Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

阿新 • • 發佈：2018-12-12

名稱	簡介
`WebAsyncManagerIntegrationFilter`	TODO
`SecurityContextPersistenceFilter`	整個請求處理過程所需的安全上下文物件`SecurityContext`的準備和清理不管請求是否針對需要登入才能訪問的頁面，這裡都會確保`SecurityContextHolder`中出現一個`SecurityContext`物件: 1.未登入狀態訪問登入保護頁面:空`SecurityContext`物件，所含`Authentication` 為`null` 2.登入狀態訪問某個頁面:從`SecurityContextRepository`獲取的`SecurityContext`物件
`HeaderWriterFilter`	將指定的頭部資訊寫入響應物件
`CsrfFilter`	對請求進行`csrf`保護
`LogoutFilter`	檢測使用者退出登入請求並做相應退出登入處理
`UsernamePasswordAuthenticationFilter`	檢測使用者名稱/密碼錶單登入認證請求並作相應認證處理: 1.`session` 管理，比如為新登入使用者建立新`session`(`session fixation`防護)和設定新的`csrf token`等 2.經過完全認證的`Authentication`物件設定到`SecurityContextHolder`中的`SecurityContext`上; 3.釋出登入認證成功事件`InteractiveAuthenticationSuccessEvent` 4.登入認證成功時的`Remember Me`處理 5.登入認證成功時的頁面跳轉
`DefaultLoginPageGeneratingFilter`	生成預設的登入頁面
`DefaultLogoutPageGeneratingFilter`	生成預設的退出登入頁面
`BasicAuthenticationFilter`	檢測和處理http basic認證
`RequestCacheAwareFilter`	提取請求快取中快取的請求 1.請求快取在安全機制啟動時指定 2.請求寫入快取在其他地方完成 3.典型應用場景: 1.使用者請求保護的頁面， 2.系統引導使用者完成登入認證, 3.然後自動跳轉到到使用者最初請求頁面
`SecurityContextHolderAwareRequestFilter`	包裝請求物件使之可以訪問`SecurityContextHolder`,從而使請求真正意義上擁有介面`HttpServletRequest`中定義的`getUserPrincipal`這種訪問安全資訊的能力
`RememberMeAuthenticationFilter`	針對`Remember Me`登入認證機制的處理邏輯
`AnonymousAuthenticationFilter`	如果當前`SecurityContext`屬性`Authentication`為`null`，將其替換為一個`AnonymousAuthenticationToken`
`SessionManagementFilter`	檢測從請求處理開始到目前是否有使用者登入認證，如果有做相應的`session`管理，比如針對為新登入使用者建立新的`session`(`session fixation`防護)和設定新的`csrf token`等。
`ExceptionTranslationFilter`	處理`AccessDeniedException`和 `AuthenticationException`異常，將它們轉換成相應的HTTP響應
`FilterSecurityInterceptor`	TODO

注意 :

上面的Filter並不總是同時被起用，根據配置的不同，會啟用不同的Filter。
對於被起用的Filter，在對一個請求進行處理時，位於以上表格上部的過濾器先被呼叫。
上面的Filter被啟用時並不是直接新增到Servlet容器的Filter chain中,而是先被組織成一個FilterChainProxy, 然後這個Filter會被新增到Servlet容器的Filter chain中。

FilterChainProxy也是一個Filter,它應用了代理模式和組合模式，它將上面的各個Filter組織到一起在自己內部形成一個filter chain,當自己被呼叫到時，它其實把任務代理給自己內部的filter chain完成。

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

名稱簡介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionSecurityContextRepository

Spring Security Web提供的類HttpSessionSecurityContextRepository是一個SecurityContextRepository介面的實現，用於在HttpSession中儲存安全上下文(security context)，這樣屬於同一個Htt

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

概述 DefaultWebSecurityExpressionHandler是Spring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置，和當時的環境，對指定的Web安全表示式求值。 DefaultWebSecurityExpress

Spring Security Web 5.1.2 原始碼解析 -- SessionManagementFilter

概述該過濾器會檢測從當前請求處理開始到目前為止的過程中是否發生了使用者登入認證行為(比如這是一個使用者名稱/密碼錶單提交的請求處理過程)，如果檢測到這一情況，執行相應的session認證策略(一個SessionAuthenticationStrategy)，然後繼續繼續請求的處理。

Spring Security Web 5.1.2 原始碼解析 -- AnonymousAuthenticationFilter

概述此過濾器過濾請求,檢測SecurityContextHolder中是否存在Authentication物件，如果不存在，說明使用者尚未登入，此時為其提供一個匿名Authentication物件:AnonymousAuthentication。注意:在整個請求處理的

