spring security 核心过滤器
spring security 核心过滤器
流光韶逝 发表于6个月前
spring security 核心过滤器
  • 发表于 6个月前
  • 阅读 22
  • 收藏 1
  • 点赞 0
  • 评论 0

腾讯云 技术升级10大核心产品年终让利>>>   

摘要: 主要介绍spring的拦截器. filterSecurityInterceptor,ExceptionTranslationFilter,AuthenticationEntryPoint,AccessDeniedHandler,RequestCacheFilter,SecurityContextPersistenceFilter,UsernamePasswordAuthenticationFilter.应该还有rememberMeFilter,BasicAuthenticationFilter,DigestAuthenticationFilter

#14. Core Security Filter 有很多关键过滤器在spring 安全的项目中总是使用,所以我们可以查看这些支持的类和接口.想要全面了解,请查看javadoc.

##14.1 FilterSecurityInterceptor

一个典型的配置如下

<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager" />
<property name="securityMetadataSource">
		<security:filter-security-metadata-source>
		<security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
		<security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER">
</property>

FilterSecurityInterceptor主要保护http资源的安全.它要求一个AuthenticationManager和一个AccessDecisionManager的引用.它也提供了一些配置属性来适应不同的http请求.

FilterSecurityInterceptor可以通过两种方式来配置属性.第一个,如上所述,使用<filter-security-metadata-source>命名空间.它与<http>空间很像,但它的子元素只有pattern,access元素.逗号用来划分不同http url的配置元素.第二选项是写自己的SecurityMetadataSource,但是这个超出了文本文件的内容.无论何种方法,SecurityMetadataSource用来返回关于单个http url的List<ConfigAttribute>.

filter-security-metadata-source的匹配表达式可以通过request-matcher来设置.默认是ant匹配.

<bean id="filterInvocationInterceptor"
	class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager"/>
<property name="runAsManager" ref="runAsManager"/>
<property name="securityMetadataSource">
	<security:filter-security-metadata-source request-matcher="regex">
	<security:intercept-url pattern="\A/secure/super/.*\Z" access="ROLE_WE_DONT_HAVE"/>
	<security:intercept-url pattern="\A/secure/.*\" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
	</security:filter-security-metadata-source>
</property>
</bean>

模式按定义的顺序执行.重要的是指定一些具体模式的顺序在一些模糊模式之前.在我们的例子中,具体路径"/secure/super"的模式在"/secure/"模式之前.如果反转顺序,那么/secure/模式总会匹配,而/secure/super模式不会执行.

14.2 ExceptionTranslationFilter

ExceptionTranslationFilter是基于FilterSecurityInterceptor的栈中的.它本身不参与安全拦截,负责处理安全拦截器抛出的异常,并提供合适的http请求.

<bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">

<property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
<property name="accessDeniedHandler" ref="accessDeniedHandler"/>
<bean/>
<bean id="authenticationEntryPoint"
class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
<property name="loginFormUrl" value="/login.jsp"/>
</bean>
<bean id="accessDeniedHandler"
	class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
<property name="errorPage" value="/accessDenied.htm"/>

###14.2.1 AuthenticationEntryPoint

当你访问一个收保护的资源而没有认证时,AuthenticationEntryPoint就会被调用.此时你希望调用的是LoginUrlAuthenticationEntryPoint,它会重定向到不同的url中.

###14.2.2 AccessDeniedHandler

有时已认证的用户会访问被保护的资源会失败.例如,一个user的用户访问admin的资源,有时是直接用html连接,有时是restful的参数问题.通常需要在web层验证,或在服务层的接口固定调用许可.

如果一个AccessDeniedException被抛出,如果用户已被认证,那么ExceptiontranslationFilter会启用第二种方案,AccessDeniedHandler.一般它会返回403的状态码,另外你可以指定一个错误页面.它可以是简单的"access denied"页面,也可以是jsp,还可以实现自己的接口.

你也可以实现一个自定义的AccessDeniedHandler.

###14.2.3 SavedRequest and the RequestCache Interface 异常转化器的另一个职责是在调用AuthenticationEntryPoint之前保存当前请求.当用户被认证之后,它允许请求重置.典型的例子,如表单登陆.一般它可以通过SavedRequestAwareAuthenticationSuccessHandler进行重定向.

RequestCache的一个作用就是存储和恢复HttpServletRequest实例.当HttpSessionRequestCache被使用时,它会在httpSession中存储请求.RequestCacheFilter的工作就是从缓存中取出已保存的请求,并将它们重定向到原来的url中.

##14.3 SecurityContextPersistenceFilter 基本配置如下:

<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter"/>

它的职责是存储http请求之间的securityContext内容,并在请求完成之后清空SecurityContextHolder.如果不清空ThreadLocal,当它被容器线程池回收时,关于用户的上下文信息就会一直储存.这个线程可能会在以后的阶段使用错误的认证信息继续执行.

14.3.1 SecurityContextRepository

spring security 3.0,负载和存储security上下文是由一个单独的策略接口完成的:

public interface SecurityContextRepository{
	SecurityContext loadContext(HttpRequestResponseHolder requestResponseHodler);
	void saveContext(SecurityContext context,HttpServletRequest,request,HttpServletResponse response);
}

HttpRequestResponseHolder,包含了到来的请求和返回信息,并替换他们.它返回的内容会通过拦截链.

其默认实现是HttpSessionSecurityContextRepository,它将security上下文作为httpSesion的一个属性来存储.重要属性,allowSessionCreation,默认值是true.它允许类在需要存储认证用户上下文时来创建一个session.(只有当认证发生,且上下文内容改变才创建).如果你不想创建session,你需要将属性设为false.

<bean id="securityContextPersistenceFilter"
	class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
<property name='securityContextRepository'>
	<bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'>
	<property name='allowSessionCreation' value='false' />
	</bean>
</property>
</bean>

另外,你也可使用一个NullSecurityContextRepository的实例,一个空的对象实现.这样会阻止安全上下文存储.即使session已经存在. ##14.4 UsernamePasswordAuthenticationFilter form-login元素的配置,有三个方面需要配置

  • 在loginUrlAuthenticationEntryPoint配置登陆页的url.就像之前一样,并在ExceptionTranslationFilter中设置

  • 实现登陆页(使用 jsp或mvc控制器)

  • 在应用上下文中配置UsernamePasswordAuthenticationFilter的实例

  • 在你的拦截器代理中添加拦截器bean(认真排序)

登陆表单包含username和password两个字段,默认路径是URl.基本的拦截器配置如下:

<bean id="authenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
<property name="authenticationManager" ref="authenticationManager"/>
</bean>

###14.4.1 认证成功或失败的流向

成功或失败都是有AuthenticationSuccessHandler或AuthenticationFailureHandler策略接口分别决定的.现在有SimpleUrlAuthenticationSuccessHandler,SaveRequestAwareAuthenticationSuccessHandler,SimpleUrlAuthenticationFailureHandler,ExceptionMappingAuthenticationFailureHandler and DelegatingAuthenticationFailureHandler.可以查看文档了解更多.

如果认证成功,则AuthenticationSuccessHandler会调用,并重定向到合适的目的地.默认是使用SavedRequestAwareAuthenticationSuccessHandler,登陆成功后会重定向到原始目的地.

共有 人打赏支持
粉丝 18
博文 88
码字总数 124661
×
流光韶逝
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: