Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析

扫码关注公众号:Java 技术驿站

发送:vip
将链接复制到本浏览器,永久解锁本站全部文章

【公众号:Java 技术驿站】 【加作者微信交流技术,拉技术群】
免费领取10G资料包与项目实战视频资料

AnonymousAuthenticationFilter过滤器对应的类路径为

org.springframework.security.web.authentication.AnonymousAuthenticationFilter

AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter这些过滤器后面的,所以如果这三个过滤器都没有认证成功,则为当前的SecurityContext中添加一个经过匿名认证的token,但是通过servlet的getRemoteUser等方法是获取不到登录账号的。因为SecurityContextHolderAwareRequestFilter过滤器在AnonymousAuthenticationFilter前面。

Java代码

  1. //省略了日志部分
  2. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
  3. throws IOException, ServletException {
  4. //applyAnonymousForThisRequest永远返回ture
  5. if (applyAnonymousForThisRequest((HttpServletRequest) req)) {
  6. //如果当前SecurityContext中没有认证实体
  7. if (SecurityContextHolder.getContext().getAuthentication() == null) {
  8. //产生一个匿名认证实体,并保存到SecurityContext中
  9. SecurityContextHolder.getContext().setAuthentication(createAuthentication((HttpServletRequest) req));
  10. } else {
  11. }
  12. }
  13. chain.doFilter(req, res);
  14. }
  15. protected Authentication createAuthentication(HttpServletRequest request) {
  16. //产生匿名认证token,注意这里的key、userAttribute是通过解析标签注入的
  17. AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key, userAttribute.getPassword(),
  18. userAttribute.getAuthorities());
  19. auth.setDetails(authenticationDetailsSource.buildDetails(request));
  20. return auth;
  21. }

anonymous标签配置为。

Xml代码

  1. <**anonymous granted-authority=“ROLE_ANONYMOUS” enabled=“true” username=“test”/>**

这里username属性容易混淆,username默认为anonymousUser,实际上是注入到UserAttribute的password变量中的。

granted-authority属性注入到UserAttribute的authorities授权列表


来源:http://ddrv.cn/a/88268

赞(0) 打赏
版权归原创作者所有,任何形式的转载请联系博主:daming_90:Java 技术驿站 » Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