SpringSecurity官网的Architecture部分的翻译

翻译 已于 2022-11-07 17:07:47 修改 · 471 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://docs.spring.io/spring-security/reference/servlet/architecture.html
文章标签:

#servlet #java #spring

于 2022-06-29 16:16:47 首次发布

SpringSecurity的架构

前言

由于自动翻译太过拉跨,所以我自己手动翻译了一些SpringSecurity框架文档,顺带提高自己的英语阅读水平。如果觉得翻译的不对,那么大家就多从自己身上找找毛病

基本信息

版本:5.7.2
网址:https://docs.spring.io/spring-security/reference/servlet/architecture.html
笔记日期:2022-6-24

体系机构

这一部分我们讨论基于Servlet应用程序的SpringSecurity的高级架构。我们构建了这种高级的理解在Authentication, Authorization, Protection Against Exploits的引用中。

过滤器复习

这个客户端发出一个请求给应用程序, 并且容器创建了一个包含Filter(过滤器)和服务程序的过滤链,过滤器和服务程序应该基于请求的地址来处理这些请求。在SpringMVC的应用程序中servlet是一个DispatcherServlet的实例。一个servelet最多可以处理一个的请求和响应。然而,超过一个的Filter可以这样使用:
在这里插入图片描述

1、防止下方的过滤器或者Servlet被调用。在这种情况下,过滤器通常写入HttpServletResponse

2、通过使用下方的过滤器和servlet改变请求或者响应。
以上的能力通过过滤链(FilterChain)被传递给过滤器(Filter)。
在这里插入图片描述

因为一个过滤器只影响下方过滤器和servlet, 所以每个过滤器被调用的顺序就显得极为重要。

DelegatingFilterProxy(委托过滤代理)

Spring 提供了一个名叫DelegatingFilterProxy的过滤器,它允许在servlet容器的生命周期和Spring应用程序上下文之间建立关系。虽然这个servlet容器允许使用他自己的标准去注册过滤器,但它并不会注意到Spring定义的Bean。虽然DelegatingFilterProxy可以 以标准的servlet容器机制注册,但它还是将所有的工作委托给一个实现了过滤器的Spring Bean

这里有一张DelegatingFilterProxy如何融入到过滤器和过滤链里的图片。
在这里插入图片描述

DelegatingFilterProxyApplicationContext寻找 Filter0, 随后调用这个Bean。DelegatingFilterProxy的伪代码如下所示:
在这里插入图片描述

DelegatingFilterProxy的另一个好处是延迟加载Filter的Bean实例。这点很重要,因为容器需要在启动之前就要去注册过滤器实例。然而,Spring通常需要等到Filter实例被注册之后,才使用ContextLoaderListener去加载Spring的Beans

FilterChainProxy(过滤链代理)

Spring Security的Servlet包含在FilterChainProxy中。FilterChainProxy是一个由SpringSecurity提供的一个特殊的Filter,它允许通过SecurityFilterChain委托给多个Filter。因为FilerChainProxy是一个Bean,所以它一般被包装在DelegatingFilterProxy中。
在这里插入图片描述

SecurityFilterChain(安全过滤链)

SecurityFilterChain是由FilterChainProxy用于确定哪些Spring Security Filter 应该被当前请求调用
在这里插入图片描述

以上的Security Filter通常是Bean的形式存在于SecurityFilterChain中,但它们由FilterChainProxy注册,而不是DelegatingFilterProxy,这相较于直接向Servlet容器或DelegatingFilterProxy注册有很多的优势。

首先,它为Spring Security的所有Servlet支持提供了一个起点。因此,如果您试图对Spring Security的Servlet支持进行故障排除,在FilterChainProxy中添加断点是一个很好的(调试)起点。

其次,由于FilterChainProxy是SpringSecurity使用的核心,它可以执行不被视为可选的任务。例如,它可以清理SecurityConte以避免内存泄漏。它还应用了Spring Security的HttpFirewall来保护应用程序免受某些类型的攻击。

此外,它在确定一个应当被调用的SecurityFilterChain时更加灵活。在Servlet容器中,过滤器的调用仅基于URL。然而,FilterChainProxy通过利用RequestMatcher接口,可以基于HttpServletRequest中的任何内容确定调用

事实上,FilterChainProxy可以用来确定应该使用哪个SecurityFilterChain。这允许为应用程序的不同部分提供完全独立的配置
在这里插入图片描述

