreation' value='false' />
	</bean>
</property>
</bean>

另外,你也可使用一个NullSecurityContextRepository的实例,一个空的对象实现.这样会阻止安全上下文存储.即使session已经存在. ##14.4 UsernamePasswordAuthenticationFilter form-login元素的配置,有三个方面需要配置

  • 在loginUrlAuthenticationEntryPoint配置登陆页的url.就像之前一样,并在ExceptionTranslationFilter中设置

  • 实现登陆页(使用 jsp或mvc控制器)

  • 在应用上下文中配置UsernamePasswordAuthenticationFilter的实例

  • 在你的拦截器代理中添加拦截器bean(认真排序)

登陆表单包含username和password两个字段,默认路径是URl.基本的拦截器配置如下:

<bean id="authenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
<property name="authenticationManager" ref="authenticationManager"/>
</bean>

###14.4.1 认证成功或失败的流向

成功或失败都是有AuthenticationSuccessHandler或AuthenticationFailureHandler策略接口分别决定的.现在有SimpleUrlAuthenticationSuccessHandler,SaveRequestAwareAuthenticationSuccessHandler,SimpleUrlAuthenticationFailureHandler,ExceptionMappingAuthenticationFailureHandler and DelegatingAuthenticationFailureHandler.可以查看文档了解更多.

如果认证成功,则AuthenticationSuccessHandler会调用,并重定向到合适的目的地.默认是使用SavedRequestAwareAuthenticationSuccessHandler,登陆成功后会重定向到原始目的地.

© 著作权归作者所有

共有 人打赏支持
流光韶逝
粉丝 19
博文 100
码字总数 126946
作品 0
济南
程序员
私信 提问
运行时动态的开关 Spring Security

为什么要在运行时动态的开关 Spring Security? 考虑这样一个场景,当我们构建了一整套微服务架构的系统后,公司某个内部的老系统也感受到了微服务架构的好处,包括实时监控,限流,熔断,高可...

OSC首席混子
2018/12/18
0
0
Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密...

小致dad
2018/08/03
0
0
spring-security详解

spring-security详解 引入依赖 1⃣️authorizeRequests()配置路径拦截,表明路径访问所对应的权限,角色,认证信息。 2⃣️formLogin()对应表单认证相关的配置 3⃣️httpBasic()可以配置bas...

三根头发
2018/10/15
0
0
Spring Security--核心过滤器源码分析

我们已经知道Spring Security使用了springSecurityFillterChian作为了安全过滤的入口,这里主要分析一下这个过滤器链都包含了哪些关键的过滤器,并且各自的使命是什么。 过滤器详解 核心过滤...

小致dad
2018/08/04
0
0
spring security2.X 添加验证码

ps:这个是spring security 2.x适用! 如何搭建struts2+hibernate+spring+spring security ,可以看我以前写的一篇文章:http://my.oschina.net/BeyondBit/blog/64465 今天我们来介绍一下sprin...

Beyond-Bit
2013/02/18
0
0

没有更多内容

加载失败,请刷新页面

加载更多

mysql 查询当天、本周,本月,上一个月的数据

今天 select * from 表名 where to_days(时间字段名) = to_days(now()); 昨天 SELECT * FROM 表名 WHERE TO_DAYS( NOW( ) ) - TO_DAYS( 时间字段名) <= 1 近7天 SELECT * FROM 表名 wher......

BraveLN
49分钟前
2
0
Android Multimedia框架总结(六)C++中MediaPlayer的C/S架构

前面几节中,都是通过java层调用到jni中,jni向下到c++层并未介绍 看下Java层一个方法在c++层 MediaPlayer后续过程 frameworks/av/media/libmedia/MediaPlayer.cpp 找一个我们之前熟悉的setDa...

天王盖地虎626
今天
2
0
【Linux】【MySQL】CentOS7安装最新版MySQL8.0.13(最新版MySQL从安装到运行)

1、前言   框框博客在线报时:2018-11-07 19:31:06   当前MySQL最新版本:8.0.13 (听说比5.7快2倍)   官方之前表示:MySQL 8.0 正式版 8.0.11 已发布,MySQL 8 要比 MySQL 5.7 快 2 ...

Code辉
今天
3
0
oracle dg备库重建redolog:ora-00313,ora-00312

trace文件: Errors in file /crbank/dbs/app/product/diag/rdbms/rdbs/dbs/trace/dbs_mrp0_24445130.trc: ORA-00313: open failed for members of log group 8 of thread 1 ORA-00312: onl......

hnairdb
今天
1
0
深入分析Java I/O的工作机制 (一)

1.Java的I/O类库的基本架构 先说一下什么是类库:可以说是类的集合,类库包括接口、抽象类、具体类等。 I/O是机器获取和交互信息的主要渠道。 java在I/O上也一直在做持续的优化,在1.4版开始...

java菜分享
今天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部