Spring Security 官方文档学习(3)—— 在基于Servlet的应用程序中的高层体系结构

2040

Spring Security 的 Servlet 支持是基于 Servlet 过滤器的。本文图片来自 Spring 官网

下图显示了单个HTTP请求的处理程序典型分层:

image.png

  • 客户端向应用程序发送请求,容器创建一个包含过滤器和 Servlet 的 FilterChain,这些过滤器和 Servlet 应该基于请求 URL 的路径来处理 HttpServletRequest。
  • 在 Spring MVC 应用程序中,Servlet 是 DispatcherServlet 的一个实例。
  • 一个 Servlet 最多可以处理一个 HttpServletRequest 与 HttpServletResponse。
  • 然而可以使用多个 Filter。
  • 每层过滤器可以修改下游过滤器和 Servlet 使用的 HttpServletRequest 或 HttpServletResponse

Filter 的强大功能来自传递给它的 FilterChain:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // do something before the rest of the application
    chain.doFilter(request, response); // invoke the rest of the application
    // do something after the rest of the application
}
复制代码

注意: 因为 Filter 只影响下游的 Filters 和 Servlet,所以调用每个 Filter 的顺序非常重要。

DelegatingFilterProxy

Spring 提供了一个名为 DelegatingFilterProxy 的过滤器实现,它允许在 Servlet 容器的生命周期和 Spring 的 ApplicationContext 之间进行桥接。Servlet 容器允许使用它自己的标准注册过滤器,但是它不知道 Spring 定义的 bean。DelegatingFilterProxy 可以通过标准的 Servlet 容器机制注册 Filter,同时可以将所有的工作委托给实现 Filter 的 Spring Bean。

image.png

DelegatingFilterProxy 的加入使得 Bean Filter0 的实例可以正常进行工作。

DelegatingFilterProxy 伪代码:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}
复制代码

FilterChainProxy

Spring Security 的 Servlet 支持包含在 FilterChainProxy 中。FilterChainProxy 是 Spring Security 提供的一个特殊的过滤器,它允许通过 SecurityFilterChain 委托给许多 Filter 实例。由于FilterChainProxy 是一个 Bean,它通常被封装在 DelegatingFilterProxy 中。

image.png

SecurityFilterChain

SecurityFilterChain 被 FilterChainProxy 用来确定应该为这个请求调用哪个 Spring 安全过滤器。

image.png

注意:

SecurityFilterChain 中的安全过滤器通常是 bean,但是它们注册在 FilterChainProxy 而不是 DelegatingFilterProxy 上。FilterChainProxy 为直接注册 Servlet 容器或 DelegatingFilterProxy 提供了许多优势。首先,它为所有 Spring Security 的 Servlet 支持提供了一个起点。因此,如果在 Spring Security 的 Servlet 支持方面排除故障,那么在 FilterChainProxy 中添加一个调试点是一个很好的开始。

此外,它在确定何时应该调用 SecurityFilterChain 方面提供了更多的灵活性。在 Servlet 容器中,只根据 URL 调用过滤器。然而,FilterChainProxy 可以通过利用 RequestMatcher 接口来根据 HttpServletRequest 中的任何内容来确定调用。

image.png

上图所示,FilterChainProxy 决定应该使用哪个 SecurityFilterChain。只有第一个匹配的 SecurityFilterChain 将被调用。如果请求的 URL 是 /api/messages/,它将首先匹配 SecurityFilterChaing 的 /api/** 模式,因此只有 SecurityFilterChaing0 将被调用,即使它也匹配 SecurityFilterChainN。如果请求一个 /messages,它将不匹配 SecurityFilterChaing0 的 /api/** 模式,因此 FilterChainProxy 将继续尝试每个 SecurityFilterChain。假设没有其他 SecurityFilterChain 实例匹配,SecurityFilterChainN 将被调用。

Security Filters

Security Filter 通过 SecurityFilterChain API 插入到 FilterChainProxy 中。过滤器的顺序很重要。通常不需要知道 Spring Security 的 Filters 的顺序。但是,有时知道顺序是有益的:

顺序如下:

  • ChannelProcessingFilter
  • WebAsyncManagerIntegrationFilter
  • SecurityContextPersistenceFilter
  • HeaderWriterFilter
  • CorsFilter
  • CsrfFilter
  • LogoutFilter
  • OAuth2AuthorizationRequestRedirectFilter
  • Saml2WebSsoAuthenticationRequestFilter
  • X509AuthenticationFilter
  • AbstractPreAuthenticatedProcessingFilter
  • CasAuthenticationFilter
  • OAuth2LoginAuthenticationFilter
  • Saml2WebSsoAuthenticationFilter
  • UsernamePasswordAuthenticationFilter
  • OpenIDAuthenticationFilter
  • DefaultLoginPageGeneratingFilter
  • DefaultLogoutPageGeneratingFilter
  • ConcurrentSessionFilter
  • DigestAuthenticationFilter
  • BearerTokenAuthenticationFilter
  • BasicAuthenticationFilter
  • RequestCacheAwareFilter
  • SecurityContextHolderAwareRequestFilter
  • JaasApiIntegrationFilter
  • RememberMeAuthenticationFilter
  • AnonymousAuthenticationFilter
  • OAuth2AuthorizationCodeGrantFilter
  • SessionManagementFilter
  • ExceptionTranslationFilter
  • FilterSecurityInterceptor
  • SwitchUserFilter

