本篇内容介绍了“SecurityFilterChain的构建过程是怎样的”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
Spring Security嵌入Servlet的核心Bean为一个名称为 springSecurityFilterChain 的过滤器。该过滤器是Spring Security的核心入口。
无论何种方式的Web应用,Spring Security都是从IOC中获取“springSecurityFilterChain”的,这个Bean的注册入口只有一个,在类WebSecurityConfiguration中,该配置对象由注解@EnableWebSecurity开启
@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME) public Filter springSecurityFilterChain() throws Exception { ... return webSecurity.build(); }
建造者模式:WebSecurity,建造的产品为:Filter,具体类型为FilterChainProxy
public final class WebSecurity extends AbstractConfiguredSecurityBuilder<Filter, WebSecurity> implements SecurityBuilder<Filter>, ApplicationContextAware {...}
模板方法模式:AbstractConfiguredSecurityBuilder,模板方法为建造者的build方法,模板化之后调用doBuild方法,doBuild仍然是一个模板方法
@Override protected final O doBuild() throws Exception { synchronized (configurers) { buildState = BuildState.INITIALIZING; // ----- 初始化 ----- beforeInit(); init(); buildState = BuildState.CONFIGURING; // ----- 配置属性 ----- beforeConfigure(); configure(); buildState = BuildState.BUILDING; // ----- 建造产品 ----- O result = performBuild(); buildState = BuildState.BUILT; return result; } }
核心构建方法 performBuild 方法在子类中具体实现,此处构建类为WebSecurity
@Override protected Filter performBuild() throws Exception { // 链长度 int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size(); // SecurityFilterChain的构建 List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize); // 第一部分:来自不需要安全保护请求:ignoredRequest for (RequestMatcher ignoredRequest : ignoredRequests) { securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest)); } // 第二部分:来自需要安全保护请求:securityFilterChainBuilders for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) { securityFilterChains.add(securityFilterChainBuilder.build()); } // 构建代理类 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); // 防火墙 if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); } filterChainProxy.afterPropertiesSet(); Filter result = filterChainProxy; // 后置处理 postBuildAction.run(); // 构建完毕 return result; }
第一篇文章也说了,FilterChainProxy代理的多条SecurityFilterChain最终只能走一条,因此SecurityFilterChain来源十分重要,上面的代码说明来源是2部分,这两部分都是WebSecurity的私有属性,也就是可以在任何可以获得WebSecurity实例的位置进行配置,但是一般都会按照规约进行,防止代理混乱、不易读。以下WebSecurity的2个属性分别表示2种来源
private final List<RequestMatcher> ignoredRequests = new ArrayList<>(); private final List<SecurityBuilder<? extends SecurityFilterChain>> securityFilterChainBuilders = new ArrayList<>();
这两种来源的SecurityFilterChain其实涉及了2种构建者:WebSecurity和HttpSecurity,前者基于Web应用(一般就是MVC)来构建安全,后者基于请求-响应(一般而言就是HTTP)来构建安全。
基于Servlet的Web应用的安全访问控制,Spring Security与Spring MVC紧密集成。在WebSecurity可以进行整体的配置,优先级最高
WebSecurity内部类IgnoredRequestConfigurer提供了配置ignoredRequests的功能,并且提供了mvcMatchers(String... mvcPatterns)和mvcMatchers(HttpMethod method,String... mvcPatterns)两种配置入口。通过WebSecurity#ignoring方法就能拿到该对象实例并完成配置:该配置符合链式调用,每个IgnoredRequestConfigurer都可以构建一条SecurityFilterChain
@Override public void configure(WebSecurity web) throws Exception { super.configure(web); // 获取IgnoredRequest配置对象 web.ignoring() // 链式调用 .mvcMatchers("/login") // 链式调用 .mvcMatchers("/home") ; }
