第 9 章 圖解過濾器
9.1. HttpSessionContextIntegrationFilter
位于過濾器頂端,第一個起作用的過濾器。
用
途一,在執行其他過濾器之前,率先判斷用戶的session中是否已經存在一個SecurityContext了。如果存在,就把
SecurityContext拿出來,放到SecurityContextHolder中,供Spring
Security的其他部分使用。如果不存在,就創建一個SecurityContext出來,還是放到SecurityContextHolder中,
供Spring Security的其他部分使用。
用途二,在所有過濾器執行完畢后,清空SecurityContextHolder,因為SecurityContextHolder是基于ThreadLocal的,如果在操作完成后清空ThreadLocal,會受到服務器的線程池機制的影響。
只處理注銷請求,默認為/j_spring_security_logout。
用途是在用戶發送注銷請求時,銷毀用戶session,清空SecurityContextHolder,然后重定向到注銷成功頁面。可以與rememberMe之類的機制結合,在注銷的同時清空用戶cookie。
9.3. AuthenticationProcessingFilter
處理form登陸的過濾器,與form登陸有關的所有操作都是在此進行的。
默認情況下只處理/j_spring_security_check請求,這個請求應該是用戶使用form登陸后的提交地址,form所需的其他參數可以參考:???。
此過濾器執行的基本操作時,通過用戶名和密碼判斷用戶是否有效,如果登錄成功就跳轉到成功頁面(可能是登陸之前訪問的受保護頁面,也可能是默認的成功頁面),如果登錄失敗,就跳轉到失敗頁面。
9.4. DefaultLoginPageGeneratingFilter
此過濾器用來生成一個默認的登錄頁面,默認的訪問地址為/spring_security_login,這個默認的登錄頁面雖然支持用戶輸入用戶名,密碼,也支持rememberMe功能,但是因為太難看了,只能是在演示時做個樣子,不可能直接用在實際項目中。
如果想自定義登陸頁面,可以參考:第 4 章 自定義登陸頁面。
9.5. BasicProcessingFilter
此過濾器用于進行basic驗證,功能與AuthenticationProcessingFilter類似,只是驗證的方式不同。有關basic驗證的詳細情況,我們會在后面的章節中詳細介紹。
有關basic驗證的詳細信息,可以參考:第 12 章 basic認證。
9.6. SecurityContextHolderAwareRequestFilter
此過濾器用來包裝客戶的請求。目的是在原始請求的基礎上,為后續程序提供一些額外的數據。比如getRemoteUser()時直接返回當前登陸的用戶名之類的。
9.7. RememberMeProcessingFilter
此過濾器實現RememberMe功能,當用戶cookie中存在rememberMe的標記,此過濾器會根據標記自動實現用戶登陸,并創建SecurityContext,授予對應的權限。
有關rememberMe功能的詳細信息,可以參考:第 14 章 自動登錄。
9.8. AnonymousProcessingFilter
為了保證操作統一性,當用戶沒有登陸時,默認為用戶分配匿名用戶的權限。
有關匿名登錄功能的詳細信息,可以參考:第 15 章 匿名登錄。
9.9. ExceptionTranslationFilter
此過濾器的作用是處理中FilterSecurityInterceptor拋出的異常,然后將請求重定向到對應頁面,或返回對應的響應錯誤代碼。
9.10. SessionFixationProtectionFilter
防御會話偽造攻擊。有關防御會話偽造的詳細信息,可以參考:第 16 章 防御會話偽造。
9.11. FilterSecurityInterceptor
用戶的權限控制都包含在這個過濾器中。
功能一:如果用戶尚未登陸,則拋出AuthenticationCredentialsNotFoundException“尚未認證異常”。
功能二:如果用戶已登錄,但是沒有訪問當前資源的權限,則拋出AccessDeniedException“拒絕訪問異常”。
功能三:如果用戶已登錄,也具有訪問當前資源的權限,則放行。
至此,我們完全展示了默認情況下Spring Security中使用到的過濾器,以及每個過濾器的應用場景和顯示功能,下面我們會對這些過濾器的配置和用法進行逐一介紹。