springSecurity 过滤器链

曾经终败给现在 2022-09-10 00:24 160阅读 0赞

# spring security 过滤器链 #

### SpringSecurity常见的过滤器 ###

org.springframework.security.context.SecurityContextPersistenceFilter
    org.springframework.security.web.context.request.async.WebAsyncManagerInterationFilter
    org.springframework.security.web.header.HeaderWriterFilter
    org.springframework.security.web.csrf.CsrfFilter
    org.springframework.security.web.authentication.logout.LogoutFilter
    org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
    org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
    org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
    org.springframework.security.web.authentication.www.BasicAuthenticationFilter
    org.springframework.security.web.savedrequest.RequestCacheAwareFilter
    org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
    org.springframework.security.web.authentication.AnonymousAuthenticationFilter
    org.springframework.security.web.session.SessionManagementFilter
    org.springframework.security.web.access.ExceptionTranslationFilter
    org.springframework.security.web.access.intercept.FilterSecurityInterceptor

执行流程

\[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ckynLpN5-1630597530017)(C:\\Users\\cdn\\Desktop\\1.jpg)\]

*  `SpringSecurity` 采用的是责任链的设计模式，它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明:
 *  `WebAsyncManagerIntegrationFilter`：将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。简言之就是将SpringSecurity与Spring整合
 *  `SecurityContextPersistenceFilter`：在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中，并将SecurityContext给以后的过滤器使用，来为后续filter建立所需的上下文，然后在该次请求处理完成之后，将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中，然后将 SecurityContextHolder 中的信息清除，例如在Session中维护一个用户的安全信息就是这个过滤器处理的。
 *  `HeaderWriterFilter`：用于将头信息加入响应中。向请求的Header中添加相应的信息,可在http标签内部使用security:headers来控制。但是这个标签仅用于jsp页面。
 *  `CsrfFilter`：csrf又称跨域请求伪造，SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息，如果没有token的话会被拦截到并且后台发出异常。这个拦截器起到防止csrf攻击的效果。
 *  `LogoutFilter`：用于处理退出登录。匹配 URL为/logout的请求，拦截到这个请求后实现用户退出，并且清除认证信息。
 *  `UsernamePasswordAuthenticationFilter`：用于处理基于表单的登录请求，从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时，默认使用的表单 name 值为 username 和 password，这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。
 *  `DefaultLoginPageGeneratingFilter`：如果没有配置登录页面，那系统初始化时就会配置这个过滤器，并且用于在需要进行登录时生成一个登录表单页面。简单来说就是没有指定登录页面的时候这个过滤器就会使用内部自带的登录页面
 *  `BasicAuthenticationFilter`：检测和处理 http basic 认证。此过滤器会自动解析HTTP请求中头部名字为Authentication，且以Basic开头的头信息。
 *  `RequestCacheAwareFilter`：通过HttpSessionRequestCache内部维护了一个RequestCache，用于缓存HttpServletRequest。
 *  `SecurityContextHolderAwareRequestFilter`：针对ServletRequest进行了一次包装，使得request具有更加丰富的API
 *  `AnonymousAuthenticationFilter`：检测 SecurityContextHolder 中是否存在 Authentication 对象，如果不存在则会创建一个匿名用户存入到SecurityContextHolder中。SpringSecurity为了兼容未登录的访问，也走了一套认证流程，只不过是一个匿名的身份。
 *  `SessionManagementFilter`：SecurityContextRepository限制同一用户开启多个会话的数量。
 *  `ExceptionTranslationFilter`：处理 AccessDeniedException 和 AuthenticationException 异常。
 *  `FilterSecurityInterceptor`：可以看做过滤器链的出口。获取所配置资源访问的授权信息，根据SecurityContextHolder中存储的用户信息来决定其是否有权限。

。获取所配置资源访问的授权信息，根据SecurityContextHolder中存储的用户信息来决定其是否有权限。

*  `RememberMeAuthenticationFilter`：当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统，该过滤器默认不开启。