2. 程式人生 > >Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

阿新 發佈:2018-12-12

概述

Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來,然後登入成功後將快取的請求從快取中提取出來。

針對該需求,Spring Security Web 提供了在http session中快取請求的能力,也就是HttpSessionRequestCacheHttpSessionRequestCache所儲存的請求必須封裝成一個SavedRequest介面物件,實際上,HttpSessionRequestCache總是使用自己的SavedRequest預設實現DefaultSavedRequest

原始碼解析

package org.springframework.security.web.savedrequest;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.
 
security.web.PortResolver;
import org.springframework.security.web.PortResolverImpl;
import org.springframework.security.web.util.UrlUtils;
import org.springframework.security.web.util.matcher.AnyRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;

/**
 * RequestCache which stores the SavedRequest in the HttpSession.
 * 將SavedRequest儲存到HttpSession中的RequestCache。
 *
 * The DefaultSavedRequest class is used as the implementation.
 * 這裡使用的SavedRequest是其預設實現DefaultSavedRequest。
 *
 * @author Luke Taylor
 * @author Eddú Meléndez
 * @since 3.0
 */
 

public class HttpSessionRequestCache implements RequestCache {
	// 將請求快取到session時預設使用的session屬性名稱
	static final String SAVED_REQUEST = "SPRING_SECURITY_SAVED_REQUEST";
	protected final Log logger = LogFactory.getLog(this.getClass());

	// 用於解析請求中的 server:port 資訊
	private PortResolver portResolver = new PortResolverImpl();
	//  如果session不存在是否允許建立,預設為true可以建立
	private boolean createSessionAllowed = true;
	// 用於判斷哪些請求可以被快取的請求匹配器,預設為任何請求都可以被快取,
	// 實際上會被外部指定覆蓋成:
	// 1. 必須是 GET /**
	// 2. 並且不能是 /**/favicon.*
	// 3. 並且不能是 application.json
	// 4. 並且不能是 XMLHttpRequest (也就是一般意義上的 ajax 請求)
	private RequestMatcher requestMatcher = AnyRequestMatcher.INSTANCE;
	// 將請求快取到session時使用的session屬性名稱,初始化為使用SAVED_REQUEST
	private String sessionAttrName = SAVED_REQUEST;

	/**
	 * Stores the current request, provided the configuration properties allow it.
	 * 在配置屬性requestMatcher匹配的情況下快取當前請求
	 */
	public void saveRequest(HttpServletRequest request, HttpServletResponse response) {
		if (requestMatcher.matches(request)) {
			// 在配置屬性requestMatcher匹配的情況下快取當前請求,
			//  首先將當前請求包裝成一個DefaultSavedRequest,也就是從當前請求中獲取
			// 各種必要的資訊組裝成一個DefaultSavedRequest
			DefaultSavedRequest savedRequest = new DefaultSavedRequest(request,
					portResolver);

			// 獲取session並執行快取動作,也就是將上面建立的DefaultSavedRequest物件
			// 新增為session的一個名稱為this.sessionAttrName的屬性
			if (createSessionAllowed || request.getSession(false) != null) {
				// Store the HTTP request itself. Used by
				// AbstractAuthenticationProcessingFilter
				// for redirection after successful authentication (SEC-29)
				request.getSession().setAttribute(this.sessionAttrName, savedRequest);
				logger.debug("DefaultSavedRequest added to Session: " + savedRequest);
			}
		}
		else {
			logger.debug("Request not saved as configured RequestMatcher did not match");
		}
	}

	// 從session中提取所快取的請求物件,也就是獲取session中名稱為this.sessionAttrName的屬性,
	// 如果 session 不存在直接返回 null
	public SavedRequest getRequest(HttpServletRequest currentRequest,
			HttpServletResponse response) {
		HttpSession session = currentRequest.getSession(false);

		if (session != null) {
			return (SavedRequest) session.getAttribute(this.sessionAttrName);
		}

		return null;
	}

	// 從 session 中刪除所快取的請求物件,也就是移除session中名稱為this.sessionAttrName的屬性
	public void removeRequest(HttpServletRequest currentRequest,
			HttpServletResponse response) {
		HttpSession session = currentRequest.getSession(false);

		if (session != null) {
			logger.debug("Removing DefaultSavedRequest from session if present");
			session.removeAttribute(this.sessionAttrName);
		}
	}

