xyz20003

圖 9.2. org.springframework.security.context.HttpSessionContextIntegrationFilter

位于過濾器頂端，第一個起作用的過濾器。

用 途一，在執(zhí)行其他過濾器之前，率先判斷用戶的session中是否已經(jīng)存在一個SecurityContext了。如果存在，就把 SecurityContext拿出來，放到SecurityContextHolder中，供Spring Security的其他部分使用。如果不存在，就創(chuàng)建一個SecurityContext出來，還是放到SecurityContextHolder中， 供Spring Security的其他部分使用。

用途二，在所有過濾器執(zhí)行完畢后，清空SecurityContextHolder，因為SecurityContextHolder是基于ThreadLocal的，如果在操作完成后清空ThreadLocal，會受到服務器的線程池機制的影響。

圖 9.3. org.springframework.security.ui.logout.LogoutFilter

只處理注銷請求，默認為/j_spring_security_logout。

用途是在用戶發(fā)送注銷請求時，銷毀用戶session，清空SecurityContextHolder，然后重定向到注銷成功頁面。可以與rememberMe之類的機制結(jié)合，在注銷的同時清空用戶cookie。

圖 9.4. org.springframework.security.ui.webapp.AuthenticationProcessingFilter

處理form登陸的過濾器，與form登陸有關(guān)的所有操作都是在此進行的。

默認情況下只處理/j_spring_security_check請求，這個請求應該是用戶使用form登陸后的提交地址，form所需的其他參數(shù)可以參考：???。

此過濾器執(zhí)行的基本操作時，通過用戶名和密碼判斷用戶是否有效，如果登錄成功就跳轉(zhuǎn)到成功頁面（可能是登陸之前訪問的受保護頁面，也可能是默認的成功頁面），如果登錄失敗，就跳轉(zhuǎn)到失敗頁面。

圖 9.5. org.springframework.security.ui.webapp.DefaultLoginPageGeneratingFilter

此過濾器用來生成一個默認的登錄頁面，默認的訪問地址為/spring_security_login，這個默認的登錄頁面雖然支持用戶輸入用戶名，密碼，也支持rememberMe功能，但是因為太難看了，只能是在演示時做個樣子，不可能直接用在實際項目中。

如果想自定義登陸頁面，可以參考：第 4 章 自定義登陸頁面。

圖 9.6. org.springframework.security.ui.basicauth.BasicProcessingFilter

此過濾器用于進行basic驗證，功能與AuthenticationProcessingFilter類似，只是驗證的方式不同。有關(guān)basic驗證的詳細情況，我們會在后面的章節(jié)中詳細介紹。

有關(guān)basic驗證的詳細信息，可以參考：第 12 章 basic認證。

圖 9.7. org.springframework.security.wrapper.SecurityContextHolderAwareRequestFilter

此過濾器用來包裝客戶的請求。目的是在原始請求的基礎(chǔ)上，為后續(xù)程序提供一些額外的數(shù)據(jù)。比如getRemoteUser()時直接返回當前登陸的用戶名之類的。

圖 9.8. org.springframework.security.ui.rememberme.RememberMeProcessingFilter

此過濾器實現(xiàn)RememberMe功能，當用戶cookie中存在rememberMe的標記，此過濾器會根據(jù)標記自動實現(xiàn)用戶登陸，并創(chuàng)建SecurityContext，授予對應的權(quán)限。

有關(guān)rememberMe功能的詳細信息，可以參考：第 14 章 自動登錄。

圖 9.9. org.springframework.security.providers.anonymous.AnonymousProcessingFilter

為了保證操作統(tǒng)一性，當用戶沒有登陸時，默認為用戶分配匿名用戶的權(quán)限。

有關(guān)匿名登錄功能的詳細信息，可以參考：第 15 章 匿名登錄。

圖 9.10. org.springframework.security.ui.ExceptionTranslationFilter

此過濾器的作用是處理中FilterSecurityInterceptor拋出的異常，然后將請求重定向到對應頁面，或返回對應的響應錯誤代碼。

圖 9.11. org.springframework.security.ui.SessionFixationProtectionFilter

防御會話偽造攻擊。有關(guān)防御會話偽造的詳細信息，可以參考：第 16 章 防御會話偽造。

圖 9.12. org.springframework.security.intercept.web.FilterSecurityInterceptor

用戶的權(quán)限控制都包含在這個過濾器中。

功能一：如果用戶尚未登陸，則拋出AuthenticationCredentialsNotFoundException“尚未認證異常”。

功能二：如果用戶已登錄，但是沒有訪問當前資源的權(quán)限，則拋出AccessDeniedException“拒絕訪問異常”。

功能三：如果用戶已登錄，也具有訪問當前資源的權(quán)限，則放行。