2. 程式人生 > >Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

阿新 發佈:2018-12-12

概述

Spring Security Web對請求提供了快取機制,如果某個請求被快取,它的提取和使用是交給RequestCacheAwareFilter完成的。

系統在啟動時,Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取失敗的話,會構建一個預設的RequestCache物件,然後例項化該過濾器 。

如果容器中不存在RequestCache bean,Spring Security Web所使用的預設RequestCache是一個HttpSessionRequestCache,它會將請求儲存在http session

中,而且不是所有的請求都會被快取,而是隻有符合以下條件的請求才被快取 :

  1. 必須是 GET /**
  2. 並且不能是 /**/favicon.*
  3. 並且不能是 application.json
  4. 並且不能是 XMLHttpRequest (也就是一般意義上的 ajax 請求)

上面請求快取條件的定義在RequestCacheConfigurer#createDefaultSavedRequestMatcher中。

原始碼分析

public class RequestCacheAwareFilter extends GenericFilterBean {
 


	private RequestCache requestCache;

	// 使用http session 作為請求快取的建構函式
	public RequestCacheAwareFilter() {
		this(new HttpSessionRequestCache());
	}

	// 外部指定請求快取物件的建構函式
	public RequestCacheAwareFilter(RequestCache requestCache) {
		Assert.notNull(requestCache, "requestCache cannot be null");
		this.requestCache =
 
 requestCache;
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		// 嘗試從請求快取中獲取跟當前請求匹配的被快取的請求
		HttpServletRequest wrappedSavedRequest = requestCache.getMatchingRequest(
				(HttpServletRequest) request, (HttpServletResponse) response);

		// 如果從快取中獲取的請求不為空,使用它繼續filter chain的執行,
		// 否則使用引數request繼續filter chain的執行
		chain.doFilter(wrappedSavedRequest == null ? request : wrappedSavedRequest,
				response);
	}

}

相關文章

Spring Security Web 5.1.2 原始碼解析 – 安全相關Filter清單
Spring Security Web 5.1.2 原始碼解析 – HttpSessionRequestCache

相關推薦

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

概述 Spring Security Web對請求提供了快取機制,如果某個請求被快取,它的提取和使用是交給RequestCacheAwareFilter完成的。 系統在啟動時,Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionSecurityContextRepository

Spring Security Web提供的類HttpSessionSecurityContextRepository是一個SecurityContextRepository介面的實現,用於在HttpSession中儲存安全上下文(security context),這樣屬於同一個Htt

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

名稱 簡介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

概述 DefaultWebSecurityExpressionHandler是Spring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置,和當時的環境,對指定的Web安全表示式求值。 DefaultWebSecurityExpress

Spring Security Web 5.1.2 原始碼解析 -- SessionManagementFilter

概述 該過濾器會檢測從當前請求處理開始到目前為止的過程中是否發生了使用者登入認證行為(比如這是一個使用者名稱/密碼錶單提交的請求處理過程),如果檢測到這一情況,執行相應的session認證策略(一個SessionAuthenticationStrategy),然後繼續繼續請求的處理。

Spring Security Web 5.1.2 原始碼解析 -- AnonymousAuthenticationFilter

概述 此過濾器過濾請求,檢測SecurityContextHolder中是否存在Authentication物件,如果不存在,說明使用者尚未登入,此時為其提供一個匿名Authentication物件:AnonymousAuthentication。 注意:在整個請求處理的

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

概述 Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來,然後登入成功後將快取的請求從快取中提取出來。 針對該需求,Spring Security Web 提供了在http se

Spring Security Web 5.1.2 原始碼解析 -- RememberMeAuthenticationFilter

概述 預設情況下,如果安全配置開啟了Remember Me機制,使用者在登入介面上會看到Remember Me選擇框,如果使用者選擇了該選擇框,會導致生成一個名為remember-me,屬性httpOnly為true的cookie,其值是一個RememberMe token。

