2. 程式人生 > 程式設計 >Spring security使用者URL許可權FilterSecurityInterceptor使用解析

Spring security使用者URL許可權FilterSecurityInterceptor使用解析

阿新 發佈:2020-01-07

這篇文章主要介紹了Spring security使用者URL許可權FilterSecurityInterceptor使用解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

使用者通過瀏覽器傳送URL地址,由FilterSecurityInterceptor判斷是否具有相應的訪問許可權。

對於使用者請求的方法許可權,例如註解@PreAuthorize("hasRole('ADMIN')"),由MethodSecurityInterceptor判斷

兩個攔截器都繼承了AbstractSecurityInterceptor

程式碼如下

/*
 * Copyright 2004,2005,2006 Acegi Technology Pty Limited
 *
 * Licensed under the Apache License,Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *   http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing,software
 * distributed under the License is distributed on an "AS IS" BASIS,* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND,either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */
package org.springframework.security.web.access.intercept;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;
/**
 * Performs security handling of HTTP resources via a filter implementation.
 * 通過篩選器實現對HTTP資源的安全處理。
 * <p>
 * The <code>SecurityMetadataSource</code> required by this security interceptor is of
 * type {@link FilterInvocationSecurityMetadataSource}.
 * <p>
 *安全攔截器所需的SecurityMetadataSource型別是FilterInvocationSecurityMetadataSource
 *
 * Refer to {@link AbstractSecurityInterceptor} for details on the workflow.
 * </p>
 *
 * @author Ben Alex
 * @author Rob Winch
 */
public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements
		Filter {
	// ~ Static fields/initializers
	// =====================================================================================
	private static final String FILTER_APPLIED = "__spring_security_filterSecurityInterceptor_filterApplied";
	// ~ Instance fields
	// ================================================================================================
	/**
	*securityMetadataSource 中包含了一個HashMap,map中儲存了使用者請求的Http.Method和相應的URL地址
	*例如在Spring boot中,可能是如下的配置,參考圖1
	*securityMetadataSource中的內容,參考圖2
	*/
	private FilterInvocationSecurityMetadataSource securityMetadataSource;
	private Boolean observeOncePerRequest = true;
	// ~ Methods
	// ========================================================================================================
	/**
	 * Not used (we rely on IoC container lifecycle services instead)
	 *
	 * @param arg0 ignored
	 *
	 * @throws ServletException never thrown
	 */
	public void init(FilterConfig arg0) throws ServletException {
	}
	/**
	 * Not used (we rely on IoC container lifecycle services instead)
	 */
	public void destroy() {
	}
	/**
	 * Method that is actually called by the filter chain. Simply delegates to the
	 * {@link #invoke(FilterInvocation)} method.
	 *
	 * @param request the servlet request
	 * @param response the servlet response
	 * @param chain the filter chain
	 *
	 * @throws IOException if the filter chain fails
	 * @throws ServletException if the filter chain fails
	 *
	 *
	 *通過責任鏈式呼叫,執行doFilter方法
	 *FilterInvocation中儲存了filter相關的資訊,比如request,response,chain
	 *通過invoke方法處理具體的url過濾
	 */
	public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain) throws IOException,ServletException {
		FilterInvocation fi = new FilterInvocation(request,response,chain);
		invoke(fi);
	}
	public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
		return this.securityMetadataSource;
	}
	public SecurityMetadataSource obtainSecurityMetadataSource() {
		return this.securityMetadataSource;
	}
	public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource newSource) {
		this.securityMetadataSource = newSource;
	}
	public Class<?> getSecureObjectClass() {
		return FilterInvocation.class;
	}
	public void invoke(FilterInvocation fi) throws IOException,ServletException {
		//獲取當前http請求的地址,比如說“/login”
		if ((fi.getRequest() != null)
						&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
						&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling,so don't re-do security checking
			fi.getChain().doFilter(fi.getRequest(),fi.getResponse());
		} else {
			// first time this request being called,so perform security checking
			if (fi.getRequest() != null) {
				fi.getRequest().setAttribute(FILTER_APPLIED,Boolean.TRUE);
			}
			//這裡做主要URL比對,將當前URL與securityMetadataSource(我們自己配置)中的URL過濾條件進行比對
			//首先判斷當前URL是permit的還是需要驗證的
			//若需要驗證,嘗試載入儲存在SecurityContextHolder.getContext()中的已登入資訊
			//呼叫AbstractSecurityInterceptor中的AccessDecisionManager物件的decide方法
			//如果對於配置中需要登入才可訪問的URL,已經查詢到登入資訊,則執行下一個Filter
			InterceptorStatusToken token = super.beforeInvocation(fi);
			try {
				fi.getChain().doFilter(fi.getRequest(),fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}
			super.afterInvocation(token,null);
		}
	}
	/**
	 * Indicates whether once-per-request handling will be observed. By default this is
	 * <code>true</code>,meaning the <code>FilterSecurityInterceptor</code> will only
	 * execute once-per-request. Sometimes users may wish it to execute more than once per
	 * request,such as when JSP forwards are being used and filter security is desired on
	 * each included fragment of the HTTP request.
	 *
	 * @return <code>true</code> (the default) if once-per-request is honoured,otherwise
	 * <code>false</code> if <code>FilterSecurityInterceptor</code> will enforce
	 * authorizations for each and every fragment of the HTTP request.
	 */
	public Boolean isObserveOncePerRequest() {
		return observeOncePerRequest;
	}
	public void setObserveOncePerRequest(Boolean observeOncePerRequest) {
		this.observeOncePerRequest = observeOncePerRequest;
	}
}

