Spring Security3源码分析(16)-RequestCacheAwareFilter分析

扫码关注公众号:Java 技术驿站

发送:vip
将链接复制到本浏览器,永久解锁本站全部文章

【公众号:Java 技术驿站】 【加作者微信交流技术,拉技术群】

RequestCacheAwareFilter过滤器对应的类路径为

org.springframework.security.web.savedrequest.RequestCacheAwareFilter

这个filter的用途官方解释是

用于用户登录成功后,重新恢复因为登录被打断的请求

这个解释也有几点需要说明

被打算的请求:简单点说就是出现了AuthenticationException、AccessDeniedException两类异常

重新恢复:既然能够恢复,那肯定请求信息被保存到cache中了

首先看被打断请求是如何保存到cache中的

实际上,上一篇的ExceptionTranslationFilter分析已经提到了

requestCache.saveRequest(request, response)

是的,如果出现AuthenticationException或者是匿名登录的抛出了AccessDeniedException,都会把当前request保存到cache中。这里的cache是HttpSessionRequestCache,接着看HttpSessionRequestCache的saveRequest方法

Java代码

  1. public void saveRequest(HttpServletRequest request, HttpServletResponse response) {
  2. //由于构造HttpSessionRequestCache的bean时,没有设置justUseSavedRequestOnGet属性,所以该属性为默认值false。
  3. if (!justUseSavedRequestOnGet || “GET”.equals(request.getMethod())) {
  4. //构造DefaultSavedRequest,并且设置到session中
  5. DefaultSavedRequest savedRequest = new DefaultSavedRequest(request, portResolver);
  6. if (createSessionAllowed || request.getSession(false) != null) {
  7. request.getSession().setAttribute(DefaultSavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY, savedRequest);
  8. }
  9. }
  10. }

这里应该知道,实际上被打断的请求被封装成DefaultSavedRequest对象保存到session中了

分析完保存被打断的请求,接着就分析如何恢复被打断的请求了。RequestCacheAwareFilter过滤器就是完成恢复的工作。看doFilter方法

Java代码

  1. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
  2. throws IOException, ServletException {
  3. //根据当前session取出DefaultSavedRequest,如果有被打断的请求,就把当前请求与被打断请求做匹配。如果匹配成功,对当前请求封装,再传递到下一个过滤器
  4. HttpServletRequest wrappedSavedRequest =
  5. requestCache.getMatchingRequest((HttpServletRequest)request, (HttpServletResponse)response);
  6. chain.doFilter(wrappedSavedRequest == null ? request : wrappedSavedRequest, response);
  7. }

继续看HttpSessionRequestCache处理过程

Java代码

  1. //从当前session中提取DefaultSavedRequest对象
  2. public SavedRequest getRequest(HttpServletRequest currentRequest, HttpServletResponse response) {
  3. HttpSession session = currentRequest.getSession(false);
  4. if (session != null) {
  5. return (DefaultSavedRequest) session.getAttribute(DefaultSavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY);
  6. }
  7. return null;
  8. }
  9. //清除被打断请求
  10. public void removeRequest(HttpServletRequest currentRequest, HttpServletResponse response) {
  11. HttpSession session = currentRequest.getSession(false);
  12. if (session != null) {
  13. logger.debug(“Removing DefaultSavedRequest from session if present”);
  14. session.removeAttribute(DefaultSavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY);
  15. }
  16. }
  17. //请求匹配
  18. public HttpServletRequest getMatchingRequest(HttpServletRequest request, HttpServletResponse response) {
  19. DefaultSavedRequest saved = (DefaultSavedRequest) getRequest(request, response);
  20. //如果没有被打断请求,直接返回null,不做处理
  21. if (saved == null) {
  22. return null;
  23. }
  24. //如果当前请求与被打断请求不匹配,直接返回null,不做处理
  25. if (!saved.doesRequestMatch(request, portResolver)) {
  26. logger.debug(“saved request doesn’t match”);
  27. return null;
  28. }
  29. //清除被打断请求
  30. removeRequest(request, response);
  31. //重新包装当前请求为被打断请求的各项信息
  32. return new SavedRequestAwareWrapper(saved, request);
  33. }

接着分析doesRequestMatch方法,看请求是如何匹配的

Java代码

  1. //就是比较request与cache中被打断请求的各项信息是否相同
  2. //这里有个疑惑(由于被打断请求包括POST、GET提交方式的,而这里要求必须为GET方式的请求才会匹配成功)
  3. public boolean doesRequestMatch(HttpServletRequest request, PortResolver portResolver) {
  4. if (!propertyEquals(“pathInfo”, this.pathInfo, request.getPathInfo())) {
  5. return false;
  6. }
  7. if (!propertyEquals(“queryString”, this.queryString, request.getQueryString())) {
  8. return false;
  9. }
  10. if (!propertyEquals(“requestURI”, this.requestURI, request.getRequestURI())) {
  11. return false;
  12. }
  13. if (!“GET”.equals(request.getMethod()) && “GET”.equals(method)) {
  14. // A save GET should not match an incoming non-GET method
  15. return false;
  16. }
  17. if (!propertyEquals(“serverPort”, new Integer(this.serverPort), new Integer(portResolver.getServerPort(request))))
  18. {
  19. return false;
  20. }
  21. if (!propertyEquals(“requestURL”, this.requestURL, request.getRequestURL().toString())) {
  22. return false;
  23. }
  24. if (!propertyEquals(“scheme”, this.scheme, request.getScheme())) {
  25. return false;
  26. }
  27. if (!propertyEquals(“serverName”, this.serverName, request.getServerName())) {
  28. return false;
  29. }
  30. if (!propertyEquals(“contextPath”, this.contextPath, request.getContextPath())) {
  31. return false;
  32. }
  33. if (!propertyEquals(“servletPath”, this.servletPath, request.getServletPath())) {
  34. return false;
  35. }
  36. return true;
  37. }

这里为何对POST请求匹配不成功,目前还不知道具体设计思路。知道后会进行补充


来源:http://ddrv.cn

赞(0) 打赏
版权归原创作者所有,任何形式的转载请联系博主:daming_90:Java 技术驿站 » Spring Security3源码分析(16)-RequestCacheAwareFilter分析

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