文档章节

spring security 核心过滤器

流光韶逝
 流光韶逝
发布于 2017/06/01 17:38
字数 1389
阅读 27
收藏 1

#14. Core Security Filter 有很多关键过滤器在spring 安全的项目中总是使用,所以我们可以查看这些支持的类和接口.想要全面了解,请查看javadoc.

##14.1 FilterSecurityInterceptor

一个典型的配置如下

<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager" />
<property name="securityMetadataSource">
		<security:filter-security-metadata-source>
		<security:intercept-url pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
		<security:intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER">
</property>

FilterSecurityInterceptor主要保护http资源的安全.它要求一个AuthenticationManager和一个AccessDecisionManager的引用.它也提供了一些配置属性来适应不同的http请求.

FilterSecurityInterceptor可以通过两种方式来配置属性.第一个,如上所述,使用<filter-security-metadata-source>命名空间.它与<http>空间很像,但它的子元素只有pattern,access元素.逗号用来划分不同http url的配置元素.第二选项是写自己的SecurityMetadataSource,但是这个超出了文本文件的内容.无论何种方法,SecurityMetadataSource用来返回关于单个http url的List<ConfigAttribute>.

filter-security-metadata-source的匹配表达式可以通过request-matcher来设置.默认是ant匹配.

<bean id="filterInvocationInterceptor"
	class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager"/>
<property name="runAsManager" ref="runAsManager"/>
<property name="securityMetadataSource">
	<security:filter-security-metadata-source request-matcher="regex">
	<security:intercept-url pattern="\A/secure/super/.*\Z" access="ROLE_WE_DONT_HAVE"/>
	<security:intercept-url pattern="\A/secure/.*\" access="ROLE_SUPERVISOR,ROLE_TELLER"/>
	</security:filter-security-metadata-source>
</property>
</bean>

模式按定义的顺序执行.重要的是指定一些具体模式的顺序在一些模糊模式之前.在我们的例子中,具体路径"/secure/super"的模式在"/secure/"模式之前.如果反转顺序,那么/secure/模式总会匹配,而/secure/super模式不会执行.

14.2 ExceptionTranslationFilter

ExceptionTranslationFilter是基于FilterSecurityInterceptor的栈中的.它本身不参与安全拦截,负责处理安全拦截器抛出的异常,并提供合适的http请求.

<bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">

<property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
<property name="accessDeniedHandler" ref="accessDeniedHandler"/>
<bean/>
<bean id="authenticationEntryPoint"
class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
<property name="loginFormUrl" value="/login.jsp"/>
</bean>
<bean id="accessDeniedHandler"
	class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
<property name="errorPage" value="/accessDenied.htm"/>

###14.2.1 AuthenticationEntryPoint

当你访问一个收保护的资源而没有认证时,AuthenticationEntryPoint就会被调用.此时你希望调用的是LoginUrlAuthenticationEntryPoint,它会重定向到不同的url中.

###14.2.2 AccessDeniedHandler

有时已认证的用户会访问被保护的资源会失败.例如,一个user的用户访问admin的资源,有时是直接用html连接,有时是restful的参数问题.通常需要在web层验证,或在服务层的接口固定调用许可.

如果一个AccessDeniedException被抛出,如果用户已被认证,那么ExceptiontranslationFilter会启用第二种方案,AccessDeniedHandler.一般它会返回403的状态码,另外你可以指定一个错误页面.它可以是简单的"access denied"页面,也可以是jsp,还可以实现自己的接口.

你也可以实现一个自定义的AccessDeniedHandler.

###14.2.3 SavedRequest and the RequestCache Interface 异常转化器的另一个职责是在调用AuthenticationEntryPoint之前保存当前请求.当用户被认证之后,它允许请求重置.典型的例子,如表单登陆.一般它可以通过SavedRequestAwareAuthenticationSuccessHandler进行重定向.

RequestCache的一个作用就是存储和恢复HttpServletRequest实例.当HttpSessionRequestCache被使用时,它会在httpSession中存储请求.RequestCacheFilter的工作就是从缓存中取出已保存的请求,并将它们重定向到原来的url中.

##14.3 SecurityContextPersistenceFilter 基本配置如下:

<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter"/>

它的职责是存储http请求之间的securityContext内容,并在请求完成之后清空SecurityContextHolder.如果不清空ThreadLocal,当它被容器线程池回收时,关于用户的上下文信息就会一直储存.这个线程可能会在以后的阶段使用错误的认证信息继续执行.

14.3.1 SecurityContextRepository

spring security 3.0,负载和存储security上下文是由一个单独的策略接口完成的:

public interface SecurityContextRepository{
	SecurityContext loadContext(HttpRequestResponseHolder requestResponseHodler);
	void saveContext(SecurityContext context,HttpServletRequest,request,HttpServletResponse response);
}

HttpRequestResponseHolder,包含了到来的请求和返回信息,并替换他们.它返回的内容会通过拦截链.