处理安全异常

  • ExceptionTranslationFilter 允许将 AccessDeniedException 和 AuthenticationException 转换为 HTTP 响应。
  • ExceptionTranslationFilter 作为一个安全过滤器被插入到 FilterChainProxy 中。

image.png

  1. 首先,ExceptionTranslationFilter 通过调用 FilterChain.doFilter(request, response) 来唤醒应用程序的其余部分。

  2. 如果用户未经过身份验证或是 AuthenticationException,则启动认证:

    • 清除 SecurityContextHolder
    • HttpServletRequest 保存在 RequestCache 中。当用户成功通过身份验证时,将使用 RequestCache重放原始请求
    • AuthenticationEntryPoint 用于从客户端请求凭据。例如,它可能重定向到一个登录页面或发送一个 WWW-Authenticate 头。

  3. 否则,如果是 AccessDeniedException,则拒绝访问。调用 AccessDeniedHandler 来处理拒绝访问。

ExceptionTranslationFilter 伪代码如下:

try {
    filterChain.doFilter(request, response); 
} catch (AccessDeniedException | AuthenticationException ex) {
    if (!authenticated || ex instanceof AuthenticationException) {
        startAuthentication(); 
    } else {
        accessDenied(); 
    }
}
复制代码
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
后端
喜欢就支持一下吧
点赞0 分享
AI-robot的头像-一一网
asgbookphp ‘index.php’ 跨站脚本攻击漏洞-一一网
asgbookphp ‘index.php’ 跨站脚本攻击漏洞
asgbookphp ‘index.php’ 跨站脚本攻击漏洞
14年前 2.6W+
机器学习之随机森林回归篇(RandomForestRegressor)-一一网
机器学习之随机森林回归篇(RandomForestRegressor)
机器学习之随机森林回归篇(RandomForestRegressor)
4年前 4202
详解数仓中的数据分层:ODS、DWD、DWM、DWS、ADS-一一网
详解数仓中的数据分层:ODS、DWD、DWM、DWS、ADS
详解数仓中的数据分层:ODS、DWD、DWM、DWS、ADS
4年前 3895
DZCP Clanportal 'Index.PHP'任意文件上载漏洞-一一网
DZCP Clanportal 'Index.PHP'任意文件上载漏洞
DZCP Clanportal 'Index.PHP'任意文件上载漏洞
19年前 3842
Wireshark之抓包文件保存-一一网
Wireshark之抓包文件保存
Wireshark之抓包文件保存
4年前 3406
支付宝生活号H5接入支付宝支付流程-一一网
支付宝生活号H5接入支付宝支付流程
支付宝生活号H5接入支付宝支付流程
3年前 3135
相关推荐
Wireshark之抓包文件保存-一一网
Wireshark之抓包文件保存
Wireshark之抓包文件保存
4年前 3406
Integer的最大值是什么?| Java Debug 笔记-一一网
Integer的最大值是什么?| Java Debug 笔记
Integer的最大值是什么?| Java Debug 笔记
4年前 2767
使用arthas trace命令查看代码各方法响应时间-一一网
使用arthas trace命令查看代码各方法响应时间
使用arthas trace命令查看代码各方法响应时间
4年前 2723
Spring Boot集成Druid异常discard long time none received connection.-一一网
Spring Boot集成Druid异常discard long time none received connection.
Spring Boot集成Druid异常discard long time none received connection.
4年前 2137
pandas系列之导出为.csv文件-一一网
pandas系列之导出为.csv文件
pandas系列之导出为.csv文件
4年前 2109
使用XXL-JOB时,如何避免多台服务器重复调度任务?|工作踩坑系列-一一网
使用XXL-JOB时,如何避免多台服务器重复调度任务?|工作踩坑系列
使用XXL-JOB时,如何避免多台服务器重复调度任务?|工作踩坑系列
4年前 1681
搜索
开启精彩搜索
世界,您好!-一一网
3.7W+人已阅读
世界,您好!
TOP1
番茄社区无限观看+付费视频破解教程-一一网
番茄社区无限观看+付费视频破解教程
5年前3.2W+人已阅读
TOP2
香蕉视频v3.8.3_VIP会员破解教程-一一网
香蕉视频v3.8.3_VIP会员破解教程
5年前3.1W+人已阅读
TOP3
[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网
密码保护:[桜井宁宁]COS和泉纱雾超可爱写真福利集
5年前2.8W+人已阅读
TOP4
[桜井宁宁] 爆乳奶牛少女cos写真-一一网
密码保护:[桜井宁宁] 爆乳奶牛少女cos写真
5年前2.8W+人已阅读
TOP5
快猫v1.1.7会员破解版_最新快猫vip破解教程大全-一一网
快猫v1.1.7会员破解版_最新快猫vip破解教程大全
5年前2.7W+人已阅读
TOP6
标签云
默认路由黑裙黑群晖麦克风车机鸿蒙系统鸿蒙系统鸿蒙OS鸿蒙驱动软件驱动题库音频剪辑音乐剪辑面板面具静态雷石集群随机阿里云