Spring Security自定义拦截器

HttpSecurity实际上就是在配置Spring security的过滤器链,比如:CSRF,CORS,表单登录等,每个配置器对应一个过滤器,可以通过HttpSecurity配置过滤器的行为。

public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
  @Override
    public void configure(HttpSecurity http) throws Exception {
        http.anonymous().disable().authorizeRequests().
                antMatchers("/echo/**") // 访问资源
                .access("hasRole('ADMIN')")  // 访问资源所需要的权限;
                .and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());
    }
}

甚至可以像CRSF一样直接关闭过滤器,例如:SessionManagement

public SessionManagementConfigurer<HttpSecurity> sessionManagement() throws Exception{
     return (SessionManagementConfigurer) this.getOrApply(new SessionManagementConfig());
 }

Spring Security通过SessionManagermentConfigurer来配置SessionManagerment的行为,与SessionManagermentConfigurer类似的配置器还有CorsConfigurer,RememberMeConfigurer等,他们都实现了SecurityConfigurer的标准接口。

public interface SecurityConfigurer<O,B extends SecurityBuilder<O>>{
  // 各个配置器的初始化方法
  void init(B var1) throws Exception;
  // 各个配置器被统一调用的配置方法
  void configurer(B var1) throws Exception;
}

SessionManagementConfigurer是在configure方法中将最终的SessionManagementFilter插入过滤器链来实现会话管理的。

public void configure(H http){
  SecurityContextRepository securityContextRepository  = (SecurityContextRepository) http.getSharedObject(SecurityContextRepository.class);
  // 初始化 SessionManagementFilter
  SessionManagementFilter sessionManagementFilter = new SessionManagermentFilter(securityContextRepository,this.getSessionAuthenticationStartegy(http));
  if(this.sessionAuthenticationErrorUrl  != null){
      sessionManagementFilter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler(this.sessionAuthenticationErrorUrl));
  }
  InvalidSessionStrategy strategy = this.getInvalidSessionStrategy();
 if(strategy != null ){
    sessionManagementFilter.setInvalidSessionStrategy(strategy); 
 }  
 AuthenticationFailureHandler failureHandler = this.getSessionAuthenticationFailureHandler();
 if(failureHandler != null){
    sessionManagementFilter.setAuthenticationFailureHandler(failureHandler);
 }
 AuthenticationTrustResolver = trustResolver = (AuthenticationTrustResolver) http.getShareObject(AuthenticationTrustResolver.class);
}
if(trustResolver != null ){
  sessionManagementFilter.setTrustResolver(trustResolver);
}
sessionManagementFilter = (SessionManageFilter)this.postProcess(sessionManagementFilter);
// 将SessionManagementFilter 添加到过滤器上
http.addFilter(sessionManagementFilter);
if(this.isConcurrentSessionControlEnabled()){
  ConcurrentSessionFilter concurrentSessionFilter = this.createConcurencyFilter(http);
  concurrentSessionFilter = (ConcurrentSessionFilter)this.postProcess(concurrentSessionFilter);
  http.addFilter(concurrentSessionFilter);
}

除了Spring security提供的过滤器外,我们还可以添加自己的过滤器以实现更多的功能,这些都是可以在HttpSecurity中实现

// 将自定义的过滤器添加在指定过滤器之后
public HttpSecurity addFilterAfter(Filter filter,Class<? extends Filter> after){
  this.comparator.registerAfter(filter.getClass(),afterFilter);
  return this.addFilter(filter);
}

// 将自定义过滤器添加在指定过滤器之前
public HttpSecurity addFilterBefore(Filter filter,Class<? extends Filter> beforeFilter){
  this.comparator.registerBefore(filter.getClass(),beforeFilter);
  return this.addFilter(filter);
}

// 添加一个过滤器,但必须是Spring Security自身提供的过滤器实例或者继承过滤器,详情见FilterComparator类
public HttpSecurity addFilter(Filter){
  Class<? extends Filter> filterClass = filter.getClass();
  if(!this.comparator.isRegistered(filterClass)){
    throw new IllegalArgumentException(....);
  }else{
    this.filters.add(filter);
    return this;
  }
}

// 添加一个自定义过滤器在指定过滤器位置
public HttpSecurity addFilterAt(Filter filter,Class<? extends Filter> atFilter){
  this.comparator.registerAt(filter.getClass(),atFilter);
  return this.addFilter(filter);
}

虽然Spring Security 的过滤器链对过滤器没有特殊要求,只要继承了Filter即可,但是在Spring体系中,推荐使用OnePerRequestFilter来实现,它可以确保一次请求只会通过一次该过滤器(Filter实际并不能保证这一点)

其实关于这个自定义Filter,我个人感觉有个比较danteng的地方,比如:我们在实现图片验证码或者一些其他的登录相关的验证码的时候,我们可能会做到在账号跟密码验证了之后对这个验证码进行验证,然后我就必须有个这种操作: http.addFilterBefore(filter,UsernamePasswordAuthenticationFilter.class); 因为如果验证码验证错误,我们就不需要也没必要再往后验证了,所以我们得知道我们定义的这个验证码过滤器得在什么时候验证在哪个过滤器之前或者之后验证,那么问题来了,或许我们并不知道Spring Security给我们提供了哪些或者什么样的过滤器,我们得去记住这些过滤器,这就有点不友好了。在HttpSecurityBuilder接口中,有一段这样的注释:

* <ul>
     * <li>{@link ChannelProcessingFilter}</li>
     * <li>{@link ConcurrentSessionFilter}</li>
     * <li>{@link SecurityContextPersistenceFilter}</li>
     * <li>{@link LogoutFilter}</li>
     * <li>{@link X509AuthenticationFilter}</li>
     * <li>{@link AbstractPreAuthenticatedProcessingFilter}</li>
     * <li><a href="{@docRoot}/org/springframework/security/cas/web/CasAuthenticationFilter.html">CasAuthenticationFilter</a></li>
     * <li>{@link UsernamePasswordAuthenticationFilter}</li>
     * <li>{@link ConcurrentSessionFilter}</li>
     * <li>{@link OpenIDAuthenticationFilter}</li>
     * <li>{@link org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter}</li>
     * <li>{@link org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter}</li>
     * <li>{@link ConcurrentSessionFilter}</li>
     * <li>{@link DigestAuthenticationFilter}</li>
     * <li>{@link org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationFilter}</li>
     * <li>{@link BasicAuthenticationFilter}</li>
     * <li>{@link RequestCacheAwareFilter}</li>
     * <li>{@link SecurityContextHolderAwareRequestFilter}</li>
     * <li>{@link JaasApiIntegrationFilter}</li>
     * <li>{@link RememberMeAuthenticationFilter}</li>
     * <li>{@link AnonymousAuthenticationFilter}</li>
     * <li>{@link SessionManagementFilter}</li>
     * <li>{@link ExceptionTranslationFilter}</li>
     * <li>{@link FilterSecurityInterceptor}</li>
     * <li>{@link SwitchUserFilter}</li>
     * </ul>

非常爽眼~

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 218,122评论 6 505
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 93,070评论 3 395
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 164,491评论 0 354
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,636评论 1 293
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,676评论 6 392
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,541评论 1 305
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,292评论 3 418
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,211评论 0 276
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,655评论 1 314
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,846评论 3 336
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,965评论 1 348
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,684评论 5 347
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,295评论 3 329
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,894评论 0 22
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,012评论 1 269
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 48,126评论 3 370
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,914评论 2 355