`
kobe学java
  • 浏览: 258467 次
  • 性别: Icon_minigender_1
  • 来自: 苏州
社区版块
存档分类
最新评论

spring security 源码分析: 过滤器

 
阅读更多

首先 请求进入 FilterChainProxy 这个类

 

   FilterChainProxy.java

Java代码   收藏代码
  1. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
  2.            throws IOException, ServletException {  
  3.   
  4.        FilterInvocation fi = new FilterInvocation(request, response, chain);  
  5.        List<Filter> filters = getFilters(fi.getRequestUrl());  
  6.   
  7.        if (filters == null || filters.size() == 0) {  
  8.            if (logger.isDebugEnabled()) {  
  9.                logger.debug(fi.getRequestUrl() +  
  10.                        filters == null ? " has no matching filters" : " has an empty filter list");  
  11.            }  
  12.   
  13.            chain.doFilter(request, response);  
  14.   
  15.            return;  
  16.        }  
  17.   
  18.        VirtualFilterChain virtualFilterChain = new VirtualFilterChain(fi, filters);  
  19.        virtualFilterChain.doFilter(fi.getRequest(), fi.getResponse());  
  20.    }  
  21. ublic List<Filter> getFilters(String url)  {  
  22.        if (stripQueryStringFromUrls) {  
  23.            // String query string - see SEC-953  
  24.            int firstQuestionMarkIndex = url.indexOf("?");  
  25.   
  26.            if (firstQuestionMarkIndex != -1) {  
  27.                url = url.substring(0, firstQuestionMarkIndex);  
  28.            }  
  29.        }  
  30.   
  31.        for (Map.Entry<Object, List<Filter>> entry : filterChainMap.entrySet()) {  
  32.            Object path = entry.getKey();  
  33.   
  34.            if (matcher.requiresLowerCaseUrl()) {  
  35.                url = url.toLowerCase();  
  36.   
  37.                if (logger.isDebugEnabled()) {  
  38.                    logger.debug("Converted URL to lowercase, from: '" + url + "'; to: '" + url + "'");  
  39.                }  
  40.            }  
  41.   
  42.            boolean matched = matcher.pathMatchesUrl(path, url);  
  43.   
  44.            if (logger.isDebugEnabled()) {  
  45.                logger.debug("Candidate is: '" + url + "'; pattern is " + path + "; matched=" + matched);  
  46.            }  
  47.   
  48.            if (matched) {  
  49.                return entry.getValue();  
  50.            }  
  51.        }  
  52.   
  53.        return null;  
  54.    }  

 

   可以看出, FilterInvocation 是见 request 和 response ,chain 只是进行了封装, 然后根据 url 来判断这个请求是否需要进行拦截, 这里 getFilter() 方法是查询的 intercepter-url 中配置的 内容。(这里具体的内容在下面)

   接下来就是执行所有的List<Filter> 。执行完所有的List<Filter>之后会继续执行容器的filterChain

   VirtualFilterChain.java 这是 FilterChainProxy 的内部类

Java代码   收藏代码
  1. public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {  
  2.           <span style="color: #ff0000;">  if (currentPosition == additionalFilters.size()) {  
  3.                </span> if (logger.isDebugEnabled()) {  
  4.                     logger.debug(fi.getRequestUrl()  
  5.                         + " reached end of additional filter chain; proceeding with original chain");  
  6.                 }  
  7. <span style="color: #ff0000;">  
  8.                 fi.getChain().doFilter(request, response);</span>  
  9.             } else {  
  10.                 currentPosition++;  
  11.   
  12.                 Filter nextFilter = additionalFilters.get(currentPosition - 1);  
  13.   
  14.                 if (logger.isDebugEnabled()) {  
  15.                     logger.debug(fi.getRequestUrl() + " at position " + currentPosition + " of "  
  16.                         + additionalFilters.size() + " in additional filter chain; firing Filter: '"  
  17.                         + nextFilter + "'");  
  18.                 }  
  19.   
  20.                nextFilter.doFilter(request, response, this);  
  21.             }  
  22.         }  
 

