Spring Security架构

文章目录

  • 过滤器回顾
  • DelegatingFilterProxy
  • FilterChainProxy
  • SecurityFilterChain
  • Security Filters
    • 打印Security Filters
    • 将自定义过滤器添加到过滤器链
  • Handling Security Exceptions
  • Saving Requests Between Authentication
    • RequestCache
      • Prevent the Request From Being Saved
    • RequestCacheAwareFilter

Spring Security 是一个提供 身份验证(authentication)授权(authorization)针对常见攻击的保护的框架。凭借对保护 Servlet应用程序Reactive应用程序的一流支持,它成为保护基于 Spring 的应用程序的事实上的标准。

Spring Security is a framework that provides authentication, authorization, and protection against common attacks. With first class support for securing both imperative and reactive applications, it is the de-facto standard for securing Spring-based applications.

本文主要介绍基于 Servlet 的应用程序中 Spring Security 的架构,不涉及基于 Reactive 应用程序的架构。

过滤器回顾

Spring Security 的 Servlet 支持是基于 Servlet Filter 的,因此首先大致了解一下 Filter 的作用是有帮助的。下图显示了单个 HTTP 请求处理的典型分层模型。

filterchain

客户端向应用程序发起请求,Web 容器创建一个 FilterChain,其中包含 Filter 实例和处理 HttpServletRequestServlet 的实例。在Spring MVC 应用程序中,这样的 ServletDispatcherServlet 实例。最多,一个 Servlet 可以处理一个 HttpServletRequestHttpServletResponse。但是,可以使用多个 Filter 用作:

  • 阻止下游 Filter 实例或 Servlet 实例被调用。在这种情况下, Filter 通常只处理 HttpServletResponse
  • 修改下游 Filter 实例和 Servlet 实例使用的 HttpServletRequestHttpServletResponse

Filter 的力量来自传递给它的 FilterChain

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {// do something before the rest of the applicationchain.doFilter(request, response); // invoke the rest of the application// do something after the rest of the application
}

Servlet 和 Filter 的基础知识

2021 07 27 13 14 47

由于 Filter 只影响下游的 Filter 实例和 Servlet 实例,因此调用每个 Filter 实例的顺序非常重要。

DelegatingFilterProxy

Spring提供了一个名为 DelegatingFilterProxyFilter 实现,它允许在Servlet容器的生命周期和Spring的 ApplicationContext 之间进行桥接。Servlet容器允许使用自己的标准注册 Filter 实例,但它不知道Spring定义的Bean。您可以通过标准Servlet容器机制注册 DelegatingFilterProxy ,但将所有工作委托给实现 Filter 的Spring Bean。

下面是 DelegatingFilterProxyFilterChain 中的位置:

DelegatingFilterProxyApplicationContext 查找Bean Filter 0 ,然后调用Bean Filter 0 。下面的清单显示了 DelegatingFilterProxy 的伪代码:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {Filter delegate = getFilterBean(someBeanName);delegate.doFilter(request, response);
}
  1. 延迟获取注册为 Spring Bean 的 Filter。DelegatingFilterProxy 中的delegate 是 Bean Filter 0 的实例。
  2. 将工作委托给 Spring Bean。

DelegatingFilterProxy 的另一个好处是它允许延迟查找 Filter bean实例。这很重要,因为容器需要在启动之前注册 Filter 实例。然而,Spring通常使用 ContextLoaderListener 来加载Spring Bean,直到需要注册 Filter 实例之后才完成。

FilterChainProxy

Spring Security 的 Servlet 支持包含在 FilterChainProxy 中。 FilterChainProxy 是Spring Security提供的一个特殊的 Filter ,它允许通过 SecurityFilterChain 委托给许多 Filter 实例。由于 FilterChainProxy 是一个Bean,它通常被包装在DelegatingFilterProxy中。

下图显示了 FilterChainProxy 的角色。

SecurityFilterChain

SecurityFilterChain 被FilterChainProxy用来确定应该为当前请求调用哪些Spring Security Filter 实例。

下图显示了 SecurityFilterChain 的角色。

SecurityFilterChain 中的安全过滤器通常是 Bean,但它们注册到 FilterChainProxy 而不是DelegatingFilterProxy。 FilterChainProxy 提供了许多直接注册 Servlet 容器或 DelegatingFilterProxy 的优点。

