Spring Security系列之Handler

概述

与Spring、Spring MVC、Spring Boot一样,Spring Security里也有很多Handler接口、可以分为两大类,一类是普通的XxxHandler(见名知意),另一类是对应的ServerXxxHandler(RequestRejectedHandler除外)。

以AuthenticationSuccessHandler为例,Spring Security中用于处理认证成功事件的接口。通常与基于Servlet API的应用程序一起使用,如Spring MVC应用程序。当用户成功认证后,接口的实现类负责处理接下来的操作,如重定向到其他页面、生成认证成功的日志等。主要实现类是SavedRequestAwareAuthenticationSuccessHandler,它会将用户重定向到之前被拦截的原始请求地址。

而对应的ServerAuthenticationSuccessHandler,在Spring Security 5引入的新接口,用于处理WebFlux中的认证成功事件。WebFlux是Spring Framework 5中引入的反应式编程模型,用于构建响应式的、非阻塞的、事件驱动的应用程序。该接口的实现类负责发送响应给客户端,例如返回 JSON 格式的认证成功消息。

Spring Security里定义的Handler接口具体如下:

  • AuthenticationSuccessHandler
  • AuthenticationFailureHandler
  • LogoutHandler
  • LogoutSuccessHandler
  • AccessDeniedHandler
  • CsrfTokenRequestHandler
  • RequestRejectedHandler
  • ServerAuthenticationSuccessHandler
  • ServerAuthenticationFailureHandler
  • ServerLogoutHandler
  • ServerLogoutSuccessHandler
  • ServerAccessDeniedHandler
  • ServerCsrfTokenRequestHandler

AuthenticationSuccessHandler

AuthenticationSuccessHandler接口用来设置验证成功后的处理动作,源码如下:

public interface AuthenticationSuccessHandler {default void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authentication) throws IOException, ServletException {this.onAuthenticationSuccess(request, response, authentication);chain.doFilter(request, response);}void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException;
}

有两个同名onAuthenticationSuccess方法:default方法,用于处理特定的认证请求AuthenticationFilter;非default方法,则用来处理登录成功的具体事项。目前有3个实现类:

  • ForwardAuthenticationSuccessHandler:实现服务端跳转
  • SimpleUrlAuthenticationSuccessHandler:同时继承AbstractAuthenticationTargetUrlRequestHandler,通过其中的handle方法实现请求重定向
  • SavedRequestAwareAuthenticationSuccessHandler:继承自SimpleUrlAuthenticationSuccessHandler,在其基础上增加请求缓存的功能,可以记录之前请求的地址,进而在登录成功后重定向到一开始访问的地址。

在这里插入图片描述
开发者也可以配置自己的SavedRequestAwareAuthenticationSuccessHandler,方法如下:

SavedRequestAwareAuthenticationSuccessHandler successHandler() {SavedRequestAwareAuthenticationSuccessHandler handler = new SavedRequestAwareAuthenticationSuccessHandler;handler.setDefaultTargetUrl("/index");handler.setTargetUrlParameter("target");return handler;
}

ForwardAuthenticationSuccessHandler的onAuthenticationSuccess方法就一行:request.getRequestDispatcher(this.forwardUrl).forward(request, response);,即调用getRequestDispatcher方法进行服务端转发

AuthenticationFailureHandler

AuthenticationFailureHandler接口,用来设置用户验证失败后的处理动作,源码如下:

public interface AuthenticationFailureHandler {void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException;
}

实现类有:

  • SimpleUrlAuthenticationFailureHandler:默认,如果指定failureUrl,则跳转到该URL,未指定则返回401错误代码。也可以通过配置forwardToDestination属性将重定向改为服务器端跳转
  • ForwardAuthenticationFailureHandler:不管报哪种AuthenticationException,总是重定向到指定的URL
  • DelegatingAuthenticationFailureHandler:代理类,可根据不同的AuthenticationException类型,设置不同的Handlers
  • ExceptionMappingAuthenticationFailureHandler:可以根据不同的AuthenticationException类型,设置不同的跳转URL
  • AuthenticationEntryPointFailureHandler:可通过AuthenticationEntryPoint来处理登录异常