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。

相關推薦

Spring security使用者URL許可權FilterSecurityInterceptor使用解析

這篇文章主要介紹了Spring security使用者URL許可權FilterSecurityInterceptor使用解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Security OAuth2 token許可權隔離例項解析

這篇文章主要介紹了Spring Security OAuth2 token許可權隔離例項解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Security單專案許可權設計過程解析

為什麼選擇SpringSecurity? 現如今,在JavaWeb的世界裡Spring可以說是一統江湖,隨著微服務的到來,SpringCloud可以說是Java程式設計師必須熟悉的框架,就連阿里都為SpringCloud寫開源呢。(比如大名鼎鼎的Nacos)

Spring Security 基於URL許可權判斷

1. FilterSecurityInterceptor 原始碼閱讀 org.springframework.security.web.access.intercept.FilterSecurityInterceptor

Spring Security原理介紹、原始碼解析——授權過程

流程簡述 當我們成功登入,獲取access_token,即可使用該token來訪問有許可權的介面。如上文所講,JwtAuthenticationFilter將access_token轉化為系統可識別的Authentication放入安全上下文,

Spring Security原理介紹、原始碼解析——認證過程

核心原理 在前後端分離的架構中,許可權認證主要包含兩個主要的過程: 通過使用者名稱密碼換取一個令牌(Token),令牌具有不可修改性,以保證許可權的安全。

Spring Security動態配置許可權

匯入依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId>

Spring Security角色繼承實現過程解析

在SecurityConfig中加入 @Bean RoleHierarchy roleHierarchy(){ RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();

Spring Security 中細化許可權粒度的方法

有小夥伴表示微人事(https://github.com/lenve/vhr)的許可權粒度不夠細。不過鬆哥想說的是,技術都是相通的,明白了 vhr 中許可權管理的原理,在此基礎上就可以去細化許可權管理粒度,細化過程和還是用的 vhr 中用的

Spring Security(1)—Web 許可權方案

Spring Security(1)—Web 許可權方案 官方網址:https://spring.io/projects/spring-security 概要

Spring Security內建 Filter 全解析

Spring Security 初始化核心過濾器時 HttpSecurity 會通過將 Spring Security 內建的一些過濾器以 FilterComparator 提供的規則進行比較按照比較結果進行排序註冊。

使用Spring Security 限制URL訪問

使用Spring Security 限制URL訪問 通常保護url方式有以下幾種: 允許每個人訪問的url基於角色保護url基於多個角色保護url基於IP地址保護url

Spring-security原始碼-Filter之FilterSecurityInterceptor(十八)

FilterSecurityInterceptor最後一個過濾器,主要做認證和授權攔截,比如我們未登入訪問需要登入的頁面或者我們配置了授權的頁面

Spring Security如何使用URL地址進行許可權控制

這篇文章主要介紹了Spring Security如何使用URL地址進行許可權控制,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Security 解析(五) —— Spring Security Oauth2 開發

Spring Security 解析(五) —— Spring Security Oauth2 開發   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可權、認證

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可

Spring Security基於方法級別的自定義表示式(可以完成任何許可權判斷)

背景 需求是這樣的:專案採用的前後端分離的架構,且使用的RESTFUL風格API,同一個資源的相關請求是一樣的url,但是http method不一樣。

Spring Security 解析(一) —— 授權過程

Spring Security 解析(一) —— 授權過程   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可權、認證相關的內容、原理及

spring security實現下次自動登入功能過程解析

這篇文章主要介紹了spring security實現記住我下次自動登入功能,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

基於spring security實現登入登出功能過程解析

這篇文章主要介紹了基於spring security實現登入登出功能過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下