  • 首先,它为所有Spring Security的Servlet支持提供了一个起点。出于这个原因,如果您尝试对 Spring Security 的 Servlet 支持进行故障排除,在 FilterChainProxy 中添加调试点是一个很好的开始。
  • 其次,由于 FilterChainProxy 是 Spring Security 使用的核心,它可以执行不被视为可选的任务。例如,它清除了 SecurityContext 以避免内存泄漏。它还应用 Spring Security 的 HttpFirewall 来保护应用程序免受某些类型的攻击。
  • 此外,它在确定何时应调用 SecurityFilterChain 时提供了更大的灵活性。在 Servlet 容器中, Filter 实例仅根据URL调用。然而, FilterChainProxy 可以通过使用 RequestMatcher 接口来基于 HttpServletRequest 中的任何内容确定调用。

下图显示了 Multiple SecurityFilterChain 实例:

在 Multiple SecurityFilterChain 图中, FilterChainProxy 决定应该使用哪个 SecurityFilterChain 。仅调用第一个匹配的 SecurityFilterChain 。如果请求的URL为 /api/messages/ ,则它首先匹配 /api/**SecurityFilterChain0 模式,因此仅调用 SecurityFilterChain0 ,即使它也匹配 SecurityFilterChainn 。如果请求的URL为 /messages/ ,则它与 /api/**SecurityFilterChain0 模式不匹配,因此 FilterChainProxy 继续尝试每个 SecurityFilterChain 。假设没有其他 SecurityFilterChain 实例匹配,则调用 SecurityFilterChainn

请注意, SecurityFilterChain0 只配置了三个安全性 Filter 实例。但是, SecurityFilterChainn 配置了四个安全 Filter 实例。值得注意的是,每个 SecurityFilterChain 都可以是唯一的,并且可以单独配置。事实上,如果应用程序希望 Spring Security 忽略某些请求,则 SecurityFilterChain 可能没有安全性 Filter 实例。

Security Filters

安全过滤器通过 SecurityFilterChain API 插入 FilterChainProxy。这些过滤器可以用于许多不同的目的,如身份验证、授权、漏洞利用保护等。过滤器以特定的顺序执行,以保证它们在正确的时间被调用,例如,执行身份验证的 Filter 应该在执行授权的 Filter 之前被调用。通常不需要知道 Spring Security 的 Filter 的顺序。然而,有时候知道排序是有益的,如果你想知道它们,你可以查看 org.springframework.security.config.annotation.web.builders.FilterOrderRegistration.java 代码。部分代码如下图:

image-20240124164556175

打印Security Filters

WebSecurityConfig 配置类上修改@EnableWebSecurity注解

@EnableWebSecurity(debug = true)

启动服务可以看到终端中有提示信息输出

image-20240124173520533

前端请求接口,可以看到info信息

image-20240124173653343

将自定义过滤器添加到过滤器链

  1. 实现 Filter 接口

    public class TenantFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) servletRequest;HttpServletResponse response = (HttpServletResponse) servletResponse;String tenantId = request.getHeader("X-Tenant-Id"); boolean hasAccess = isUserAllowed(tenantId); if (hasAccess) {filterChain.doFilter(request, response); return;}throw new AccessDeniedException("Access denied"); }
    }
    
  2. 将自定义 Filter 添加到 Security Filter Chain 中

    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http// ....addFilterBefore(new TenantFilter(), AuthorizationFilter.class);return http.build();
    }
    

    通过在 AuthorizationFilter 之前添加过滤器,我们可以确保在身份验证过滤器之后调用 TenantFilter 。您还可以使用 HttpSecurity#addFilterAfter 将过滤器添加到特定过滤器之后,或使用 HttpSecurity#addFilterAt 将过滤器添加到过滤器链中的特定过滤器位置。

