Spring Security-认证过程的发起(ExceptionTranslationFilter,AuthenticationEntryPoint)
2009-02-24 15:16
453 查看
发起的条件:
用户访问资源时,发生授权异常(AuthenticationException)或认证异(AccessDeniedException),ExceptionTranslationFilter通过调用AuthenticationEntryPoint的commence方法发起认证过程。如果ExceptionTranslationFilter接收到的是授权异常,并且当前认证过的票据不是匿名票据(AnonymousAuthenticationToken),将不会发起认证过程,而是交给AccessDeniedHandler处理(一般会直接提示用户拒绝访问)。
发起过程:
发起认证之前,Spring Security会将用户之前的请求信息保存在session里。还会清空SecurityContextHolder中的票据。AuthenticationEntryPoint将用户定向到认证的入口,收集认证信息。认证入口一般是个页面,需要用户输入用户名和密码,也有其他方式的入口。收集到认证信息之后,重新提交认证请求。认证信息会再次通过过滤器,由AuthenticationManager认证。AuthenticationEntryPoint是用户提供凭证的入口,真正的认证是由过滤器来完成。(但是DigestProcessingFilter的实现,是直接使用了一个userDetailsService,这是个特例并且这个过滤器也没有继承SpringSecurityFilter)
下面是Spring Security提供的几个AuthenticationEntryPoint的实现。
AuthenticationProcessingFilterEntryPoint
会生成一个用于认证的表单,收集认证信息。生成的页面的URL缺省值是/j_spring_security_check,可以配置自己指定的URL。只有以这个URL结尾的请求收集上来的认证信息,才会被AuthenticationProcessingFilter用来认证。用户提交的用户名和密码之后转交AuthenticationManager处理认证。
BasicProcessingFilterEntryPoint
将会向浏览器发送一个RFC2616规定的basic认证头信息。浏览器在识别到认证头之后,会弹出对话框,收集用户名和密码。浏览器会将收集到的用户名和密码,打包成RFC标准的认证响应,发送到服务器。在下一次请求到达BasicProcessingFilter时,过滤器会提取认证信息,并由AuthenticationManager处理认证。
DigestProcessingFilterEntryPoint
和Basic认证类似,会向浏览器发送一个RFC2616标准的digest认证头信息。浏览器在收到认证头后,会弹出对话框,
收集用户名和密码。浏览器会将收集到的用户名和密码,打包成RFC标准的认证响应,发送到服务器。在下一次请求到达DigestProcessingFilter时,过滤器会提取认证信息,并由AuthenticationManager处理认证。
PreAuthenticatedProcessingFilterEntryPoint
简单的向浏览器发送一个错误页面,不做任何处理。
用户访问资源时,发生授权异常(AuthenticationException)或认证异(AccessDeniedException),ExceptionTranslationFilter通过调用AuthenticationEntryPoint的commence方法发起认证过程。如果ExceptionTranslationFilter接收到的是授权异常,并且当前认证过的票据不是匿名票据(AnonymousAuthenticationToken),将不会发起认证过程,而是交给AccessDeniedHandler处理(一般会直接提示用户拒绝访问)。
发起过程:
发起认证之前,Spring Security会将用户之前的请求信息保存在session里。还会清空SecurityContextHolder中的票据。AuthenticationEntryPoint将用户定向到认证的入口,收集认证信息。认证入口一般是个页面,需要用户输入用户名和密码,也有其他方式的入口。收集到认证信息之后,重新提交认证请求。认证信息会再次通过过滤器,由AuthenticationManager认证。AuthenticationEntryPoint是用户提供凭证的入口,真正的认证是由过滤器来完成。(但是DigestProcessingFilter的实现,是直接使用了一个userDetailsService,这是个特例并且这个过滤器也没有继承SpringSecurityFilter)
下面是Spring Security提供的几个AuthenticationEntryPoint的实现。
AuthenticationProcessingFilterEntryPoint
会生成一个用于认证的表单,收集认证信息。生成的页面的URL缺省值是/j_spring_security_check,可以配置自己指定的URL。只有以这个URL结尾的请求收集上来的认证信息,才会被AuthenticationProcessingFilter用来认证。用户提交的用户名和密码之后转交AuthenticationManager处理认证。
BasicProcessingFilterEntryPoint
将会向浏览器发送一个RFC2616规定的basic认证头信息。浏览器在识别到认证头之后,会弹出对话框,收集用户名和密码。浏览器会将收集到的用户名和密码,打包成RFC标准的认证响应,发送到服务器。在下一次请求到达BasicProcessingFilter时,过滤器会提取认证信息,并由AuthenticationManager处理认证。
DigestProcessingFilterEntryPoint
和Basic认证类似,会向浏览器发送一个RFC2616标准的digest认证头信息。浏览器在收到认证头后,会弹出对话框,
收集用户名和密码。浏览器会将收集到的用户名和密码,打包成RFC标准的认证响应,发送到服务器。在下一次请求到达DigestProcessingFilter时,过滤器会提取认证信息,并由AuthenticationManager处理认证。
PreAuthenticatedProcessingFilterEntryPoint
简单的向浏览器发送一个错误页面,不做任何处理。
相关文章推荐
- Spring Security 入门(3-11)Spring Security 的登录密码验证过程 UsernamePasswordAuthenticationFilter
- Spring Security 入门(1-4-2)Spring Security - 认证过程之AuthenticationProvider的扩展补充说明
- Spring Security 的登录密码验证过程 UsernamePasswordAuthenticationFilter
- Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析
- Spring Security 认证过程
- spring security自定义认证登录的全过程记录
- System.EntryPointNotFoundException: 未发现入口点。
- UserNamePasswrodAuthenticationFilter验证过程
- Spring Security认证过程
- shiro- session,自定义FormAuthenticationFilter(表单认证器)-->实现验证码校验
- SharpPcap在CentOS 64 Mono环境System.EntryPointNotFoundException错误的解决方法
- An unhandled exception ('System.EntryPointNotFoundException') Occurred in MsDtsSrvr.exe
- 结合WAS简析J2EE规范中的登录认证和非规范中的注销以及通过filter增加自定义处理过程
- Spring Security3源码分析(7)-UsernamePasswordAuthenticationFilter分析
- SpringSecurity | 源码分析篇 (一) Spring Security认证过程
- Spring Security-Ldap认证(LdapAuthenticationProvider)
- 浅析Spring Security认证过程
- SharePoint2016安装的过程的”Microsoft.SharePoint.Upgrade.SPUpgradeException”错误解决方法
- Spring Security4.0.3源码分析之FilterChainProxy执行过程分析
- Spring Security3源码分析(8)-RememberMeAuthenticationFilter分析