	// 從 session 獲取快取的請求物件,檢驗它和當前請求是否一致,如果一致的話將其封裝成
	// 一個SavedRequestAwareWrapper返回,同時刪除所快取的請求。其他情況則不做任何修改
	// 動作,直接返回null。
	public HttpServletRequest getMatchingRequest(HttpServletRequest request,
			HttpServletResponse response) {
		// 從 session 獲取快取的請求物件	
		SavedRequest saved = getRequest(request, response);

		if (!matchesSavedRequest(request, saved)) {
		// 如果快取的請求和當前請求不匹配則返回null
			logger.debug("saved request doesn't match");
			return null;
		}
		// 如果快取的請求和當前請求匹配則刪除快取中快取的請求物件
		removeRequest(request, response);

		// 封裝和返回從快取中提取到的請求物件
		return new SavedRequestAwareWrapper(saved, request);
	}

	// 檢測當前請求和引數savedRequest是否匹配
	private boolean matchesSavedRequest(HttpServletRequest request, SavedRequest savedRequest) {
		if (savedRequest == null) {
			return false;
		}
		
		if (savedRequest instanceof DefaultSavedRequest) {
		// 如果savedRequest是一個DefaultSavedRequest,則使用DefaultSavedRequest的
		// 方法doesRequestMatch檢驗是否匹配
			DefaultSavedRequest defaultSavedRequest = (DefaultSavedRequest) savedRequest;
			return defaultSavedRequest.doesRequestMatch(request, this.portResolver);
		}

		// 如果savedRequest不是一個DefaultSavedRequest,則通過比較二者的url是否相等
		// 來檢驗二者是否匹配
		String currentUrl = UrlUtils.buildFullRequestUrl(request);
		return savedRequest.getRedirectUrl().equals(currentUrl);
	}

	/**
	 * Allows selective use of saved requests for a subset of requests. By default any
	 * request will be cached by the  saveRequest method.
	 * 
	 * If set, only matching requests will be cached.
	 * 
	 * 指定哪些請求會被快取,如果不指定,預設情況是所有請求都會被快取
	 * @param requestMatcher a request matching strategy which defines which requests
	 * should be cached.
	 */
	public void setRequestMatcher(RequestMatcher requestMatcher) {
		this.requestMatcher = requestMatcher;
	}

	/**
	 * If true, indicates that it is permitted to store the target URL and
	 * exception information in a new HttpSession (the default). In
	 * situations where you do not wish to unnecessarily create HttpSessions
	 * - because the user agent will know the failed URL, such as with BASIC or Digest
	 * authentication - you may wish to set this property to false.
	 */
	public void setCreateSessionAllowed(boolean createSessionAllowed) {
		this.createSessionAllowed = createSessionAllowed;
	}

	public void setPortResolver(PortResolver portResolver) {
		this.portResolver = portResolver;
	}

	/**
	 * If the sessionAttrName property is set, the request is stored in
	 * the session using this attribute name. Default is
	 * "SPRING_SECURITY_SAVED_REQUEST".
	 *
	 * @param sessionAttrName a new session attribute name.
	 * @since 4.2.1
	 */
	public void setSessionAttrName(String sessionAttrName) {
		this.sessionAttrName = sessionAttrName;
	}
}

相關推薦

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

概述 Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來,然後登入成功後將快取的請求從快取中提取出來。 針對該需求,Spring Security Web 提供了在http se

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionSecurityContextRepository

Spring Security Web提供的類HttpSessionSecurityContextRepository是一個SecurityContextRepository介面的實現,用於在HttpSession中儲存安全上下文(security context),這樣屬於同一個Htt

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

名稱 簡介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

概述 DefaultWebSecurityExpressionHandler是Spring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置,和當時的環境,對指定的Web安全表示式求值。 DefaultWebSecurityExpress

Spring Security Web 5.1.2 原始碼解析 -- SessionManagementFilter

概述 該過濾器會檢測從當前請求處理開始到目前為止的過程中是否發生了使用者登入認證行為(比如這是一個使用者名稱/密碼錶單提交的請求處理過程),如果檢測到這一情況,執行相應的session認證策略(一個SessionAuthenticationStrategy),然後繼續繼續請求的處理。

Spring Security Web 5.1.2 原始碼解析 -- AnonymousAuthenticationFilter

概述 此過濾器過濾請求,檢測SecurityContextHolder中是否存在Authentication物件,如果不存在,說明使用者尚未登入,此時為其提供一個匿名Authentication物件:AnonymousAuthentication。 注意:在整個請求處理的

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

概述 Spring Security Web對請求提供了快取機制,如果某個請求被快取,它的提取和使用是交給RequestCacheAwareFilter完成的。 系統在啟動時,Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取