如果您仍然想将 filter 声明为 Spring bean 以利用依赖注入,并避免重复调用,则可以通过声明 FilterRegistrationBean bean并将其 enabled 属性设置为 false 来告诉Spring Boot不要将其注册到容器:

@Bean
public FilterRegistrationBean<TenantFilter> tenantFilterRegistration(TenantFilter filter) {FilterRegistrationBean<TenantFilter> registration = new FilterRegistrationBean<>(filter);registration.setEnabled(false);return registration;
}

Handling Security Exceptions

ExceptionTranslationFilter 允许将 AccessDeniedExceptionAuthenticationException 转换为HTTP响应。

ExceptionTranslationFilter 作为安全过滤器之一插入FilterChainProxy。

下图显示了 ExceptionTranslationFilter 与其他组件的关系:

  1. 首先,ExceptionTranslationFilter调用FilterChain.doFilter(request, response)应用程序的其余部分。
  2. 如果用户未经过身份验证或者是AuthenticationException,则开始身份验证
    • SecurityContextHolder被清除。
    • HttpServletRequest保存后,以便在身份验证成功后可用于重放原始请求。
    • 用于AuthenticationEntryPoint向客户端请求凭据。例如,它可能会重定向到登录页面或发送WWW-Authenticate标头。
  3. 否则,如果它是AccessDeniedException,则Access Denied。调用AccessDeniedHandler来处理拒绝访问。

如果应用程序不抛出 anAccessDeniedException或 an AuthenticationExceptionExceptionTranslationFilter则不执行任何操作。

// 伪代码
try {filterChain.doFilter(request, response); 
} catch (AccessDeniedException | AuthenticationException ex) {if (!authenticated || ex instanceof AuthenticationException) {startAuthentication(); } else {accessDenied(); }
}

Saving Requests Between Authentication

当请求没有身份验证并且是针对需要身份验证的资源时,需要保存已验证资源的请求,以便在身份验证成功后重新请求。在Spring Security中,这是通过使用 RequestCache 实现保存 HttpServletRequest 来完成的。

RequestCache

HttpServletRequest 保存在 RequestCache 中。当用户成功通过身份验证时,使用 RequestCache 来重放原始请求。 RequestCacheAwareFilter 是使用 RequestCache 来保存 HttpServletRequest 的。

默认情况下,使用 HttpSessionRequestCache 。下面的代码演示了如何自定义 RequestCache 实现,如果存在名为 continue 的参数,则该实现用于检查 HttpSession 是否已保存请求。

@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {HttpSessionRequestCache requestCache = new HttpSessionRequestCache();requestCache.setMatchingRequestParameterName("continue");http// ....requestCache((cache) -> cache.requestCache(requestCache));return http.build();
}

Prevent the Request From Being Saved

您可能不希望在会话中存储用户的未经身份验证的请求,原因有很多。您可能希望将该存储卸载到用户的浏览器上或将其存储在数据库中。或者您可能希望关闭此功能,因为您总是希望将用户重定向到主页,而不是他们在登录前试图访问的页面。

要做到这一点,您可以使用 NullRequestCache 实现。

@Bean
SecurityFilterChain springSecurity(HttpSecurity http) throws Exception {RequestCache nullRequestCache = new NullRequestCache();http// ....requestCache((cache) -> cache.requestCache(nullRequestCache));return http.build();
}

RequestCacheAwareFilter

RequestCacheAwareFilter 使用 RequestCache 来保存 HttpServletRequest

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/427627.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

考研C语言刷题基础篇之分支循环结构基础(二)

目录 第一题分数求和 第二题&#xff1a;求10 个整数中最大值 第三题&#xff1a;在屏幕上输出9*9乘法口诀表 第四题&#xff1a;写一个代码&#xff1a;打印100~200之间的素数 第五题&#xff1a;求斐波那契数的第N个数 斐波那契数的概念&#xff1a;前两个数相加等于第三…

MySQL进阶45讲【4】索引原理剖析(上)