多个SecurityFilterChain情况中FilterChainProxy决定应该使用哪一个SecurityFilterChain。只有第一个匹配的SecurityFilterChain才会被调用。如果请求的URL是**/api/messages/,它将首先会匹配上SecurityFilterChain0**,因此只会调用SecurityFilterChain0即使SecurityFilterChainN(最后一个SecurityFilterChain)也会被匹配上。如果请求的URL是/messages/,它不会与SecurityFilterChain0的/api/messages/相匹配,所以FilterChainProxy将继续尝试其他所有的SecurityFilterChain。假设没有其他模式(0 – n中间),SecurityFilterChain 实例匹配的SecurityFilterChainN将被调用。

请注意,SecurityFilterChain0只配置了三个过滤器。但是,SecurityFilterChainN配置了四个过滤器。值得注意的是,每一个SecurityFilterChain都是唯一并且可以单独配置。事实上,一个SecurityFilterChain可能一个Filter也没有,如果应用程序希望Spring Security忽略某些请求的话。

Security Filters(安全过滤器)

Security Filter 被SecurityFilterChain的API插入到FilterChainProxy中。这些Filter的顺序是很重要的。通常我们并不需要去知道SpringSecurity中Filter的顺序。但有时候,知道顺序是有帮助的。

以下是SpringSecurity Filter的综合清单顺序(注释为自己找的资料猜着写的):

//强制要求创建Session过滤器 用于强制生成Session
//与下面的SessionManagementFilter相关联
ForceEagerSessionCreationFilter
//通道过滤器 规定哪些请求必须走http协议 哪些走https协议
ChannelProcessingFilter
//Web异步管理集成过滤器 
//此过滤器使得WebAsync异步线程能够获取到当前认证信息
WebAsyncManagerIntegrationFilter
//安全上下文存在过滤器 
//控制SecurityContext的在一次请求中的生命周期,请求结束时清空,防止内存泄漏。
SecurityContextPersistenceFilter
//请求头写入过滤器 用来给相应添加一些header
HeaderWriterFilter
//跨域过滤器 一般用在跨域请求资源的时候
CorsFilter
//跨域请求伪造过滤器 用于防止csrf攻击
CsrfFilter
//登出过滤器 退出登录时的逻辑
LogoutFilter
//Oauth2请求鉴权重定向过滤器,需配合OAuth2.0的模块使用
OAuth2AuthorizationRequestRedirectFilter
//Saml2单点认证过滤器。需配合Spring Security SAML模块使用。
Saml2WebSsoAuthenticationRequestFilter
//X.509证书认证过滤器。
X509AuthenticationFilter
//预认证处理的抽象过滤器 自定义过滤器的基类
AbstractPreAuthenticatedProcessingFilter
//CAS 单点登录认证过滤器 。配合Spring Security CAS模块使用
CasAuthenticationFilter
//OAuth2 登录认证过滤器。处理通过 OAuth2 进行认证登录的逻辑
OAuth2LoginAuthenticationFilter
//SMAL 的 SSO 单点登录认证过滤器
Saml2WebSsoAuthenticationFilter
//用户名密码认证过滤器。 最主要的认证过滤器 账户的验证在这里进行
UsernamePasswordAuthenticationFilter
//OpenID认证过滤器。需要在依赖中依赖额外的相关模块才能启用它
OpenIDAuthenticationFilter
//默认登入页生成过滤器。默认 /login 
DefaultLoginPageGeneratingFilter
//默认登出页生成过滤器。 默认 /logout 
DefaultLogoutPageGeneratingFilter
//session管理,用于判断session是否过期。该过滤器可能会被多次执行
ConcurrentSessionFilter
//摘要认证过滤器。Web 应用程序中流行的可选的身份验证机制 
DigestAuthenticationFilter
//Bearer标准token认证过滤器。
BearerTokenAuthenticationFilter
//标准认证过滤器 Web 应用程序中流行的可选的身份验证机制 
//负责处理 HTTP 头中显示的基本身份验证凭据
BasicAuthenticationFilter
//请求缓存过滤器。主要作用是认证完成后恢复认证前的请求继续执行
RequestCacheAwareFilter
//安全上下文持有者感知请求过滤器 用于实现servlet的一些api
SecurityContextHolderAwareRequestFilter
//Jaas认证过滤器。适用于JAAS (Java 认证授权服务)
JaasApiIntegrationFilter
//记住我认证过滤器。处理“记住我”功能的过滤器。
RememberMeAuthenticationFilter
//匿名认证过滤器 如果访问不需要授权的资源 则以匿名身份访问 
AnonymousAuthenticationFilter
//OAuth2授权码过滤器
OAuth2AuthorizationCodeGrantFilter
//Session管理器过滤
//其中SessionAuthenticationStrategy 用于管理 Session 
SessionManagementFilter
//异常翻译过滤器 过滤链中的异常会等到了此处再一并处理
ExceptionTranslationFilter
//过滤器安全拦截器 这个过滤器决定了访问特定路径应该具备的权限
FilterSecurityInterceptor
//账户切换过滤器 用来做账户切换的
SwitchUserFilter