   下面先按顺序分析各Filter的作用 (security默认添加的filterChain,共11个 还有大概4,5个没有涉及到,以后涉及到再进行添加)

      1.org.springframework.security.web.context.SecurityContextPersistenceFilter

          (2.0中是这个HttpSessionContextIntegrationFilter

        从这个类所在的包路径  context,大致知道这个类 只处理 上下文 

Java代码   收藏代码
  1. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)            
  2.             throws IOException, ServletException {  
  3.        HttpServletRequest request = (HttpServletRequest) req;  
  4.        HttpServletResponse response = (HttpServletResponse) res;  
  5.   
  6.        if (request.getAttribute(FILTER_APPLIED) != null) {  
  7.            // ensure that filter is only applied once per request  
  8.            chain.doFilter(request, response);  
  9.            return;  
  10.        }  
  11.   
  12.        final boolean debug = logger.isDebugEnabled();  
  13.   
  14.        request.setAttribute(FILTER_APPLIED, Boolean.TRUE);  
  15.   
  16.        if (forceEagerSessionCreation) {  
  17.            HttpSession session = request.getSession();  
  18.   
  19.            if (debug && session.isNew()) {  
  20.                logger.debug("Eagerly created session: " + session.getId());  
  21.            }  
  22.        }  
  23.   
  24.        HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);  
  25.        SecurityContext contextBeforeChainExecution = repo.loadContext(holder);  
  26.   
  27.        try {  
  28.            SecurityContextHolder.setContext(contextBeforeChainExecution);  
  29.   
  30.            chain.doFilter(holder.getRequest(), holder.getResponse());  
  31.   
  32.        } finally {  
  33.            SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();  
  34.            // Crucial removal of SecurityContextHolder contents - do this before anything else.  
  35.            SecurityContextHolder.clearContext();  
  36.            repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());  
  37.            request.removeAttribute(FILTER_APPLIED);  
  38.   
  39.            if (debug) {  
  40.                logger.debug("SecurityContextHolder now cleared, as request processing completed");  
  41.            }  
  42.        }  
  43.    }  
 

    从代码看: 在一次request中只执行一次,并生成 SecurityContext(从session中读取,如果session中没有就创建一个新的),注册到 SecurityContextHolder中,当请求执行完后,清除该SecurityContext 和request中的 filter_applied 属性。在源码中类注释提到: 这个类 一次请求中只能执行一次,并且它应该在 任何认证过程之前 执行。

   ============================华丽丽的分割线===========================

2,org.springframework.security.web.authentication.logout.LogoutFilter

Java代码   收藏代码
  1. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
  2.             throws IOException, ServletException {  
  3.         HttpServletRequest request = (HttpServletRequest) req;  
  4.         HttpServletResponse response = (HttpServletResponse) res;  
  5.   
  6.         if (requiresLogout(request, response)) {  
  7.             Authentication auth = SecurityContextHolder.getContext().getAuthentication();  
  8.   
  9.             if (logger.isDebugEnabled()) {  
  10.                 logger.debug("Logging out user '" + auth + "' and transferring to logout destination");  
  11.             }  
  12.   
  13.             for (LogoutHandler handler : handlers) {  
  14.                 handler.logout(request, response, auth);  
  15.             }  
  16.   
  17.             logoutSuccessHandler.onLogoutSuccess(request, response, auth);  
  18.   
  19.             return;  
  20.         }  
  21.   
  22.         chain.doFilter(request, response);  
  23.     }  
  24.   
  25.     /** 
  26.      * Allow subclasses to modify when a logout should take place. 
  27.      * 
  28.      * @param request the request 
  29.      * @param response the response 
  30.      * 
  31.      * @return <code>true</code> if logout should occur, <code>false</code> otherwise 
  32.      */  
  33.     protected boolean requiresLogout(HttpServletRequest request, HttpServletResponse response) {  
  34.         String uri = request.getRequestURI();  
  35.         int pathParamIndex = uri.indexOf(';');  
  36.   
  37.         if (pathParamIndex > 0) {  
  38.             // strip everything from the first semi-colon  
  39.             uri = uri.substring(0, pathParamIndex);  
  40.         }  
  41.   
  42.         int queryParamIndex = uri.indexOf('?');  
  43.   
  44.         if (queryParamIndex > 0) {  
  45.             // strip everything from the first question mark  
  46.             uri = uri.substring(0, queryParamIndex);  
  47.         }  
  48.   
  49.         if ("".equals(request.getContextPath())) {  
  50.             return uri.endsWith(filterProcessesUrl);  
  51.         }  
  52.   
  53.         return uri.endsWith(request.getContextPath() + filterProcessesUrl);  
  54.     }  

