2. 程式人生 > >Spring Security常用攔截器

Spring Security常用攔截器

阿新 發佈:2018-04-20
iges 共享 persist tegra use nproc 請求 dap ember

  • 安全攔截器
    • 認證管理器
    • 訪問決策管理
    • 運行身份管理器
  • 認證方式:
    • Basic Digest X.509 LDAP Form
  • 常用權限攔截器
    • SecurityContextPersistenceFilter
      • 以前是HttpSesstionContextIntegrationFilter,位於過濾器的頂端,是第一個起作用的過濾器
      • 第一個用途:在執行其他過濾器之前,率先判斷用戶的session是否已經存在了一個spring security上下文的securityContext,如果存在,就把securityContext拿出來,放在securityContextHolder中,供security的其他部分使用。如果不存在,就創建一個securityContext出來,放在securityContextHolder中,供security的其他部分使用。
      • 第二個用途:在所有過濾器執行完畢後,清空securityContextHolder中的內容,因為securityContextHolder是基於ThreadLocal的,如果不清空,會受到服務器線程池機制的影響。
      • ThreadLocal存放的值是線程內共享的,線程間互斥的,主要用於線程內共享一些數據,避免通過參數來傳遞。這樣處理後,能夠解決實際中的一些並發問題。ThreadLocalMap是ThreadLocal的一個內部類,是不對外使用的。當使用ThreadLocal存值時,首先獲取到當前線程對象,然後獲取到當前線程本地對象,本地變量map,最後將當前使用的所有local和傳入的值放在map中。也就是說ThreadLocalMap中的key是ThreadLocal對象。這樣,每個線程都對應一個本地的map,所以,一個線程可以存在多個線程本地變量。
      • ThreadLocal是解決線程並發問題的一個很好的思路,通過對每個線程提供一個獨立的變量副本,解決線程並發訪問變量的一個沖突問題
      • 當一個線程結束的時候,記得把ThreadLocal裏的變量移除掉remove();
  • LogoutFilter
    • 只處理註銷請求。在用戶發送註銷請求時,銷毀用戶的session,清空securityContextHolder,重定向到註銷成功頁面
  • AbstractAuthenticationProcessingFilter
    • 處理form登錄的過濾器,與form登錄有關的操作都在此進行。
  • DefaultLoginPageGeneratingFilter
    • 用來生成一個默認的登錄頁面,默認的訪問地址為spring_security_login,這個登錄頁面雖然支持用戶輸入用戶名密碼,也支持remember me等功能,但是因為太難看了,只能在演示時做個樣子,不能直接在實際項目中使用
  • BasicAutenticationFilter
    • 用來進行basic驗證
  • SecurityContextHolderAwareRequestFilter
    • 用來包裝客戶的請求,目的是在原來請求的基礎上,為後續程序提供一些額外的數據,比如getRomoteUser時,直接返回當前登錄的用戶名
  • RememberMeAuthenticationFilter
    • 實現Remember me功能,當用戶cookie中存在remember me標記時,它會根據標記自動實現用戶登錄,並創建securityContext,授予對應的權限。spring security中的remember me依賴cookie實現,用戶在登錄時選擇remember me,系統就會在登錄成功後為用戶生成一個唯一的標識,並將這個標識保存進cookie中,我們可以通過瀏覽器查看用戶電腦中的cookie
  • AnonymousAutenticationFilter
    • 當用戶沒有登錄時,默認為用戶分配匿名用戶的權限
  • ExceptionTranslationFilter
    • 處理filterSecurityInterceptor中拋出的異常,然後將請求重定向到對應頁面,或返回應用的錯誤代碼
  • SessionManagementFilter
    • 在用戶登錄成功之後,銷毀用戶的當前session,並重新生成一個session
  • filterSecurityInterceptor
    • 用戶的權限控制都包含在這個過濾器中
    • 第一個功能,如果用戶尚未登錄,拋出尚未認證的異常
    • 第二個功能,如果用戶已登錄,但是沒有訪問當前資源的權限,會拋出拒絕訪問的異常
    • 第三個功能,如果用戶已登錄,也具有訪問當前資源的權限,那麽放行
  • FilterChainProxy
    • 按照順序調用一組filter,使他們既能完成驗證授權的本職工作,又能相應spring Ioc的功能來很方便地得到其他依賴的資源

Spring Security常用攔截器

相關推薦

Spring Security常用攔截

iges 共享 persist tegra use nproc 請求 dap ember 安全攔截器 認證管理器 訪問決策管理 運行身份管理器 認證方式: Basic Digest X.509 LDAP Form 常用權限攔截器 SecurityContex

spring---aop(3)---Spring AOP的攔截

ati handler 攔截器 odi hand zab chain 記載 封裝 寫在前面   時間斷斷續續,這次寫一點關於spring aop攔截器鏈的記載。至於如何獲取spring的攔截器,前一篇博客已經寫的很清楚(spring---aop(2)---Spring AO

spring mvc中攔截配置mvc:interceptors

ria letter lec 成了 -a font 進行 匹配 eight 其實在mvc:interceptors標簽中,有兩種類型的配置,一種直接配置一個bean(bean和ref歸為一類),另一種還要配置上攔截的路徑和排除的路徑。直接配置的bean那就代表對所有的請求進