类继承图
在这里插入图片描述
DelegatingAuthenticationFailureHandler处理方法handle如下:

// 维护一个map,key是具体的异常类型,value是特定的Handler
private final LinkedHashMap<Class<? extends AuthenticationException>, AuthenticationFailureHandler> handlers;public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {for (Map.Entry<Class<? extends AuthenticationException>, AuthenticationFailureHandler> entry : this.handlers.entrySet()) {Class<? extends AuthenticationException> handlerMappedExceptionClass = entry.getKey();if (handlerMappedExceptionClass.isAssignableFrom(exception.getClass())) {AuthenticationFailureHandler handler = entry.getValue();handler.onAuthenticationFailure(request, response, exception);return;}}this.defaultHandler.onAuthenticationFailure(request, response, exception);
}

值得注意的是,Delegating,代理的意思。此实现类里维护一个Map(此Map集合支持通过构造函数的入参这种方式来实例化Handler类),然后在核心方法里对Map里的key进行遍历,与方法入参里的exception对比,比对成功则加以处理。最后使用默认的Handler加以处理。这种思想,在下面的几个Handler里,几乎都是如此。不同的是Map的key不一样,核心方法名不一样(一般都命名为handle()),对比项不一样(有的是对比request)。不再赘述。

LogoutHandler

LogoutHandler接口,设置logout过程中必须处理动作,logout后的重定向建议使用LogoutSuccessHandler,源码如下:

public interface LogoutHandler {void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication);
}

有如下几个实现类:

  • AbstractRememberMeServices:
  • CompositeLogoutHandler:
  • CookieClearingLogoutHandler:清除Cookie
  • CsrfLogoutHandler:通过CsrfTokenRepository清除CsrfToken
  • HeaderWriterLogoutHandler:
  • LogoutSuccessEventPublishingLogoutHandler:同时实现ApplicationEventPublisherAware,发布一个事件通知
  • OidcBackChannelLogoutHandler:
  • PersistentTokenBasedRememberMeServices
  • SecurityContextLogoutHandler
  • SpringSessionRememberMeServices
  • TokenBasedRememberMeServices

CompositeLogoutHandler接口源码如下:

private final List<LogoutHandler> logoutHandlers;
public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {for (LogoutHandler handler : this.logoutHandlers) {handler.logout(request, response, authentication);}
}

分析下来,与Delegating比较类似,不同的是,维护一个List<xxxHandler>,构造函数同样支持传入指定的List<xxxHandler>,然后在具体的handle方法里(此处是logout方法)for循环遍历list,分别使用具体的Handler来一一处理。类似地,下文也有几个CompositeXxxHandler,思想与此非常相似。

LogoutSuccessHandler

LogoutSuccessHandler接口,设置logout完成后需要处理动作,在LogoutHandler后被执行,LogoutHandler完成必要的动作(该过程不应该抛异常),LogoutSuccessHandler定位是处理后续更多的步骤,如重定向等,源码如下:

public interface LogoutSuccessHandler {void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException;
}

有如下几个实现类:

  • SimpleUrlLogoutSuccessHandler:和上面的AuthenticationSuccessHandler非常类似,继承AbstractAuthenticationTargetUrlRequestHandler,通过其中的handle方法实现请求重定向
  • DelegatingLogoutSuccessHandler:
  • HttpStatusReturningLogoutSuccessHandler:设置状态码200
  • ForwardLogoutSuccessHandler:通过构造函数传入的目标URL,即targetUrl参数实现转发。

AccessDeniedHandler

AccessDeniedHandler接口,用来设置访问拒绝后的处理动作,源码如下:

public interface AccessDeniedHandler {void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException;
}