    这个处理比较简单, 只是检查是否为 登出地址,是的话就退出然后返回,不是的话就进行下一个filter。

   这个判断是否为登录地址我感觉很不正常,他判断是否以 logout_url 结尾,直接判断是否相等才对啊。

  而且他根据 contextpath 是否为“” ,其实不用的,直接判断 contextPath+logout_url 即可。

 

Java代码   收藏代码
  1. org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter .java  

 

Java代码   收藏代码
  1. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
  2.             throws IOException, ServletException {  
  3.   
  4.         HttpServletRequest request = (HttpServletRequest) req;  
  5.         HttpServletResponse response = (HttpServletResponse) res;  
  6.   
  7.         if (!requiresAuthentication(request, response)) {  
  8.             chain.doFilter(request, response);  
  9.   
  10.             return;  
  11.         }  
  12.   
  13.         if (logger.isDebugEnabled()) {  
  14.             logger.debug("Request is to process authentication");  
  15.         }  
  16.   
  17.         Authentication authResult;  
  18.   
  19.         try {  
  20.             authResult = attemptAuthentication(request, response);  
  21.             if (authResult == null) {  
  22.                 // return immediately as subclass has indicated that it hasn't completed authentication  
  23.                 return;  
  24.             }  
  25.             sessionStrategy.onAuthentication(authResult, request, response);  
  26.         }  
  27.         catch (AuthenticationException failed) {  
  28.             // Authentication failed  
  29.             unsuccessfulAuthentication(request, response, failed);  
  30.   
  31.             return;  
  32.         }  
  33.   
  34.         // Authentication success  
  35.         if (continueChainBeforeSuccessfulAuthentication) {  
  36.             chain.doFilter(request, response);  
  37.         }  
  38.   
  39.         successfulAuthentication(request, response, authResult);  
  40.     }  
  41.  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {  
  42.         if (postOnly && !request.getMethod().equals("POST")) {  
  43.             throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());  
  44.         }  
  45.   
  46.         String username = obtainUsername(request);  
  47.         String password = obtainPassword(request);  
  48.   
  49.         if (username == null) {  
  50.             username = "";  
  51.         }  
  52.   
  53.         if (password == null) {  
  54.             password = "";  
  55.         }  
  56.   
  57.         username = username.trim();  
  58.   
  59.         UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);  
  60.   
  61.         // Place the last username attempted into HttpSession for views  
  62.         HttpSession session = request.getSession(false);  
  63.   
  64.         if (session != null || getAllowSessionCreation()) {  
  65.             request.getSession().setAttribute(SPRING_SECURITY_LAST_USERNAME_KEY, TextEscapeUtils.escapeEntities(username));  
  66.         }  
  67.   
  68.         // Allow subclasses to set the "details" property  
  69.         setDetails(request, authRequest);  
  70.   
  71.         return this.getAuthenticationManager().authenticate(authRequest);  
  72.     }  
Java代码   收藏代码
  1. public Authentication doAuthentication(Authentication authentication) throws AuthenticationException {  
  2.     Class<? extends Authentication> toTest = authentication.getClass();  
  3.     AuthenticationException lastException = null;  
  4.     Authentication result = null;  
  5.   
  6.     for (AuthenticationProvider provider : getProviders()) {  
  7.         if (!provider.supports(toTest)) {  
  8.             continue;  
  9.         }  
  10.   
  11.         logger.debug("Authentication attempt using " + provider.getClass().getName());  
  12.   
  13.         try {  
  14.             result = provider.authenticate(authentication);  
  15.   
  16.             if (result != null) {  
  17.                 copyDetails(authentication, result);  
  18.                 break;  
  19.             }  
  20.         } catch (AccountStatusException e) {  
  21.             // SEC-546: Avoid polling additional providers if auth failure is due to invalid account status  
  22.             eventPublisher.publishAuthenticationFailure(e, authentication);  
  23.             throw e;  
  24.         } catch (AuthenticationException e) {  
  25.             lastException = e;  
  26.         }  
  27.     }  
  28.   
  29.     if (result == null && parent != null) {  
  30.         // Allow the parent to try.  
  31.         try {  
  32.             result = parent.authenticate(authentication);  
  33.         } catch (ProviderNotFoundException e) {  
  34.             // ignore as we will throw below if no other exception occurred prior to calling parent and the parent  
  35.             // may throw ProviderNotFound even though a provider in the child already handled the request  
  36.         } catch (AuthenticationException e) {  
  37.             lastException = e;  
  38.         }  
  39.     }  
  40.   
  41.     if (result != null) {  
  42.         if (eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {  
  43.             // Authentication is complete. Remove credentials and other secret data from authentication  
  44.             ((CredentialsContainer)result).eraseCredentials();  
  45.         }  
  46.   
  47.         eventPublisher.publishAuthenticationSuccess(result);  
  48.         return result;  
  49.     }  
  50.   
  51.     // Parent was null, or didn't authenticate (or throw an exception).  
  52.   
  53.     if (lastException == null) {  
  54.         lastException = new ProviderNotFoundException(messages.getMessage("ProviderManager.providerNotFound",  
  55.                     new Object[] {toTest.getName()}, "No AuthenticationProvider found for {0}"));  
  56.     }  
  57.   
  58.     eventPublisher.publishAuthenticationFailure(lastException, authentication);  
  59.   
  60.     throw lastException;  
  61. }  
 

