Spring Security常見(jiàn)的15個(gè)攔截器

創(chuàng)新互聯(lián)建站專(zhuān)業(yè)為企業(yè)提供東昌網(wǎng)站建設(shè)、東昌做網(wǎng)站、東昌網(wǎng)站設(shè)計(jì)、東昌網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、東昌企業(yè)網(wǎng)站模板建站服務(wù)，10余年東昌做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

1 . org.springframework.security.web.context.SecurityContextPersistenceFilter

首當(dāng)其沖的一個(gè)過(guò)濾器，作用之重要，自不必多言。

• SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一個(gè)
• SecurityContext，并將SecurityContext給以后的過(guò)濾器使用，來(lái)為后續(xù)filter建立所需的上下文。
• SecurityContext中存儲(chǔ)了當(dāng)前用戶的認(rèn)證以及權(quán)限信息。

2 . org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter

此過(guò)濾器用于集成SecurityContext到Spring異步執(zhí)行機(jī)制中的WebAsyncManager

3 . org.springframework.security.web.header.HeaderWriterFilter

向請(qǐng)求的Header中添加相應(yīng)的信息,可在http標(biāo)簽內(nèi)部使用security:headers來(lái)控制

4 . org.springframework.security.web.csrf.CsrfFilter

csrf又稱跨域請(qǐng)求偽造，SpringSecurity會(huì)對(duì)所有post請(qǐng)求驗(yàn)證是否包含系統(tǒng)生成的csrf的token信息，

如果不包含，則報(bào)錯(cuò)。起到防止csrf攻擊的效果。

5. org.springframework.security.web.authentication.logout.LogoutFilter

匹配 URL為/logout的請(qǐng)求，實(shí)現(xiàn)用戶退出,清除認(rèn)證信息。

6 . org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

認(rèn)證操作全靠這個(gè)過(guò)濾器，默認(rèn)匹配URL為/login且必須為POST請(qǐng)求。

7 . org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

如果沒(méi)有在配置文件中指定認(rèn)證頁(yè)面，則由該過(guò)濾器生成一個(gè)默認(rèn)認(rèn)證頁(yè)面。

8 . org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter

由此過(guò)濾器可以生產(chǎn)一個(gè)默認(rèn)的退出登錄頁(yè)面

9 . org.springframework.security.web.authentication.www.BasicAuthenticationFilter

此過(guò)濾器會(huì)自動(dòng)解析HTTP請(qǐng)求中頭部名字為Authentication，且以Basic開(kāi)頭的頭信息。

10 . org.springframework.security.web.savedrequest.RequestCacheAwareFilter

通過(guò)HttpSessionRequestCache內(nèi)部維護(hù)了一個(gè)RequestCache，用于緩存HttpServletRequest

11 . org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

針對(duì)ServletRequest進(jìn)行了一次包裝，使得request具有更加豐富的API

12 . org.springframework.security.web.authentication.AnonymousAuthenticationFilter

當(dāng)SecurityContextHolder中認(rèn)證信息為空,則會(huì)創(chuàng)建一個(gè)匿名用戶存入到SecurityContextHolder中。

spring security為了兼容未登錄的訪問(wèn)，也走了一套認(rèn)證流程，只不過(guò)是一個(gè)匿名的身份。

13 . org.springframework.security.web.session.SessionManagementFilter

SecurityContextRepository限制同一用戶開(kāi)啟多個(gè)會(huì)話的數(shù)量

14 . org.springframework.security.web.access.ExceptionTranslationFilter

異常轉(zhuǎn)換過(guò)濾器位于整個(gè)springSecurityFilterChain的后方，用來(lái)轉(zhuǎn)換整個(gè)鏈路中出現(xiàn)的異常

15 . org.springframework.security.web.access.intercept.FilterSecurityInterceptor

獲取所配置資源訪問(wèn)的授權(quán)信息，根據(jù)SecurityContextHolder中存儲(chǔ)的用戶信息來(lái)決定其是否有權(quán)限。

那么，是不是spring security一共就這么多過(guò)濾器呢？答案是否定的！隨著spring-security.xml配置的添加，還
會(huì)出現(xiàn)新的過(guò)濾器。

那么，是不是spring security每次都會(huì)加載這些過(guò)濾器呢？答案也是否定的！隨著spring-security.xml配置的修
改，有些過(guò)濾器可能會(huì)被去掉。

spring security 過(guò)濾器鏈加載原理

public class DelegatingFilterProxy extends GenericFilterBean {
@Nullable
private String contextAttribute;
@Nullable
private WebApplicationContext webApplicationContext;
@Nullable
private String targetBeanName;
private boolean targetFilterLifecycle;
@Nullable
private volatile Filter delegate;//注：這個(gè)過(guò)濾器才是真正加載的過(guò)濾器
private final Object delegateMonitor;
//注：doFilter才是過(guò)濾器的入口，直接從這看！
public void doFilter(ServletRequest request, ServletResponse response, FilterChain
filterChain) throws ServletException, IOException {
Filter delegateToUse = this.delegate;
if (delegateToUse == null) {
synchronized(this.delegateMonitor) {
delegateToUse = this.delegate;
if (delegateToUse == null) {
WebApplicationContext wac = this.findWebApplicationContext();
if (wac == null) {
throw new IllegalStateException("No WebApplicationContext found: no
ContextLoaderListener or DispatcherServlet registered?");
}
//第一步：doFilter中最重要的一步，初始化上面私有過(guò)濾器屬性delegate
delegateToUse = this.initDelegate(wac);
}
this.delegate = delegateToUse;
}
}
//第三步：執(zhí)行FilterChainProxy過(guò)濾器
this.invokeDelegate(delegateToUse, request, response, filterChain);
}
//第二步：直接看最終加載的過(guò)濾器到底是誰(shuí)
protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
//debug得知targetBeanName為：springSecurityFilterChain
String targetBeanName = this.getTargetBeanName();
Assert.state(targetBeanName != null, "No target bean name set");
//debug得知delegate對(duì)象為：FilterChainProxy
Filter delegate = (Filter)wac.getBean(targetBeanName, Filter.class);
if (this.isTargetFilterLifecycle()) {
delegate.init(this.getFilterConfig());
}
return delegate;
}
protected void invokeDelegate(Filter delegate, ServletRequest request, ServletResponse
response, FilterChain filterChain) throws ServletException, IOException {
delegate.doFilter(request, response, filterChain);
}
}

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)建站jinyejixie.com，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文標(biāo)題：SpringSecurity常用過(guò)濾器實(shí)例解析-創(chuàng)新互聯(lián)
文章起源：http://jinyejixie.com/article8/deopip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、搜索引擎優(yōu)化、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)