有如下几个实现类:

  • NoOpAccessDeniedHandler:熟悉的NoOp。空实现,不做任何处理
  • AccessDeniedHandlerImpl:设置403错误码,然后转发请求,让下一个Handler来处理
  • DelegatingAccessDeniedHandler:
  • CompositeAccessDeniedHandler:组合模式,for循环遍历各个Handler实现类,依次调用其handle方法进行处理
  • InvalidSessionAccessDeniedHandler:清除缓存
  • ObservationMarkingAccessDeniedHandler:
  • RequestMatcherDelegatingAccessDeniedHandler:代理模式,维护一个map映射集合。根据具体的RequestMatcher匹配对应的Handler实现类,匹配成功则加以处理。最后使用defaultHandler加以处理。
  • OAuth2AccessDeniedHandler:spring-security-oauth2包里面的实现类,同时继承AbstractOAuth2SecurityExceptionHandler类,直接调用父类里的handle方法。

CsrfTokenRequestHandler

CSRF,Cross-Site Request Forgery,跨站请求伪造是一种攻击技术,攻击者利用用户在已登录的状态下发起的请求来执行非法操作。

CsrfTokenRequestHandler是Spring Security种用于处理CSRF攻击的处理程序。具体来说,浏览器向服务器发送请求时,服务器会在响应中返回一个CSRF令牌。在后续的请求中浏览器将该令牌包含在请求中,服务器会验证该令牌的有效性,从而防止CSRF攻击。

函数式接口,源码如下:

@FunctionalInterface
public interface CsrfTokenRequestHandler extends CsrfTokenRequestResolver {void handle(HttpServletRequest request, HttpServletResponse response, Supplier<CsrfToken> csrfToken);default String resolveCsrfTokenValue(HttpServletRequest request, CsrfToken csrfToken) {Assert.notNull(request, "request cannot be null");Assert.notNull(csrfToken, "csrfToken cannot be null");String actualToken = request.getHeader(csrfToken.getHeaderName());if (actualToken == null) {actualToken = request.getParameter(csrfToken.getParameterName());}return actualToken;}
}

实现类包括:

  • CsrfTokenRequestAttributeHandler
  • XorCsrfTokenRequestAttributeHandler:执行异或xor运算

RequestRejectedHandler

位于org.springframework.security.web.firewall包路径下,可知与防火墙策略相关,用于处理请求被拒绝的场景。当请求因为安全策略而被拒绝时,其实现类负责向用户发送相应的错误信息或执行其他定制的行为。

源码如下:

public interface RequestRejectedHandler {void handle(HttpServletRequest request, HttpServletResponse response, RequestRejectedException requestRejectedException) throws IOException, ServletException;
}

实现类包括:

  • DefaultRequestRejectedHandler:不做处理,抛出异常
  • HttpStatusRequestRejectedHandler:通过response.sendError(this.httpError);发送错误响应状态码,默认400,支持构造方法传参
  • ObservationMarkingRequestRejectedHandler:
  • CompositeRequestRejectedHandler:组合模式,for循环遍历列表里的所有实现类,一一加以处理。

ObservationMarkingRequestRejectedHandler的handle方法如下:

private final ObservationRegistry registry;public void handle(HttpServletRequest request, HttpServletResponse response, RequestRejectedException exception) throws IOException, ServletException {Observation observation = this.registry.getCurrentObservation();if (observation != null) {observation.error(exception);}
}

有点复杂。

ServerAuthenticationSuccessHandler

与AuthenticationSuccessHandler接口定义几乎一致,不同的是,只有一个非default方法,

HttpServletRequest request, HttpServletResponse response两个参数变成一个参数WebFilterExchange webFilterExchange,返回参数void也变成响应式的Mono<Void>

public interface ServerAuthenticationSuccessHandler {Mono<Void> onAuthenticationSuccess(WebFilterExchange webFilterExchange, Authentication authentication);
}

