SpringSecurity過濾器原理

ins1mnia發表於2021-12-02

SpringGse過濾器

SpringSecurity原理

主要過濾器鏈

SpringSecurity的功能主要是由一系列的過濾器鏈相互配合完成的。驗證一個過濾器之後放行到下一個過濾器鏈，然後到最後。

認證流程

過濾器作用

SecurityContextPersistenceFilter：會在每次請求處理之前從配置好的SecurityContextRepository中獲取SecurityContext安全上下文資訊，然後載入到SecurityContextHolder中，然後在該次請求處理完成之後，將SecurityContextHolder中關於這次請求的資訊儲存到一個“倉庫”中，然後將SecurityContextHolder中的資訊清除，例如在Session中維護一個使用者的安全資訊就是這個過濾器處理的。
DefaultLoginPageGeneratingFilter：如果沒有配置自定義登入頁面，那系統初始化時就會配置這個過濾器，並且用於在需要進行登入時生成一個登入表單頁面。
BasicAuthenticationFilter：檢測和處理http basic認證。
UsernamePasswordAuthenticationFilter：用於處理基於表單的登入請求，從表單中獲取使用者名稱和密碼。預設情況下處理來自/login的表單action。從表單中獲取使用者名稱和密碼時，預設使用的表單name屬性值為username和password，這倆個值也可以通過usernameParameter和passwordParameter在配置中自定義。

這個過濾器在表單提交登入請求之時會起作用。那麼假設現在採用SpringSecurity整合Jwt，那麼我需要配置一個Jwt登入認證類（繼承BasicAuthenticationFilter或者繼承OncePerRequestFilter都可以，因為BasicAuthenticationFilter繼承了OncePerRequestFilter），重寫過濾器方法。Jwt的token認證登入是需要在在採用使用者名稱密碼登入認證之前，所以在配置Jwt登入認證類的時候需要在UsernamePasswordAuthenticationFilter之前新增過濾器。
```
//配置自定義過濾器 新增jwt登入授權過濾器
//在過濾器UsernamePasswordAuthenticationFilter之前
http.addFilterBefore(jwtAuthenticationFilter,UsernamePasswordAuthenticationFilter.class);
```
RequestCacheAwareFilter：用來處理請求的快取。
SecurityContextHolderAwareRequestFilter：主要是包裝請求物件request。
AnonymousAuthenticationFilter：檢測SecurityContextHolder中是否存在Authentication物件，如果不存在則為其提供一個匿名Authentication。
SessionManagementFilter：管理Session的過濾器

ExceptionTranslationFilter：捕獲來自過濾器鏈的所有異常，並進行處理。但是隻處理兩類異常：AccessDeniedException和AuthenticationException 異常，其他的異常會繼續丟擲。

如果捕獲到的AuthenticationException，那麼將會使用其對應的AuthenticationEntryPoint的commence()方法處理。在處理之前，ExceptionTranslationFilter先使用RequestCache將當前的HTTPServletRequest的資訊儲存起來，方便使用者登入成功後可以跳轉到之前的頁面。

可以自定義AuthenticationException的處理方法。需要實現AuthenticationEntryPoint介面，然後重寫commence()方法。

/**
 * 當未登入或者token失效時訪問介面自定義的返回結果
 */
@Component
public class RestfulAuthorizationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json");
        PrintWriter writer = response.getWriter();
        RespBean bean = RespBean.error("請先登入!");
        bean.setCode(401);
        writer.write(new ObjectMapper().writeValueAsString(bean));
        writer.flush();
        writer.close();
    }
}

如果捕獲的AuthenticationDeniedException，那麼將會根據當前訪問的使用者是否已經登入認證做不同的處理，如果未登入，則會使用關聯的AuthenticationEntryPoint的commence()方法進行處理，否則將使用關聯的AccessDeniedHandler的handle()方法進行處理。

可以進行自定義AuthenticationDeniedException的處理方法。需要實現AccessDeniedHandler介面，然後重寫handle()方法。

@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json");
        PrintWriter writer = response.getWriter();
        RespBean error = RespBean.error("許可權不足，聯絡管理員!");
        writer.write(new ObjectMapper().writeValueAsString(error));
        error.setCode(403);
        writer.flush();
        writer.close();
    }
}

FilterSecurityInterceptor：可以看做過濾器鏈的出口
RememberMeAuthenticationFilter：當使用者沒有登入而直接訪問資源時, 從 cookie 裡找出使用者的資訊, 如果 Spring Security 能夠識別出使用者提供的remember me cookie, 使用者將不必填寫使用者名稱和密碼, 而是直接登入進入系統，該過濾器預設不開啟。

SecurityContextHolder

SecurityContext物件是安全上下文資訊，包括當前使用系統的使用者的資訊。每個使用者都會有它的安全上下文物件，所以把每一個使用者的SecurityContext儲存到SecurityContextHolder中。