Spring Security Web 5.1.2 原始碼解析 -- DefaultLogoutPageGeneratingFilter

概述 DefaultLogoutPageGeneratingFilter用於生成一個預設的使用者退出登入頁面,預設情況下,當用戶請求為GET /logout時,該過濾器會起作用,生成並展示相應的使用者退出登入表單頁面。使用者點選其中的表單提交按鈕會提交使用者退出登入請求到POST /

Spring Security Web 5.1.2 原始碼解析 -- DefaultLoginPageGeneratingFilter

概述 當開發人員在安全配置中沒有配置登入頁面時,Spring Security Web會自動構造一個登入頁面給使用者。完成這一任務是通過一個過濾器來完成的,該過濾器就是DefaultLoginPageGeneratingFilter。 該過濾器支援兩種登入情景: 使用

Spring Security Web 5.1.2 原始碼解析 -- UsernamePasswordAuthenticationFilter

概述 該過濾器會攔截使用者請求,看它是否是一個來自使用者名稱/密碼錶單登入頁面提交的使用者登入認證請求,預設使用的匹配模式是:POST /login。預設情況下,如果是使用者登入認證請求,該請求就不會在整個filter chain中繼續傳遞了,而是會被當前過濾器處理並進入響應使用者階

Spring Security Web 5.1.2 原始碼解析 -- ExceptionTranslationFilter

概述 該過濾器的作用是處理過濾器鏈中發生的 AccessDeniedException 和 AuthenticationException 異常,將它們轉換成相應的HTTP響應。 當檢測到 AuthenticationException 異常時,該過濾器會啟動 authentic

Spring Security Web 5.1.2 原始碼解析 -- BasicAuthenticationFilter

概述 處理HTTP請求中的BASIC authorization頭部,把認證結果寫入SecurityContextHolder。 當一個HTTP請求中包含一個名字為Authorization的頭部,並且其值格式是Basic xxx時,該Filter會認為這是一個BASIC aut

Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

概述 Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操

Spring Security Core 5.1.2 原始碼解析 -- PasswordEncoderFactories

概述 PasswordEncoderFactories是Spring Security建立DelegatingPasswordEncoder物件的工廠類。該工廠所建立的DelegatingPasswordEncoder預設使用bcrypt用於加密,並且能夠用於匹配以下幾種密碼型別 :

Kibana 5.1.2 原始碼啟動錯誤解決辦法

對Kibana 5.1.2 原始碼進行分析時,發現按照Kibana提供的命令無法啟動,錯誤如下: # 啟動kibana原始碼 npm run start # 結果提示如下錯誤 bad option: --no-warnings 分析問題可能處在n

Spring Servlet Web 5.1.3 常用過濾器 : RequestContextFilter

概述 該過濾器將當前請求暴露到當前執行緒,具體是通過org.springframework.context.i18n.LocaleContextHolder和RequestContextHolder。這樣當前請求隨後的處理過程中,就可以在當前執行緒中獲取的當前請求的資訊,而無需把請求

Spring Servlet Web 5.1.3 常用過濾器 : FormContentFilter

概述 該過濾器針對DELETE,PUT和PATCH這三種HTTP method分析其FORM表單引數,將其暴露為Servlet請求引數。 預設情況下,Servlet規範僅針對HTTP POST做這樣的要求。 該過濾器繼承自OncePerRequestFilter,也就是說,它

Spring Servlet Web 5.1.3 常用過濾器 : HiddenHttpMethodFilter

概述 該過濾器的作用是讀取POST表單中表示客戶端真正想用的HTTP method的隱藏欄位(預設情況下是_method),將其值設定到請求的method屬性,也就是隨後通過HttpServletRequest#getMethod()獲取的值是POST表單中_method欄位的值,而

Spring Servlet Web 5.1.3 常用過濾器 : CharacterEncodingFilter

概述 該過濾器允許指定字符集處理使用者請求或者響應。在瀏覽器沒有對請求指定字符集的情況下,我們可以使用該方案指定使用那種字符集處理請求。 該過濾器應用在請求缺少字符集資訊時會應用指定的字符集,但也可以通過設定過濾器屬性forceRequestEncoding為true強制使用制定