实现类:

  • DelegatingServerAuthenticationSuccessHandler
  • RedirectServerAuthenticationSuccessHandler
  • WebFilterChainServerAuthenticationSuccessHandler

ServerAuthenticationFailureHandler

同上面的ServerAuthenticationSuccessHandler非常类似。实现类:

  • RedirectServerAuthenticationFailureHandler
  • ServerAuthenticationEntryPointFailureHandler

ServerLogoutHandler

与上面的非常相似,实现类:

  • CsrfServerLogoutHandler
  • DelegatingServerLogoutHandler
  • HeaderWriterServerLogoutHandler
  • OidcBackChannelServerLogoutHandler
  • SecurityContextServerLogoutHandler
  • WebSessionServerLogoutHandler:将WebFilterExchange里保存的WebSession做失效处理:exchange.getExchange().getSession().flatMap(WebSession::invalidate);

ServerLogoutSuccessHandler

源码比较简单,实现类:

  • HttpStatusReturningServerLogoutSuccessHandler
  • RedirectServerLogoutSuccessHandler

ServerAccessDeniedHandler

ServerAccessDeniedHandler接口源码如下:

public interface ServerAccessDeniedHandler {Mono<Void> handle(ServerWebExchange exchange, AccessDeniedException denied);
}

实现类:

  • HttpStatusServerAccessDeniedHandler
  • ServerWebExchangeDelegatingServerAccessDeniedHandler

ServerCsrfTokenRequestHandler

接口定义如下:

@FunctionalInterface
public interface ServerCsrfTokenRequestHandler extends ServerCsrfTokenRequestResolver {void handle(ServerWebExchange exchange, Mono<CsrfToken> csrfToken);default Mono<String> resolveCsrfTokenValue(ServerWebExchange exchange, CsrfToken csrfToken) {Assert.notNull(exchange, "exchange cannot be null");Assert.notNull(csrfToken, "csrfToken cannot be null");return exchange.getFormData().flatMap((data) -> {return Mono.justOrEmpty((String)data.getFirst(csrfToken.getParameterName()));}).switchIfEmpty(Mono.justOrEmpty(exchange.getRequest().getHeaders().getFirst(csrfToken.getHeaderName())));}
}

`

参考

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/849734.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

短剧看剧系统投流版系统搭建,前端uni-app

短剧看剧系统投流版系统搭建,前端uni-app

目录 前言&#xff1a; 一、短剧看剧系统常规款短剧系统和投流版的区别&#xff1f; 二、后端体系 1.管理端&#xff1a; 2.代理投流端 三、功能区别 总结&#xff1a; 前言&#xff1a; 23年上半年共上新微短剧481部&#xff0c;相较于2022年全年上新的454部&#xff0…
阅读更多...
读AI未来进行式笔记06自动驾驶技术

读AI未来进行式笔记06自动驾驶技术

1. 跃层冲击 1.1. 每个社会其实都处于不同的楼层&#xff0c;往往处于更低楼层的社会&#xff0c;要承受来自更高楼层的社会发展带来的更大冲击 2. 驾驶 2.1. 开车时最关键的不是车&#xff0c;而是路 2.2. 人是比机器更脆弱的生命&am…
阅读更多...
JavaEE初阶---多线程编程(一.线程与进程)

JavaEE初阶---多线程编程(一.线程与进程)

目录 &#x1f923;一.线程与进程的概念与联系&#xff1a; 进程的基本概念&#xff1a; 线程的基本概念&#xff1a; 进程和线程的区别与联系&#xff1a; &#x1f643;代码执行实列&#xff1a; 1.通过继承Thread父类来实现多线程 2.通过实现Runnable接口来实现多线程…
阅读更多...
java调用GDAL及JTS实现生成泰森多边形(Voronoi图)的一种方法

java调用GDAL及JTS实现生成泰森多边形(Voronoi图)的一种方法

目录 一、关于泰森多边形 1.泰森多边形的特性 2.本文的目的 二、实现思路 1.gdal和jts库的maven坐标 2.jts生成泰森多边形的关键代码 3.使用GDAL读取源文件信息的关键代码 4.使用GDAL将生成的泰森多边形写入文件 三、实现结果 1.实现的效果 2.完整代码示例 一、关于…
阅读更多...
【稳定检索/投稿优惠】2024年智慧金融与财务管理国际会议(SFFM 2024)