SecurityContextHolder儲存SecurityContext的方式根據應用場景不同也有區別：

（1）單機系統，即應用從開啟到關閉的整個生命週期只有一個使用者在使用。由於整個應用只需要儲存一個SecurityContext（安全上下文即可）

（2）多使用者系統，比如典型的Web系統，整個生命週期可能同時有多個使用者在使用。這時候應用需要儲存多個SecurityContext（安全上下文），需要利用ThreadLocal進行儲存，每個執行緒都可以利用ThreadLocal獲取其自己的SecurityContext，及安全上下文。ThreadLocal內部會用陣列來儲存多個物件的。原理是，ThreadLocal會為每個執行緒開闢一個儲存區域，來儲存相應的物件。

Authentication：使用者資訊的表示

在SecurityContextHolder中儲存了當前與系統互動的使用者的資訊。Spring Security使用一個Authentication 物件來表示這些資訊。

Authentication 主要包含了：

使用者許可權集合
使用者證照（密碼）
細節（Details）
Principal（就是這個使用者的賬戶資訊）

在自定義登入認證過濾器的時候，記得需要把使用者的資訊（Authentication ）儲存到SecurityContextHolder中，以便後續使用者的正常使用。比如我在做和Jwt認證的整合的時候，繼承OncePerRequestFilter，重寫doFilterInternal方法，認證完token之後，就需要把使用者的資訊存入安全上下文Holder中。

UsernamePasswordAuthenticationToken authenticationToken
    =new UsernamePasswordAuthenticationToken(user,null, null);
authenticationToken.setDetails(new WebAuthenticationDetailsSource()
                               .buildDetails(request));

SecurityContextHolder.getContext().setAuthentication(authenticationToken);

關於SecurityContextHolder大概就這樣，有一些關於SecurityContextHolder具體的原始碼的細節可以參考一篇部落格：

https://www.cnblogs.com/longfurcat/p/9417912.html

過濾Servlet--過濾器
2016-08-30
Servlet過濾器
演算法(3)---布隆過濾器原理
2019-07-24
演算法過濾器
布隆過濾器的原理及應用
2021-08-12
過濾器
【Java基礎】--filter過濾器原理解析
2015-12-17
JavaFilter過濾器
Servlet過濾器介紹之原理分析薦
2007-03-16
Servlet過濾器
過濾器
2024-03-07
過濾器
Shiro原理解析（三）--再談過濾器
2019-03-27
過濾器
詳解布隆過濾器原理與實現
2021-12-05
過濾器
4、過濾器的使用及自定義過濾器
2024-03-21
過濾器
點雲濾波器與過濾器
2022-09-13
過濾器
代理過濾器
2019-04-22
過濾器
vue 過濾器
2020-11-02
Vue過濾器
Filter過濾器
2020-10-26
Filter過濾器
hbase過濾器
2021-12-06
過濾器
CAN過濾器
2018-06-23
過濾器
Servlet過濾器
2017-10-02
Servlet過濾器
26、過濾器
2016-06-11
過濾器
jms過濾器
2010-10-25
過濾器
DataV過濾器
2024-05-24
過濾器
Vue過濾器
2024-09-03
Vue過濾器
詳解布隆過濾器的原理和實現
2021-12-09
過濾器
Xor過濾器：比布隆Bloom過濾器更快，更小
2019-12-20
過濾器OOM
布隆過濾器(BloomFilter)原理實現和效能測試
2020-07-24
過濾器OOMFilter
Shiro原理解析(一)--過濾器的初始化
2019-03-15
過濾器
asp.net core MVC 過濾器之ActionFilter過濾器(二)
2017-08-26
ASP.NETMVC過濾器Filter
誠翔濾器光刻膠過濾器濾芯：保障光刻過程的高效與安全
2023-04-12
過濾器
Vue中過濾器
2020-03-16
Vue過濾器
布隆過濾器
2021-12-31
過濾器
vue---過濾器
2018-09-07
Vue過濾器
PHP 過濾器（Filter）
2018-11-25
PHP過濾器Filter
vue filters過濾器
2018-03-07
VueFilter過濾器
Java Filter過濾器
2016-12-05
JavaFilter過濾器
lucene Filter過濾器
2016-12-30
Filter過濾器
四種過濾器
2007-10-24
過濾器
Spring Cloud Gateway ---GatewayFilter過濾器、過濾器工廠(入門)
2019-03-12
SpringCloudGatewayFilter過濾器
監聽器和過濾器
2020-09-25
過濾器
Shiro原理解析（二）--過濾器的執行機制
2019-03-18
過濾器
過濾器應用【編碼、敏感詞、壓縮、轉義過濾器】
2018-02-08
過濾器