Handling Security Exceptions(处理Security异常)

ExceptionTranslationFilter允许将AccessDeniedExceptionAuthenticationException转换为HTTP响应ExceptionTranslationFilter作为SecurityFilter之一插入到FilterChainProxy中。
在这里插入图片描述

1、首先ExceptionTranslationFilter去调用**FilterChain.doFilter(request, response)**方法调用应用程序的其他部分。

2、如果一个用户并未认证或者是一个认证异常AuthenticationException),(未认证的话)然后就Start Authentication
一、清除SecurityContextHolder
二、将HttpServletRequest保存在RequestCache中。当用户成功通过认证,这个RequestCache用于重现最初的request
三、AuthenticationEntryPoint被用作是客户端请求的证书。例如,它可能重定向到登录页面或发送WWW-Authenticate标头。

3、如果是AccessDeniedException(拒绝访问异常),就会拒绝访问。调用AccessDeniedHandler来处理被拒绝的访问。

注意:如果一个应用程序没有抛出任何异常:AccessDeniedException或者AuthenticationException,那么AccessDeniedHandler不会做任何事情

ExceptionTranslationFilter的伪代码看起来像以下这样:
在这里插入图片描述

1、回顾上面的过滤器复习,您会记得调用FilterChain.doFilter(request,response)相当于调用应用程序的其余部分。这意味着如果程序的其他部分(即FilterSecurityInterceptor or method security)抛出一个AuthenticationException或者AccessDeniedException 就会在这里被捕获和处理。

2、如果用户未被认证或者是一个AuthenticationException,就会Start Authentication(开始认证)