【稳定检索/投稿优惠】2024年智慧金融与财务管理国际会议(SFFM 2024)

2024 International Conference on Smart Finance and Financial Management 2024年智慧金融与财务管理国际会议 【会议信息】 会议简称&#xff1a;SFFM 2024 截稿时间&#xff1a;以官网为准 大会地点&#xff1a;中国广州 会议官网&#xff1a;www.iacsffm.com 会议邮箱&am…
阅读更多...
【漏洞复现】海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞

【漏洞复现】海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞

0x01 产品简介 海康威视综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。海康威视集成化综合管理软件平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。 0x02 漏洞概述 由于…
阅读更多...
【安装笔记-20240607-Linux-适合个人用户及初创企业的 SSL 证书服务】

【安装笔记-20240607-Linux-适合个人用户及初创企业的 SSL 证书服务】

安装笔记-系列文章目录 安装笔记-20240607-Linux-适合个人用户及初创企业的 SSL 证书服务 文章目录 安装笔记-系列文章目录安装笔记-20240607-Linux-适合个人用户及初创企业的 SSL 证书服务 前言一、软件介绍名称&#xff1a;acme.sh主页官方介绍 二、安装步骤测试版本&#x…
阅读更多...
React@16.x(21)渲染流程-更新

React@16.x(21)渲染流程-更新

目录 1&#xff0c;更新的2种场景2&#xff0c;节点更新3&#xff0c;对比 diff 更新3.1&#xff0c;React 的假设3.1.2&#xff0c;key 2.1&#xff0c;找到了对比的目标2.1.1&#xff0c;节点类型一致1&#xff0c;空节点2&#xff0c;DOM节点3&#xff0c;文本节点4&#xf…
阅读更多...
Nginx 配置防护 缓慢的 HTTP拒绝服务攻击+点击劫持:X-Frame-Options未配置

Nginx 配置防护 缓慢的 HTTP拒绝服务攻击+点击劫持:X-Frame-Options未配置

一 安全团队检测网站 1 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击&#xff0c;攻击者操纵网络,对目标Web服务器进行海量HTTP请求攻击&#xff0c;直到服务器带宽被打满&#xff0c;造成了拒绝服务。 慢…
阅读更多...
Flink SQL实践

Flink SQL实践

环境准备 方式1&#xff1a;基于Standalone Flink集群的SQL Client 启动Flink集群 [hadoopnode2 ~]$ start-cluster.sh [hadoopnode2 ~]$ sql-client.sh ... 省略若干日志输出... Flink SQL> 方式2&#xff1a;基于Yarn Session Flink集群的SQL Client 启动hadoop集群…
阅读更多...
使用difflib实现文件差异比较用html显示

使用difflib实现文件差异比较用html显示

1.默认方式&#xff0c;其中加入文本过长&#xff0c;需要换行&#xff0c;因此做 contenthtml_output.replace(</style>,table.diff td {word-wrap: break-word;white-space: pre-wrap;max-width: 100%;}</style>)&#xff0c;添加换行操作 ps&#xff1a;当前te…
阅读更多...
内存经验分享