   过程: 判断是否 为登录地址,是则进行认证,否则 继续下一个filter

   认证过程: 取得 username,password, 调用 AuthenticationManager.authenticate(){
             然后调用 所有的AuthenticationProvider 进行认证,有一个认证通过即可通过。在AuthenticationProvider中调用 配置的 UserDetailsService 的 loadUserByUserame() 得到 UserDetails,  当第一次从数据库取得后,会将UserDetails保存到 Cache中,这给权限分配的 及时性带来了困难,不过它专门提供了一个filter来进行 热部署权限

      
    }
    还有一点,这个filter中判断 "j_spring_security_check"这个地址也是以 endWith来匹配的,感觉不对。

   回家了,晚上继续

 

===========================华丽丽的分割线=================================

 

org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

org.springframework.security.web.authentication.www.BasicAuthenticationFilter

org.springframework.security.web.savedrequest.RequestCacheAwareFilter

org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

org.springframework.security.web.authentication.AnonymousAuthenticationFilter

org.springframework.security.web.session.SessionManagementFilter

org.springframework.security.web.access.ExceptionTranslationFilter

org.springframework.security.web.access.intercept.FilterSecurityInterceptor

 

 

 

分享到:
评论

相关推荐

    spring security源码分析.pdf

    ### Spring Security 源码分析知识点 #### 一、Spring Security 概述 Spring Security 是一个强大且可高度定制的身份验证和访问控制框架。它提供了许多功能,包括登录表单、记住密码、CSRF 保护等。为了更好地理解...

    SpringSecurity源码

    在学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...

    Spring Security 3 源码分析文档

    通过阅读《Spring Security3.pdf》和《spring security3 源码分析.pdf》这两份文档,你可以对Spring Security 3的内部工作机制有更深入的理解,从而更好地在项目中运用这个强大的安全框架。同时,这也会帮助你在面临...

    Spring_Security3_源码分析

    Spring Security的核心在于Filter Chain,它由多个安全相关的过滤器组成,如DelegatingFilterProxy、ChannelProcessingFilter、SecurityContextHolderAwareRequestFilter等。每个过滤器都有特定职责,如检查HTTP请求...