基于网络请求的安全访问控制,在Servlet中网络请求主要在Filter中,这部分主要是配置的Http请求流转过程中的安全。
大部分开发使用的就是这种来源,每个实例构建一条SecurityFilterChain。WebSecurity提供了addSecurityFilterChainBuilder方法来配置,因此通过WebSecurity实例也能完成配置,但是securityFilterChainBuilder构建流程复杂,一般都使用Spring Security提供的内置方法来简化这个流程,例如在WebSecurityConfigurerAdapter#init中就默认调用了addSecurityFilterChainBuilder(HttpSecurity)
@Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); }
针对方法级别的拦截:区分为前置拦截:beforeInvocation和后置拦截:afterInvocation,前后拦截原理基本一致。
这是开发者经常接触方式,这种模式引入一个专有名词:ConfigAttribute,直译:属性配置,但是对于开发而已可以称为:安全访问规则。
可以对任何路径配置(每个Controller方法其实对应的就是访问路径)安全访问规则。权限标识属于一种安全访问规则。
对安全访问规则ConfigAttribute能否满足访问资源的权限的决断,由AccessDecisionManager处理,AccessDecisionManager特定访问规则的web资源能否被访问。
而AccessDecisionManager做出决断需要当前账号的认证信息,因此在做出决断之前会尝试通过AuthenticationManager获取当前请求的身份认证信息。
这里获取认证信息、做出访问决断是Spring Security的另一个核心,会单独说明,本篇文章主要描述SecurityFilterChain的构建。
功能:配置基于请求路径的安全访问规则:ConfigAttribute
HttpSecurity主要配置Filter链,也就是SecurityFilterChain的来源,也是最常见的,当然也是最重要的,下面为默认的配置
http = new HttpSecurity(objectPostProcessor, authenticationBuilder,sharedObjects); if (!disableDefaults) { // @formatter:off http .csrf().and() .addFilter(new WebAsyncManagerIntegrationFilter()) .exceptionHandling().and() .headers().and() .sessionManagement().and() .securityContext().and() .requestCache().and() .anonymous().and() .servletApi().and() .apply(new DefaultLoginPageConfigurer<>()).and() .logout(); // @formatter:on ClassLoader classLoader = this.context.getClassLoader(); // 拿出IOC容器中所有AbstractHttpConfigurer具体类,逐个配置 List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader); for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) { http.apply(configurer); } } // 常见的配置方法:protected void configure(HttpSecurity http) throws Exception { configure(http);
这里默认会加入10个Configurer,每个对应一个Filter,defaultHttpConfigurers默认为空,可以自定义Bean来注册,会覆盖默认配置,再加上配置的WebAsyncManagerIntegrationFilter和平时常用的formLogin总共12个Filter,各种Filter之间时有序的。
configure(http);方法则是开发者重写的方法,用于扩展SecurityFilterChain中的Filter,同样此处定义会覆盖前面默认配置,每种configurer都与对应一种Filter
功能:配置Web请求通道转换后重定向,默认两种:安全的https->443、不安全的http->80,不区分的权限标识为:"ANY_CHANNEL"。如果不需要https保护接口,则不用配置该过滤器。
功能:将SecurityContext配置到异步请求WebAsyncManager中,MVC支持异步Controller,返回对象为:DeferredResult等
功能:对于session存在的请求,验证session是否过期,如果过期,则调用doLogout方法,否则更新session的访问时间。默认不启用该Filter,可以在sessionManagement#maximumSessions控制。
功能:持久化SecurityContext,即Security上下文,使得能从线程中获取到当前登录用户的信息,持久化方式默认是HttpSessionSecurityContextRepository即服务器Session,key="SPRING_SECURITY_CONTEXT"。
功能:在请求响应的头部添加自定义信息
功能:跨域处理,注意这个过滤器是Spring Security内部过滤器,在优先级更高过滤器中就返回的响应不会具有跨域能力
功能:跨站请求攻击防御,默认对"GET", "HEAD", "TRACE", "OPTIONS"请求进行CSRF保护,默认为session中保存CsrfToken,前后端进行验证
功能:匹配路径登出
功能:使用账号、密码模式的UsernamePasswordAuthenticationToken身份认证
功能: 在未指定登录登出页面时,生成默认的页面
功能:通过UsernamePasswordAuthenticationToken处理请求头中Basic格式的Authorization认证信息
功能:用来恢复登录流程中被中断(认证失败)的请求。
在RequestCacheConfigurer中对HttpRequest缓存条件加了以下默认限制
Csrf开启时:只能为GET请求
不缓存网站图标请求:即路径不能匹配“/**/favicon.*”
不缓存这三种媒体类型MediaType:"application/json"、"multipart/form-data"、"text/event-stream"
不缓存xjax请求,即请求头"X-Requested-With"不能为:"XMLHttpRequest"
功能:实现Servlet3 API接口,主要在SecurityContextHolderAwareRequestWrapper重写实现,例如getRemoteUser、getUserPrincipal、isUserInRole