内存经验分享

目录 内存统计工具 /proc/meminfo Buddy ​​​​​​​​​​​​​​Slub ​​​​​​​Procrank /proc/pid/smaps ​​​​​​​Dumpsys meminfo 内存评估 内存泄漏 Lmk 水位调整 内存统计工具 /proc/meminfo 可以提供整体内存信息&#xff0c;各字段表示的意思如…
阅读更多...
mysql工具----dbForgeStudio2020

mysql工具----dbForgeStudio2020

dbForgeStudio2020&#xff0c;除了基本的操作外&#xff0c;还具有可调试mysql存储过程的功能&#xff0c;是一个不可夺得的mysql软件工具。 本文的软件将简单介绍软件的安装方式&#xff0c;仅供学习交流&#xff0c;不可做它用。 1.安装软件&#xff0c;安装后&#xff0c…
阅读更多...
【Linux操作系统】Linux中进程的五种状态:R、S、D、T、X以及僵尸进程、孤儿进程

【Linux操作系统】Linux中进程的五种状态:R、S、D、T、X以及僵尸进程、孤儿进程

操作系统中有许多同时执行的进程&#xff0c;这些进程都可能处于不同的状态代表着不同的含义。 R运行状态(running) 概念&#xff1a;并不意味着进程一定在运行中&#xff0c;它表明进程要么是在运行中要么在运行队列里。 我们运行可执行程序myproc利用指令 ps ajx可以看到进程…
阅读更多...
BC9 printf的返回值

BC9 printf的返回值

BC9 printf的返回值 这里我们先要了解库函数printf printf的返回值&#xff0c;是写入的字符总数 我们第一遍写代码时候可能写成这样: #include<stdio.h> int main() {int retprintf("Hello world!");printf("%d", ret);return 0; }我们发现这样是通…
阅读更多...
问题:在本案复议阶段,复议机关()。 #其他#媒体

问题:在本案复议阶段,复议机关()。 #其他#媒体

问题&#xff1a;在本案复议阶段&#xff0c;复议机关&#xff08;&#xff09;。 A&#xff0e;有权责令被申请人纠正违法的征税行为 B&#xff0e;应当对被申请人作出的税务具体行政行为所依据的事实证据、法律程序、法律依据及设定权利义务内容的合法性、适当性进行全面审…
阅读更多...
【JMeter接口测试工具】第二节.JMeter基本功能介绍(上)【入门篇】

【JMeter接口测试工具】第二节.JMeter基本功能介绍(上)【入门篇】

文章目录 前言一、获取所有学院信息接口执行二、线程组的介绍 2.1 并发和顺序执行 2.2 优先和最后执行线程组 2.3 线程组的设置细节三、HTTP请求的介绍四、查看结果树的配置使用总结 前言 一、获取所有学院信息接口执行 我们先针对一条简单的接口进行执行&#…
阅读更多...
【Spring Cloud Alibaba】13.自建存储对象服务与集成(minio版)

【Spring Cloud Alibaba】13.自建存储对象服务与集成(minio版)

文章目录 简介什么是云存储服务&#xff08;OSS&#xff09;为什么选择MiniIOMiniIO相关地址 搭建(docker)安装Docker部署MinIO创建存储桶配置存储桶设置存储桶可以直接在浏览器访问 集成到Spring Cloud Alibaba项目创建子模块引入依赖包项目结构配置文件工具类接口类测试 简介…
阅读更多...
别让你的品牌失去声音,品牌策划如何成为你的王牌?

别让你的品牌失去声音,品牌策划如何成为你的王牌?

品牌策划可不仅仅是一个简单的概念&#xff0c;它是一门真正的艺术和科学。 它涉及到在确立品牌定位之后&#xff0c;进行一系列精心设计的传播和推广活动&#xff0c;从而塑造和管理品牌&#xff0c;让品牌价值达到最大化。 在这个竞争激烈的市场中&#xff0c;想要让你的品…
阅读更多...
【人工智能】第三部分:ChatGPT的应用场景和挑战

【人工智能】第三部分:ChatGPT的应用场景和挑战

人不走空 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌赋&#xff1a;斯是陋室&#xff0c;惟吾德馨 目录 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023