1 前言 提到数据库索引&#xff0c;想必大家并不陌生&#xff0c;在日常工作中会经常接触到。比如某一个SQL查询比较慢&#xff0c;分析完原因之后&#xff0c;就会有“给某个字段加个索引”之类的解决方案。但到底什么是索引&#xff0c;索引又是如何工作的呢&#xff1f;今天…

MySQL数据库的锁机制

目录 一、引言 二、锁的类型及作用 2.1 行级锁 2.2 间隙锁与临键锁 2.3 共享锁与排他锁 2.4 意向锁 2.5 表级锁 2.6 元数据锁 三、锁的管理与优化 3.1 合理设置事务隔离级别 3.2 避免长事务 3.3 索引优化 3.4 明确锁定范围 3.5 避免不必要的全表扫描 四、实战分…

基于Java+SpringBoot+vue+element疫情物资捐赠分配系统设计和实现

基于JavaSpringBootvueelement疫情物资捐赠分配系统设计和实现 &#x1f345; 作者主页 央顺技术团队 &#x1f345; 欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; &#x1f345; 文末获取源码联系方式 &#x1f4dd; &#x1f345; 查看下方微信号获取联系方式 承接各种…

【大数据】Flink 系统架构

Flink 系统架构 1.Flink 组件1.1 JobManager1.2 ResourceManager1.3 TaskManager1.4 Dispatcher 2.应用部署2.1 框架模式2.2 库模式 3.任务执行4.高可用设置4.1 TaskManager 故障4.2 JobManager 故障 Flink 是一个用于状态化并行流处理的分布式系统。它的搭建涉及多个进程&…

antv/g6绘制数据流向图

antv/g6绘制数据流向图 前言接口模拟数据htmlts页面效果 前言 在业务开发中需要绘制数据流向图&#xff0c;由于echarts关系图的限制以及需求的特殊要求&#xff0c;转而使用antv/g6实现&#xff0c;本文以代码的方式实现数据流向需求以及节点分组,版本"antv/g6": “…

【java语言基础③】Java编程基础——Java中的变量、运算符

Java中的变量 1.什么是变量 变量&#xff1a;在程序运行期间&#xff0c;随时可能产生一些临时数据&#xff0c;应用程序会将这些数据保存在内存单元中&#xff0c;每个内存单元都用一个标识符标识&#xff0c;这些用于标识内存单元的标识符就称为变量&#xff0c;内存单元中…

文件上传技术总结

语言可解析的后缀 &#xff08;前提&#xff1a;在Apache httpd.conf 配置文件中有特殊语言的配置 AddHandler application/x-httpd-php .php 搭配大小写、双重、空格来进行 其中&#xff1a; phtml、pht、php3、php4和php5都是Apache和php认可的php程序的文件后缀 常见的…

Unity - gamma space下还原linear space效果

文章目录 环境目的环境问题实践结果要处理的点处理细节【OnPostProcessTexture 实现 sRGB 2 Linear 编码】 - 预处理【封装个简单的 *.cginc】 - shader runtime【shader需要gamma space下还原记得 #define _RECOVERY_LINEAR_IN_GAMMA】【颜色参数应用前 和 颜色贴图采样后】【…

Linux-共享内存

文章目录 前言一、system V共享内存申请共享内存挂载共享内存删除共享内存挂载删除共享内存 二、示例代码三.运行效果 前言 在这之前我们已经学习了两种进程间通信方式&#xff1a;匿名管道和命名管道。 从我们之前的学习已经知道&#xff0c;想让多个进程间进行通信就需要让他…

【多线程】ThreadLocal 详解,举例说明

ThreadLocal 是 Java 中的一个线程级别的变量&#xff0c;用于在多线程环境下保持变量的独立性。每个线程都可以独立地设置和获取 ThreadLocal 的值&#xff0c;而不会影响其他线程。通常情况下&#xff0c;ThreadLocal 被用来在方法或类之间传递变量。 1、原理&#xff1a; …

java数据结构与算法刷题-----LeetCode667. 优美的排列 II

java数据结构与算法刷题目录&#xff08;剑指Offer、LeetCode、ACM&#xff09;-----主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/123063846 解题思路 题目要求我们返回一个数组长度为n的数组&#xff0c;必须含有1~n…