3、否者,拒绝访问

Spring Security 简明架构
Kaybee - 练级之路
10-09 412
Spring Security 简明架构 Spring Security 主要涉及2大核心功能: Authentication and Access Control authentication - who are you? (你是谁)- 认证 access control or authorization - what are you allowed to do? (你能干什么) - 授权 ...
CORBA 架构体系指南(通用对象请求代理体系架构)​
java_beautiful的博客
06-27 491
通用对象请求代理体系架构 (CORBA) 是由对象管理组 (OMG) 定义的标准,它使以多种计算机语言编写并在多台计算机上运行的软件组件能够协同工作。 CORBA 是一种跨网络分发对象的标准,以便可以远程调用对这些对象的操作。CORBA 与特定的编程语言无关,任何具有 CORBA 绑定的语言都可以用来调用和实现 CORBA 对象。对象以称为接口定义语言 (IDL) 的语法进行描述。...
spring security中文版
11-22
本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题—— 即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 不管你是不是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你能够: l 检查一个虚拟安全审计的结果 l 讨论web应用通常的一些安全问题 l 学习软件安全中的几个核心词汇和概念
SpringSecurity官网Servlet Authentication Architecture部分翻译
qq_44717657的博客
10-31 452
SpringSecurity框架Servlet Authentication Architecture部分翻译
spring-security 官方文档 中文版
10-12
spring security官方文档 中文版 看了下翻译 还是可以的 比其他查到的专业点 希望可以帮助到大家
Spring Security中文文档
程序员小明1024
11-26 9146
Spring Security中文文档 来源:https://www.springcloud.cc/spring-security.html#overall-architecture 作者 Ben Alex , Luke Taylor , Rob Winch , Gunnar Hillert , Joe Grandja , Jay Bryant 5.1.2.RELE...
SpringSecurity
Healerjy的博客
05-18 472
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
深入理解Spring Cloud微服务架构教程
描述部分使用的摩斯电码式文本,如果翻译成中文,每行代表一个字母,这里转换后的内容为:“学习Spring Cloud微服务架构Inflearn教程”。从这个转换结果中,我们可以知道该标题所含的第三个知识点: 3. Inflearn...
Spring MVC流程解析:深入了解,构建高性能Web应用有招
Spring MVC是Spring框架的一部分,它提供了一个模型-视图-控制器(MVC)架构模式,以帮助开发者构建灵活且可维护的Web应用程序。MVC架构模式将应用程序分为三个核心组件:模型(Model)、视图(View)和控制器...
Java安全开发】:外文文献翻译与毕业设计中的安全实践指南
[外文翻译(含原文、译文及出处) 适用于用Java做毕业设计的同学](https://scriptme.io/wp-content/uploads/2023/07/How-to-subtitle-for-money-Freelancer.webp) # 摘要 本文全面探讨了Java安全开发的各个方面,从...
Spring Security 参考手册Spring Security中文版
05-29
很多独立软件供应商,因为灵活的身份验证模式二选择Spring Security。这样做允许他们快速的集成到他们的终端客户需求的解决方案而不用进行大量工程或者改变客户的环境。如果上面的验证机制不符合你的需求,Spring Security 是一个开放的平台,要实现你 自己的验证机制检查。 为了阅读方便,自己导出的文档,格式为HTML,文件也相对较小。 文档原地址:https://springcloud.cc/spring-security-zhcn.html
Spring security-包含官方文档
10-24
这里是Spring security 的jar包以及说明文档,Spring security可以提供系统安全方面的支持
Software Architecture with Spring 5.0
10-19
Discover how different software architectural models can help you solve problems, and learn best practices for the software development cycle Spring 5 and its ecosystem can be used to build robust architectures effectively. Software architecture is the underlying piece that helps us accomplish our business goals whilst supporting the features that a product demands. This book explains in detail how to choose the right architecture and apply best practices during your software development cycle to avoid technical debt and support every business requirement. Choosing the right architecture model to support your business requirements is one of the key decisions you need to take when a new product is being created from scratch or is being refactored to support new business demands. This book gives you insights into the most common architectural models and guides you when and where they can be used. During this journey, you’ll see cutting-edge technologies surrounding the Spring products, and understand how to use agile techniques such as DevOps and continuous delivery to take your software to production effectively. By the end of this book, you’ll not only know the ins and outs of Spring, but also be able to make critical design decisions that surpass your clients’ expectations.
spring security 中文文档
justinytsoft的博客
04-06 5995
文档地址:http://www.mossle.com/docs/auth/html/index.html
Spring Security(一)--Architecture Overview
欢迎来到【战羽】的博客
11-19 377
一直以来我都想写一写Spring Security系列的文章,但是整个Spring Security体系强大却又繁杂。陆陆续续从最开始的guides接触它,到项目中看了一些源码,到最近这个月为了写一写这个系列的文章,阅读了好几遍文档,最终打算尝试一下,写一个较为完整的系列文章。 较为简单或者体量较小的技术,完全可以参考着demo直接上手,但系统的学习一门技术则不然。以我的认知,一般的文档大致有两种...
spring security
l23456789o的博客
12-17 219
默认的用户名和密码 配置用户名和密码 重写WebSecurityConfigurerAdapter方法 auth.inMemoryAuthentication() .withUser("root") .password(password) .authorities("ADMIN"); 密码编码器 配...
Spring security3 中文官方文档
让梦想插上翅膀
12-23 402
Spring security 3.0 官方翻译文档
SPRING SECURITY 4官方文档中文翻译与源码解读
覃五
04-20 327
这是我发现写得最好的关于springsecurity 的博客 特别的详细 要学习的同学可以去下面链接 http://www.tianshouzhi.com/api/tutorials/spring_security_4/265
spring security官网实例解析
fangguozi的专栏
10-15 1345
今天因项目需要研究了下security,先下的官网的简单实例,自己分析了下,发上来给大家分享下。 贴图如下: 首先分析的是web.xml 代码如下:    contextConfigLocation        /WEB-INF/applicationContext-acegi-security.xml    这个的作用是:contextC
Spring Security 3.0.1中文官方文档翻译
"Spring_Security-3.0.1_中文官方文档(翻译版).pdf" Spring Security是一个广泛使用的Java安全框架,它为Web应用程序提供了全面的安全解决方案。在3.0.1版本中,主要是一个bug修复版本,针对3.0系列中存在的问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值