Spring Security3源码分析(19)-SSL支持
2014-09-11 12:03
267 查看
Sping Security3对于SSL的支持仅仅表现在对需要拦截的url(标签intercept-url)设置requires-channel=https属性。
如果一个url设置了requires-channel为https,那么该url在http的访问会直接重定向到https的通道中去。后面再具体分析。
首先需要在应用中配置SSL的支持,具体配置方法可参考
http://lengyun3566.iteye.com/blog/1141347
Sping Security3支持SSL分别表现下面几个类
看ChannelProcessingFilter过滤器的作用
ChannelProcessingFilter首先检查当前请求的url是否已配置了requires-channel属性,如果没配置,不处理。如果配置了,就把决策权交给ChannelDecisionManagerImpl处理。
ChannelProcessingFilter对应类路径:org.springframework.security.web.access.channel.ChannelProcessingFilter
具体源码如下
Java代码
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
FilterInvocation fi = new FilterInvocation(request, response, chain);
//获取url的权限配置信息
Collection<ConfigAttribute> attr = this.securityMetadataSource.getAttributes(fi);
if (attr != null) {
if (logger.isDebugEnabled()) {
logger.debug("Request: " + fi.toString() + "; ConfigAttributes: " + attr);
}
//把决策权交给channelDecisionManager处理
channelDecisionManager.decide(fi, attr);
if (fi.getResponse().isCommitted()) {
return;
}
}
chain.doFilter(request, response);
}
接着看ChannelDecisionManagerImpl的作用
ChannelDecisionManagerImpl根据requires-channel的值做相应处理,requires-channel值有以下三种
any:任何通道都支持。决策管理器不做处理
https:只支持安全通道。决策管理器把决策任务交给ChannelProcessor列表循环处理
http:只支持http。决策管理器把决策任务交给ChannelProcessor列表循环处理
ChannelDecisionManagerImpl的源码为:
Java代码
public void decide(FilterInvocation invocation, Collection<ConfigAttribute> config) throws IOException, ServletException {
Iterator<ConfigAttribute> attrs = config.iterator();
//判断是否为any值
while (attrs.hasNext()) {
ConfigAttribute attribute = attrs.next();
if (ANY_CHANNEL.equals(attribute.getAttribute())) {
return;
}
}
//循环ChannelProcessor列表执行decide
for (ChannelProcessor processor : channelProcessors) {
processor.decide(invocation, config);
if (invocation.getResponse().isCommitted()) {
break;
}
}
}
继续看ChannelProcessor 的作用
实际上在构造ChannelDecisionManager的bean时,已经注入了两个ChannelProcessor ,分别是SecureChannelProcessor、InsecureChannelProcessor
先看SecureChannelProcessor(负责处理安全通道)执行过程
Java代码
public void decide(FilterInvocation invocation, Collection<ConfigAttribute> config) throws IOException, ServletException {
Assert.isTrue((invocation != null) && (config != null), "Nulls cannot be provided");
for (ConfigAttribute attribute : config) {
if (supports(attribute)) {
if (!invocation.getHttpRequest().isSecure()) {
entryPoint.commence(invocation.getRequest(), invocation.getResponse());
}
}
}
}
根据当前的请求是否安全,进行相应的处理。实际工作的是抽象的父类AbstractRetryEntryPoint的commence完成
AbstractRetryEntryPoint的commence方法源码:
Java代码
public void commence(HttpServletRequest request, HttpServletResponse res) throws IOException, ServletException {
String pathInfo = request.getPathInfo();
String queryString = request.getQueryString();
String contextPath = request.getContextPath();
String destination = request.getServletPath() + ((pathInfo == null) ? "" : pathInfo)
