1.SpringSecurity中的源码核心过滤器介绍
SpringSecurity中的核心过滤器介绍
本文将介绍SpringSecurity中常用的过滤器及其加载过程。
一、源码常用的源码过滤器
常用的过滤器共有个,具体如下:
1. org.springframework.security.web.context.SecurityContextPersistenceFilter:这是源码文章发表系统源码第一个过滤器,其重要性不言而喻。源码它主要使用SecurityContextRepository在session中保存或更新一个SecurityContext,源码并将SecurityContext提供给后续过滤器使用,源码为后续filter建立所需的源码上下文。SecurityContext中存储了当前用户的源码认证和权限信息。
2. org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter:此过滤器用于继承SecurityContext到Spring异步执行机制中的源码WebAsyncManager,是源码js查询redis源码spring整合必须的。
3. org.springframework.security.web.header.HeaderWriterFilter:向请求的源码header中添加响应的信息,可以在http标签内部使用security:headers来控制。源码
4. org.springframework.security.web.csrf.CsrfFilter:Csrf又称跨域请求伪造,源码SpringSecurity会对所有post请求验证是源码否包含系统生成的csrf的token信息,如果不包含则报错,php网址跳转源码起到防止csrf攻击的效果。
5. org.springframework.security.web.authentication.logout.LogoutFilter:匹配URL为/logout的请求,实现用户退出,清除认证信息。
6. org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter:认证操作全靠这个过滤器,scada web版源码默认匹配URL为/login且必须为POST请求。
7. org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter:如果没有在配置文件中指定认证页面,则由该过滤器生成一个默认的认证界面。
8. org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter:由此过滤器生成一个默认的退出登录页面。
9. org.springframework.security.web.authentication.www.BasicAuthenticationFilter:此过滤器会自动解析HTTP请求中头部名字为Authentication,补码源码换算函数且以Basic开头的头部信息。
. org.springframework.security.web.savedrequest.RequestCacheAwareFilter:通过HttpSessionRequestCache内部维护一个RequestCache,用于缓存HttpServletRequest。
. org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter:针对ServletRequest进行一次包装,使得request具有更加丰富的API。
. org.springframework.security.web.authentication.AnonymousAuthenticationFilter:当SecurityContextHolder中认证信息为空,则会创建一个匿名用户存储到SecurityContextHolder中,SpringSecurity为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。
. org.springframework.security.web.session.SessionManagementFilter:SecurityContextRepository限制同一个用户开启多个会话的数量。
. org.springframework.security.web.access.ExceptionTranslationFilter:异常转换过滤器位于整个SpringSecurityFilterChain的后方,用来转换整个链路中出现的异常。
. org.springframework.security.web.access.intercept.FilterSecurityInterceptor:获取所有配置资源的访问授权信息,根据SecurityContextHolder中存储的用户信息来决定其是否有权限。
二、过滤器加载过程
1. DelegatingFilterProxy:我们在web.xml中配置了一个名称为SpringSecurityFilterChain的过滤器DelegatingFilterProxy,接下来可以查看该源码。
2. FilterChainProxy:通过上面的源码分析我们发现其实创建的是FilterChainProxy这个过滤器,那我们来看下这个过滤器。
3. SecurityFilterChain和DefaultSecurityFilterChain:具体的实现类。
总结:通过上面的代码分析,SpringSecurity中要使用到的过滤器最终都保存在了DefaultSecurityFilterChain对象的List filter对象中。