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

概述 Spring Security Web對請求提供了快取機制，如果某個請求被快取，它的提取和使用是交給RequestCacheAwareFilter完成的。系統在啟動時，Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

概述 Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來，然後登入成功後將快取的請求從快取中提取出來。針對該需求，Spring Security Web 提供了在http se

Spring Security Web 5.1.2 原始碼解析 -- RememberMeAuthenticationFilter

概述預設情況下，如果安全配置開啟了Remember Me機制，使用者在登入介面上會看到Remember Me選擇框，如果使用者選擇了該選擇框，會導致生成一個名為remember-me,屬性httpOnly為true的cookie，其值是一個RememberMe token。

Spring Security Web 5.1.2 原始碼解析 -- DefaultLogoutPageGeneratingFilter

概述 DefaultLogoutPageGeneratingFilter用於生成一個預設的使用者退出登入頁面，預設情況下，當用戶請求為GET /logout時，該過濾器會起作用，生成並展示相應的使用者退出登入表單頁面。使用者點選其中的表單提交按鈕會提交使用者退出登入請求到POST /

Spring Security Web 5.1.2 原始碼解析 -- DefaultLoginPageGeneratingFilter

概述當開發人員在安全配置中沒有配置登入頁面時，Spring Security Web會自動構造一個登入頁面給使用者。完成這一任務是通過一個過濾器來完成的，該過濾器就是DefaultLoginPageGeneratingFilter。該過濾器支援兩種登入情景: 使用

Spring Security Web 5.1.2 原始碼解析 -- UsernamePasswordAuthenticationFilter

概述該過濾器會攔截使用者請求，看它是否是一個來自使用者名稱/密碼錶單登入頁面提交的使用者登入認證請求，預設使用的匹配模式是:POST /login。預設情況下，如果是使用者登入認證請求，該請求就不會在整個filter chain中繼續傳遞了，而是會被當前過濾器處理並進入響應使用者階

Spring Security Web 5.1.2 原始碼解析 -- ExceptionTranslationFilter

概述該過濾器的作用是處理過濾器鏈中發生的 AccessDeniedException 和 AuthenticationException 異常，將它們轉換成相應的HTTP響應。當檢測到 AuthenticationException 異常時，該過濾器會啟動 authentic

Spring Security Web 5.1.2 原始碼解析 -- BasicAuthenticationFilter

概述處理HTTP請求中的BASIC authorization頭部，把認證結果寫入SecurityContextHolder。當一個HTTP請求中包含一個名字為Authorization的頭部，並且其值格式是Basic xxx時，該Filter會認為這是一個BASIC aut

Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

概述 Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操

Spring Security Core 5.1.2 原始碼解析 -- PasswordEncoderFactories

概述 PasswordEncoderFactories是Spring Security建立DelegatingPasswordEncoder物件的工廠類。該工廠所建立的DelegatingPasswordEncoder預設使用bcrypt用於加密，並且能夠用於匹配以下幾種密碼型別 :

Kibana 5.1.2 原始碼啟動錯誤解決辦法

對Kibana 5.1.2 原始碼進行分析時，發現按照Kibana提供的命令無法啟動，錯誤如下： # 啟動kibana原始碼 npm run start # 結果提示如下錯誤 bad option: --no-warnings 分析問題可能處在n

Spring Servlet Web 5.1.3 常用過濾器 : RequestContextFilter

概述該過濾器將當前請求暴露到當前執行緒，具體是通過org.springframework.context.i18n.LocaleContextHolder和RequestContextHolder。這樣當前請求隨後的處理過程中，就可以在當前執行緒中獲取的當前請求的資訊,而無需把請求

Spring Servlet Web 5.1.3 常用過濾器 : FormContentFilter

概述該過濾器針對DELETE,PUT和PATCH這三種HTTP method分析其FORM表單引數，將其暴露為Servlet請求引數。預設情況下，Servlet規範僅針對HTTP POST做這樣的要求。該過濾器繼承自OncePerRequestFilter,也就是說，它

Spring Servlet Web 5.1.3 常用過濾器 : HiddenHttpMethodFilter

概述該過濾器的作用是讀取POST表單中表示客戶端真正想用的HTTP method的隱藏欄位(預設情況下是_method)，將其值設定到請求的method屬性，也就是隨後通過HttpServletRequest#getMethod()獲取的值是POST表單中_method欄位的值，而

Spring Servlet Web 5.1.3 常用過濾器 : CharacterEncodingFilter

概述該過濾器允許指定字符集處理使用者請求或者響應。在瀏覽器沒有對請求指定字符集的情況下，我們可以使用該方案指定使用那種字符集處理請求。該過濾器應用在請求缺少字符集資訊時會應用指定的字符集，但也可以通過設定過濾器屬性forceRequestEncoding為true強制使用制定

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

相關推薦