    3.springSecurity源码分析1

    在深入分析SpringSecurity源码之前,我们先了解一些基础概念。 1. DelegatingFilterProxy:这是一个Spring框架提供的过滤器,它作为代理来调用实际的Filter。在web.xml中,filter-name设置为...

    springsecurity源码(鉴权有缺陷)

    Spring Security 由多个组件构成,包括过滤器链、访问决策管理器、安全上下文持有者等。核心组件是`DelegatingFilterProxy`,它是一个Servlet过滤器,用于代理其他Spring Bean(如`...

    SpringSecurity学习总结源代码

    1. **Filter Security Interceptor**:这是SpringSecurity的主要过滤器,负责检查请求并决定是否允许访问。它会根据预定义的访问控制规则进行判断。 2. **Authentication Manager**:处理用户认证的组件,可以使用...

    spring security 源码

    本篇文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...

    spring-security3.0.5源码

    3. **Filter Chain(过滤器链)**:Spring Security的核心在于其Web安全过滤器链,如`DelegatingFilterProxy`、`FilterSecurityInterceptor`和`ChannelProcessingFilter`等。这些过滤器在HTTP请求进入应用之前进行...

    SpringBoot_SpringSecurity-源码.rar

    在源码分析中,你可能会看到SpringSecurity如何利用过滤器链来处理HTTP请求,如`UsernamePasswordAuthenticationFilter`用于处理登录请求,`AnonymousAuthenticationFilter`确保未认证用户默认有一个匿名角色,还有`...

    Spring Security 源码

    在分析Spring Security源码时,你可能会关注以下关键组件: - `AbstractSecurityInterceptor`:所有安全拦截器的基类。 - `FilterSecurityInterceptor`:处理HTTP请求的安全过滤器。 - `AuthenticationManager` 和 `...

    spring-security-oauth2源码

    Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect...通过阅读和分析`spring-security-oauth-master`中的源码,可以更深入地了解其实现细节,有助于在实际项目中灵活运用和定制。

    spring security 项目配置源码

    - 通过源码分析,了解Spring Security的拦截器如何工作,以及如何自定义安全规则。 - 查看`SecurityConfig`类,这是Spring Security的核心配置,它扩展了`WebSecurityConfigurerAdapter`并覆盖了一些关键方法。 -...

    spring security 3.1.3 源码含sample源码

    Spring Security基于过滤器链的概念,其核心组件包括AuthenticationManager、UserDetailsService、AccessDecisionManager等。AuthenticationManager负责处理用户认证,UserDetailsService则用于查找用户信息,...

    Spring-Security安全权限管理手册+源码

    `springsecurity-sample.rar` 可能包含一个示例项目,展示如何集成 Spring Security 并进行基本配置。这个样本项目可能包括以下部分: 1. **SecurityConfig**: 定义安全规则的 Java 类,可能使用 `@...

    spring-security-3.1.x.zip 源码下载

    - **过滤器链(Filter Chain)**:Spring Security的核心在于一系列的过滤器,它们按特定顺序拦截请求,处理认证和授权。 2. **主要组件**: - **AuthenticationProvider**:处理用户的认证请求,实现具体的认证...

    SpringBoot集成Spring Security实现角色继承【完整源码+数据库】

    `src`目录下的代码应包含关键组件,如`WebSecurityConfig`配置类、`UserDetailsService`实现、以及可能的自定义过滤器或访问决策器。通过阅读和理解这些代码,可以更深入地了解Spring Security的运作机制。 总之,...

    spring-security3.1源码

    Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用...通过分析源码,我们可以学习如何实现自定义的身份验证提供者、授权策略,甚至构建自己的安全过滤器,以提高应用的安全性和可靠性。

    spring security 源码案例

    3. **Filter Security Interceptor**:这是一个关键的过滤器,负责检查请求的URL是否需要授权。如果需要,它会触发认证过程。你将在案例中看到如何配置这些拦截器以定义安全规则。 4. **Access Decision Manager**...

    springsecurity3 学习笔记源码分析所得

    1. **Filter Chain**: Spring Security的核心在于其过滤器链,它由多个安全过滤器组成,如`DelegatingFilterProxy`、`ChannelProcessingFilter`、`UsernamePasswordAuthenticationFilter`等。这些过滤器按照特定顺序...

Global site tag (gtag.js) - Google Analytics