Spring Security Web 5.1.2 原始碼解析 -- RememberMeAuthenticationFilter

概述 預設情況下,如果安全配置開啟了Remember Me機制,使用者在登入介面上會看到Remember Me選擇框,如果使用者選擇了該選擇框,會導致生成一個名為remember-me,屬性httpOnly為true的cookie,其值是一個RememberMe token。

Spring Security Web 5.1.2 原始碼解析 -- DefaultLogoutPageGeneratingFilter

概述 DefaultLogoutPageGeneratingFilter用於生成一個預設的使用者退出登入頁面,預設情況下,當用戶請求為GET /logout時,該過濾器會起作用,生成並展示相應的使用者退出登入表單頁面。使用者點選其中的表單提交按鈕會提交使用者退出登入請求到POST /

Spring Security Web 5.1.2 原始碼解析 -- DefaultLoginPageGeneratingFilter

概述 當開發人員在安全配置中沒有配置登入頁面時,Spring Security Web會自動構造一個登入頁面給使用者。完成這一任務是通過一個過濾器來完成的,該過濾器就是DefaultLoginPageGeneratingFilter。 該過濾器支援兩種登入情景: 使用

Spring Security Web 5.1.2 原始碼解析 -- UsernamePasswordAuthenticationFilter

概述 該過濾器會攔截使用者請求,看它是否是一個來自使用者名稱/密碼錶單登入頁面提交的使用者登入認證請求,預設使用的匹配模式是:POST /login。預設情況下,如果是使用者登入認證請求,該請求就不會在整個filter chain中繼續傳遞了,而是會被當前過濾器處理並進入響應使用者階

Spring Security Web 5.1.2 原始碼解析 -- ExceptionTranslationFilter

概述 該過濾器的作用是處理過濾器鏈中發生的 AccessDeniedException 和 AuthenticationException 異常,將它們轉換成相應的HTTP響應。 當檢測到 AuthenticationException 異常時,該過濾器會啟動 authentic

Spring Security Web 5.1.2 原始碼解析 -- BasicAuthenticationFilter

概述 處理HTTP請求中的BASIC authorization頭部,把認證結果寫入SecurityContextHolder。 當一個HTTP請求中包含一個名字為Authorization的頭部,並且其值格式是Basic xxx時,該Filter會認為這是一個BASIC aut

Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

概述 Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操

Spring Security Core 5.1.2 原始碼解析 -- PasswordEncoderFactories

概述 PasswordEncoderFactories是Spring Security建立DelegatingPasswordEncoder物件的工廠類。該工廠所建立的DelegatingPasswordEncoder預設使用bcrypt用於加密,並且能夠用於匹配以下幾種密碼型別 :

Kibana 5.1.2 原始碼啟動錯誤解決辦法

對Kibana 5.1.2 原始碼進行分析時,發現按照Kibana提供的命令無法啟動,錯誤如下: # 啟動kibana原始碼 npm run start # 結果提示如下錯誤 bad option: --no-warnings 分析問題可能處在n

Spring Servlet Web 5.1.3 常用過濾器 : RequestContextFilter

概述 該過濾器將當前請求暴露到當前執行緒,具體是通過org.springframework.context.i18n.LocaleContextHolder和RequestContextHolder。這樣當前請求隨後的處理過程中,就可以在當前執行緒中獲取的當前請求的資訊,而無需把請求

Spring Servlet Web 5.1.3 常用過濾器 : FormContentFilter

概述 該過濾器針對DELETE,PUT和PATCH這三種HTTP method分析其FORM表單引數,將其暴露為Servlet請求引數。 預設情況下,Servlet規範僅針對HTTP POST做這樣的要求。 該過濾器繼承自OncePerRequestFilter,也就是說,它

Spring Servlet Web 5.1.3 常用過濾器 : HiddenHttpMethodFilter

概述 該過濾器的作用是讀取POST表單中表示客戶端真正想用的HTTP method的隱藏欄位(預設情況下是_method),將其值設定到請求的method屬性,也就是隨後通過HttpServletRequest#getMethod()獲取的值是POST表單中_method欄位的值,而

Spring Servlet Web 5.1.3 常用過濾器 : CharacterEncodingFilter

概述 該過濾器允許指定字符集處理使用者請求或者響應。在瀏覽器沒有對請求指定字符集的情況下,我們可以使用該方案指定使用那種字符集處理請求。 該過濾器應用在請求缺少字符集資訊時會應用指定的字符集,但也可以通過設定過濾器屬性forceRequestEncoding為true強制使用制定