功能:当用户没有登录而访问web资源时,可以从cookie或者内存中找出身份识别信息从而静默登录
功能:当Security Context中认证信息为null时设置Security Context=AnonymousAuthenticationToken,默认权限为"ROLE_ANONYMOUS"
功能:针对未持久化过SecurityContext的请求进行session会话固定(Session fixation)保护和限制用户打开会话数量。
功能:处理Spring Security流程中出现的异常,主要就是AuthenticationException和AccessDeniedException异常,获取到异常一般都会交给对应的AuthenticationEntryPoint#commence去处理,但是非AnonymousAuthenticationToken或者RememberMeAuthenticationToken产生的AccessDeniedException会交给过滤器中的accessDeniedHandler来处理(例如:403)
过滤器有排序的,整体排序如下
FilterComparator() { Step order = new Step(INITIAL_ORDER, ORDER_STEP); put(ChannelProcessingFilter.class, order.next()); put(ConcurrentSessionFilter.class, order.next()); put(WebAsyncManagerIntegrationFilter.class, order.next()); put(SecurityContextPersistenceFilter.class, order.next()); put(HeaderWriterFilter.class, order.next()); put(CorsFilter.class, order.next()); put(CsrfFilter.class, order.next()); put(LogoutFilter.class, order.next()); filterToOrder.put("org.springframework.security.oauth3.client.web.OAuth3AuthorizationRequestRedirectFilter",order.next()); filterToOrder.put("org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationRequestFilter",order.next()); put(X509AuthenticationFilter.class, order.next()); put(AbstractPreAuthenticatedProcessingFilter.class, order.next()); filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter",order.next()); filterToOrder.put("org.springframework.security.oauth3.client.web.OAuth3LoginAuthenticationFilter",order.next()); filterToOrder.put("org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationFilter",order.next()); put(UsernamePasswordAuthenticationFilter.class, order.next()); put(ConcurrentSessionFilter.class, order.next()); filterToOrder.put("org.springframework.security.openid.OpenIDAuthenticationFilter", order.next()); put(DefaultLoginPageGeneratingFilter.class, order.next()); put(DefaultLogoutPageGeneratingFilter.class, order.next()); put(ConcurrentSessionFilter.class, order.next()); put(DigestAuthenticationFilter.class, order.next()); filterToOrder.put("org.springframework.security.oauth3.server.resource.web.BearerTokenAuthenticationFilter", order.next()); put(BasicAuthenticationFilter.class, order.next()); put(RequestCacheAwareFilter.class, order.next()); put(SecurityContextHolderAwareRequestFilter.class, order.next()); put(JaasApiIntegrationFilter.class, order.next()); put(RememberMeAuthenticationFilter.class, order.next()); put(AnonymousAuthenticationFilter.class, order.next()); filterToOrder.put("org.springframework.security.oauth3.client.web.OAuth3AuthorizationCodeGrantFilter",order.next()); put(SessionManagementFilter.class, order.next()); put(ExceptionTranslationFilter.class, order.next()); put(FilterSecurityInterceptor.class, order.next()); put(SwitchUserFilter.class, order.next()); }
注意排序中FilterSecurityInterceptor的优先级别很低,防御的是Web中方法级别的安全。最终SecurityFilterChain来源如图示下
“SecurityFilterChain的构建过程是怎样的”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注亿速云网站,小编将为大家输出更多高质量的实用文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。