+ ((queryString == null) ? "" : ("?" + queryString));
String redirectUrl = contextPath;
//获取当前请求所在端口
Integer currentPort = new Integer(portResolver.getServerPort(request));
//根据当前端口获得映射的端口(需要配置port-mappings标签),如果是http的访问,则获取映射的https端口,如果是https的访问,则获取相应的http端口
Integer redirectPort = getMappedPort(currentPort);
//如果获取到匹配端口,则根据当前请求构造重定向请求的url
if (redirectPort != null) {
boolean includePort = redirectPort.intValue() != standardPort;
redirectUrl = scheme + request.getServerName() + ((includePort) ? (":" + redirectPort) : "") + contextPath
+ destination;
}
if (logger.isDebugEnabled()) {
logger.debug("Redirecting to: " + redirectUrl);
}
//执行重定向操作
res.sendRedirect(res.encodeRedirectURL(redirectUrl));
}
通过以上分析,应该很清楚的知道:
如果以http的方式登录到应用中,再访问配置了requires-channel=https的url时,就会重定向到https的通道去,以SSL方式访问。
如果以https的方式登录到应用中,再访问配置了requires-channel=http的url时,就会重定向到http的通道去,以不安全的方式访问。
如果一个url设置了requires-channel为https,那么该url在http的访问会直接重定向到https的通道中去。后面再具体分析。
首先需要在应用中配置SSL的支持,具体配置方法可参考
http://lengyun3566.iteye.com/blog/1141347
Sping Security3支持SSL分别表现下面几个类
| 类名称 | 用途描述 |
| ChannelProcessingFilter | 通道处理过滤器。只要intercept-url标签中包含requires-channel属性,该过滤器就被创建 |
| ChannelDecisionManagerImpl | 通道决策管理器。该管理器包含两个ChannelProcessor实例用于处理安全、不安全两种Channel方式 |
| SecureChannelProcessor | 安全通道处理器 |
| InsecureChannelProcessor | 不安全通道处理器 |
| AbstractRetryEntryPoint | 抽象的通道重操作入口点,是entrypoint的父类 |
| RetryWithHttpEntryPoint | 如果当前以安全通道访问不安全通道,也可以通过http的入口点重定向到不安全通道中 |
| RetryWithHttpsEntryPoint | 如果当前以不安全通道访问安全通道,就要通过https的入口点重定向到安全通道中 |
| PortMapperImpl | 端口映射处理。主要是针对非默认端口(80、8080、443、8443)的情况 |
看ChannelProcessingFilter过滤器的作用
ChannelProcessingFilter首先检查当前请求的url是否已配置了requires-channel属性,如果没配置,不处理。如果配置了,就把决策权交给ChannelDecisionManagerImpl处理。
ChannelProcessingFilter对应类路径:org.springframework.security.web.access.channel.ChannelProcessingFilter
具体源码如下
Java代码
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
FilterInvocation fi = new FilterInvocation(request, response, chain);
//获取url的权限配置信息
Collection<ConfigAttribute> attr = this.securityMetadataSource.getAttributes(fi);
if (attr != null) {
if (logger.isDebugEnabled()) {
logger.debug("Request: " + fi.toString() + "; ConfigAttributes: " + attr);
}
//把决策权交给channelDecisionManager处理
channelDecisionManager.decide(fi, attr);
if (fi.getResponse().isCommitted()) {
return;
}
}
chain.doFilter(request, response);
}
接着看ChannelDecisionManagerImpl的作用
ChannelDecisionManagerImpl根据requires-channel的值做相应处理,requires-channel值有以下三种
any:任何通道都支持。决策管理器不做处理
https:只支持安全通道。决策管理器把决策任务交给ChannelProcessor列表循环处理
http:只支持http。决策管理器把决策任务交给ChannelProcessor列表循环处理
ChannelDecisionManagerImpl的源码为:
Java代码
public void decide(FilterInvocation invocation, Collection<ConfigAttribute> config) throws IOException, ServletException {
Iterator<ConfigAttribute> attrs = config.iterator();
//判断是否为any值
while (attrs.hasNext()) {