其默认实现是HttpSessionSecurityContextRepository,它将security上下文作为httpSesion的一个属性来存储.重要属性,allowSessionCreation,默认值是true.它允许类在需要存储认证用户上下文时来创建一个session.(只有当认证发生,且上下文内容改变才创建).如果你不想创建session,你需要将属性设为false.

<bean id="securityContextPersistenceFilter"
	class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
<property name='securityContextRepository'>
	<bean class='org.springframework.security.web.context.HttpSessionSecurityContextRepository'>
	<property name='allowSessionCreation' value='false' />
	</bean>
</property>
</bean>

另外,你也可使用一个NullSecurityContextRepository的实例,一个空的对象实现.这样会阻止安全上下文存储.即使session已经存在. ##14.4 UsernamePasswordAuthenticationFilter form-login元素的配置,有三个方面需要配置

  • 在loginUrlAuthenticationEntryPoint配置登陆页的url.就像之前一样,并在ExceptionTranslationFilter中设置

  • 实现登陆页(使用 jsp或mvc控制器)

  • 在应用上下文中配置UsernamePasswordAuthenticationFilter的实例

  • 在你的拦截器代理中添加拦截器bean(认真排序)

登陆表单包含username和password两个字段,默认路径是URl.基本的拦截器配置如下:

<bean id="authenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
<property name="authenticationManager" ref="authenticationManager"/>
</bean>

###14.4.1 认证成功或失败的流向

成功或失败都是有AuthenticationSuccessHandler或AuthenticationFailureHandler策略接口分别决定的.现在有SimpleUrlAuthenticationSuccessHandler,SaveRequestAwareAuthenticationSuccessHandler,SimpleUrlAuthenticationFailureHandler,ExceptionMappingAuthenticationFailureHandler and DelegatingAuthenticationFailureHandler.可以查看文档了解更多.

如果认证成功,则AuthenticationSuccessHandler会调用,并重定向到合适的目的地.默认是使用SavedRequestAwareAuthenticationSuccessHandler,登陆成功后会重定向到原始目的地.

© 著作权归作者所有

共有 人打赏支持
流光韶逝
粉丝 19
博文 97
码字总数 126673
作品 0
济南
程序员
Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密...

小致dad
08/03
0
0
Spring Security--核心过滤器源码分析

我们已经知道Spring Security使用了springSecurityFillterChian作为了安全过滤的入口,这里主要分析一下这个过滤器链都包含了哪些关键的过滤器,并且各自的使命是什么。 过滤器详解 核心过滤...

小致dad
08/04
0
0
spring security2.X 添加验证码

ps:这个是spring security 2.x适用! 如何搭建struts2+hibernate+spring+spring security ,可以看我以前写的一篇文章:http://my.oschina.net/BeyondBit/blog/64465 今天我们来介绍一下sprin...

Beyond-Bit
2013/02/18
0
0
【Spring Security】基本原理(一)

介绍 SpringSecurity核心功能:认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份) 原理 REST API:相当于应用的controller,用户的增删该查的一些服务 Spring Secur...

zlt995768025
04/29
0
0
《Spring Security3》第二章第二部分翻译

三步之内使我们的应用变得安全 尽管Spring Security的配置可能会很难,但是它的作者是相当为我们着想的,因为他们为我们提供了一种简单的机制来使用它很多的功能并可以此作为起点。以这个为起...

小样
2012/03/07
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Java 并发编程原理

为什么要使用多线程? 通过多线程提高吞吐量 伸缩性比较好,可以增加 CPU 核心来提高程序性能 什么场景下使用多线程? 如:tomcat BIO Java 如何实现多线程? Thread、Runnable、ExecutorSer...

aelchao
14分钟前
0
0
谨慎的覆盖clone方法

说在前面 有些专家级程序员干脆从来不去覆盖clone方法,也从来不去调用它,除非拷贝数组。 其他方式 可以提供一个构造函数或者工厂去实现clone功能。 相比于clone,它们有如下优势: 不依赖于...

XuePeng77
15分钟前
0
0
什么是最适合云数据库的架构设计?

分布式数据库技术发展多年,但是在应用、业务的驱动下,分布式数据库的架构一直在不断发展和演进。 开源金融级分布式数据库SequoiaDB,经过6年的研发,坚持从零开始打造数据库核心引擎。在技...

巨杉数据库
24分钟前
0
0
源码模仿之RPC

源码模仿之RPC RPC - 远程过程调用,概念不多赘述,可自行百度。 场景 统一api接口 生产者(提供远程接口调用方) 使用者(主动调用远程接口) 代码实现 API接口(公共依赖包) DemoEntity (...

GMarshal
25分钟前
0
0
Linux之安装Tomcat8

最近要在Linux上安装Tomcat,记录下 1.进入tomcat8的安装目录 List-1 root@iZwz9bjiawhqzfsklyht4rZ bin]# pwd/opt/app/tomcat8/bin[root@iZwz9bjiawhqzfsklyht4rZ bin]# ll总用量 83......

克虏伯
25分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部