Spring Security @PreAuthorize 攔截無效

1. 在使用spring security的時候使用註解,@PreAuthorize("hasAnyRole('ROLE_Admin')") 放在對方法的訪問許可權進行控制失效,其中配置如: @Configuration @EnableWebSecurity public class Securit

Spring Boot】--攔截配置

實現HandlerInterceptor介面 /** * @Auther: chisj [email protected] * @Date: 2018-12-03 19:09 * @Description: */ @Slf4j public class AuthIn

spring 登入session攔截

import com.ibeetl.admin.core.service.CorePlatformService; import org.springframework.context.annotation.Configuration; import org.springframework.web

Spring RestTemplate 利用攔截列印請求引數和返回狀態

  最近在專案中遇到用RestTemplate請求另外一個服務介面,發現總是報400返回。或許由於對400錯誤不是很瞭解,除錯了很久。但是過了好一段時間,發現自己進展不大,由此,諮詢下了經驗豐富的人,也解決了RestTemplate請求另外服務介面的方法。    很多人都基

使用spring mvc的攔截,進行日誌記錄

spring記錄日誌有兩種,一種是通過AOP,另一種是通過攔截器interceptor,這裡選擇的是攔截器interceptor:  一、Interceptor實現類 SpringMVC 中的Interceptor 攔截請求是通過HandlerInterceptor 來實

spring boot配置攔截/過濾器,並指定順序及規則

大家推薦個靠譜的公眾號程式設計師探索之路,大家一起加油,這個公眾號已經接入圖靈 ​ 攔截器: package com.zzh.interceptor; import org.springframework.stereotype.Component; import org.springframe

Spring MVC(攔截與檢視解析

Spring MVC 攔截器: <!--配置攔截器-->     <mvc:interceptors>         <!--<bean class="com.ma.interceptor.Custom

spring-boot中攔截的使用

背景 相信很多同行都有過做後臺許可權管理或者api token登陸態校驗之類的經驗,我最開始工作的時候就是做OA系統的,印象最深刻的就是角色許可權管理,當時經驗少,把許可權和業務功能做的耦合度非常的高,常常會在一個action的業務邏輯裡面加很多的if els

Spring MVC 中“攔截”處理模型資料 (二) @ModelAttribute

在這裡強烈建議看看我之前寫的幾篇關於SpringMVC的部落格,都是串通的。 @ModelAttribute這個是SpringMVC中處理模型資料的最難也是最重要的點。相當於以前Struct的攔截器。

Spring boot之攔截與定時任務的實現

場景:由於用Spring boot編寫了關於Ranger策略以及Hive脫敏相關的介面,並以http方式向外部提供。 為了防止請求被非法模仿,因而編寫了一個訪問Ip 鑑權類,也就是設定了訪問ip白名單,只有在白名單上的ip才可以訪問介面。 Spring boo

Spring過濾器和攔截

什麼是攔截器 ​ 攔截器(Interceptor): 用於在某個方法被訪問之前進行攔截,然後在方法執行之前或之後加入某些操作,其實就是AOP的一種實現策略。它通過動態攔截Action呼叫的物件,允許開發者定義在一個action執行的前後執行的程式碼

Spring Boot配置攔截

SpringBoot攔截器 最近專案中有一個需求,對來訪的請求,進行計算,記錄下業務處理時間。Spring Boot專案中使用攔截器,超級簡單,再次說明一下用法。相信大家一看便懂。 1.

spring boot(19)-攔截

spring攔截器是aop的一種實現,主要攔截對動態資源的後臺請求,也就是攔截對控制層的請求,主要用於判斷使用者是否有許可權請求後臺。 動態資源和靜態資源 攔截器不會攔截靜態資源,如spring bo

談談spring中的攔截interceptor

談談spring中的攔截器        在web開發中,攔截器是經常用到的功能。它可以幫我們驗證是否登陸、預先設定資料以及統計方法的執行效率等等。今天就來詳細的談一下spring中的攔截器。spring中攔截器主要分兩種,一個是HandlerInterceptor,一個

Spring MVC使用攔截實現日誌記錄

spring記錄日誌有兩種,一種是通過AOP,另一種是通過攔截器interceptor,這裡選擇的是攔截器interceptor:  一、Interceptor實現類 SpringMVC 中的Interceptor 攔截請求是通過HandlerInterceptor 來

java spring 配置異常攔截

在spring 中配置異常切面<aop:aspectj-autoproxy proxy-target-class="true"/> <bean id="controllerExceptionAspect" class="com.connxun.config.

spring boot 使用spring AOP實現攔截

在spring boot中,簡單幾步,使用spring AOP實現一個攔截器: 1、引入依賴: <dependency> <groupId>org.springframework.boot</groupId> <art