ConfigAttribute attribute = attrs.next();
if (ANY_CHANNEL.equals(attribute.getAttribute())) {
return;
}
}
//循环ChannelProcessor列表执行decide
for (ChannelProcessor processor : channelProcessors) {
processor.decide(invocation, config);
if (invocation.getResponse().isCommitted()) {
break;
}
}
}
继续看ChannelProcessor 的作用
实际上在构造ChannelDecisionManager的bean时,已经注入了两个ChannelProcessor ,分别是SecureChannelProcessor、InsecureChannelProcessor
先看SecureChannelProcessor(负责处理安全通道)执行过程
Java代码
public void decide(FilterInvocation invocation, Collection<ConfigAttribute> config) throws IOException, ServletException {
Assert.isTrue((invocation != null) && (config != null), "Nulls cannot be provided");
for (ConfigAttribute attribute : config) {
if (supports(attribute)) {
if (!invocation.getHttpRequest().isSecure()) {
entryPoint.commence(invocation.getRequest(), invocation.getResponse());
}
}
}
}
根据当前的请求是否安全,进行相应的处理。实际工作的是抽象的父类AbstractRetryEntryPoint的commence完成
AbstractRetryEntryPoint的commence方法源码:
Java代码
public void commence(HttpServletRequest request, HttpServletResponse res) throws IOException, ServletException {
String pathInfo = request.getPathInfo();
String queryString = request.getQueryString();
String contextPath = request.getContextPath();
String destination = request.getServletPath() + ((pathInfo == null) ? "" : pathInfo)
+ ((queryString == null) ? "" : ("?" + queryString));
String redirectUrl = contextPath;
//获取当前请求所在端口
Integer currentPort = new Integer(portResolver.getServerPort(request));
//根据当前端口获得映射的端口(需要配置port-mappings标签),如果是http的访问,则获取映射的https端口,如果是https的访问,则获取相应的http端口
Integer redirectPort = getMappedPort(currentPort);
//如果获取到匹配端口,则根据当前请求构造重定向请求的url
if (redirectPort != null) {
boolean includePort = redirectPort.intValue() != standardPort;
redirectUrl = scheme + request.getServerName() + ((includePort) ? (":" + redirectPort) : "") + contextPath
+ destination;
}
if (logger.isDebugEnabled()) {
logger.debug("Redirecting to: " + redirectUrl);
}
//执行重定向操作
res.sendRedirect(res.encodeRedirectURL(redirectUrl));
}
通过以上分析,应该很清楚的知道:
如果以http的方式登录到应用中,再访问配置了requires-channel=https的url时,就会重定向到https的通道去,以SSL方式访问。
如果以https的方式登录到应用中,再访问配置了requires-channel=http的url时,就会重定向到http的通道去,以不安全的方式访问。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Spring Security3源码分析-SSL支持
- Spring Security3源码分析(20)-CAS支持
- 谷歌浏览器的源码分析(19)
- nginx源码分析(19)-方法(3)
- Spring Security3源码分析-Filter链排序分析
- Leveldb源码分析--19
- Spring Security3源码分析-RequestCacheAwareFilter分析
- Spring Security3源码分析-FilterChainProxy初始化(转)
- Spring Security3源码分析-FilterChainProxy初始化
- spring security 源码分析: 过滤器
- Spring Security3源码分析-SSL支持
- apache(httpd-2.2.14) mod_ssl源码分析一
- 源码编译apache,让它支持ssl
- ArcSDE在没有源码的情况下支持国产数据库的可能性分析
- 谷歌浏览器的源码分析(19)
- 城市公交数据下载(续)分析过程及源码(支持全国440个城市)
- g723源码详细分析-19-基音后置滤波器
- Tiled源码分析(二): 多文档支持
- Spring Security3源码分析-AnonymousAuthenticationFilter分析
- 为什么Spring的HibernateTemplate一般情况下不支持数据的惰性加载的源码分析