过滤器的作用.docVIP

HttpSessionContextIntegrationFilter过滤器的作用： HttpSessionContextIntegrationFilter配置在所有Filter之前。当请求来临时将SecurityContext（存储Authentication）信息从session中取出来存储到SecurityContextHolder中，如果session中没有SecurityContext信息构造一个新的SecurityContext信息。所有的Filter处理完成后，将SecurityContext从SecurityContextHolder中清除，并存入session中。 LogoutFilter过滤器的作用：（所有配置的filter中用在第二位比较好，why? 退出的时候，就不用在调用其它的Filter了。） 将SecurityContext信息从SecurityContextHolder中删除或者将用户名信息从cookie中清除。根据构造函数配置要处理什么。（LogoutHandler或TokenBasedRememberMeServices，也就是说既能保存的信息清除，保存在哪清除哪。）。注：只处理请求路径为/j_acegi_logout的请求。这个值是可以配置的（由filterProcessesUrl变量配置），退出后跳转的路径可以通过类的logoutSuccessUrl字段定义。 AuthenticationProcessingFilter过滤器的作用： 处理url路径为/j_acegi_security_check的请求（一般用于登录页面）。可通过覆盖类的getDefaultFilterProcessesUrl方法进行值的更改。将用户名信息（form中的文本框name为j_username，由类的ACEGI_SECURITY_FORM_USERNAME_KEY字段定义。）密码信息（form中的文本框name为j_password，由ACEGI_SECURITY_FORM_PASSWORD_KEY字段定义。）存在UsernamePasswordAuthenticationToken实例中（应该还有一些其他的request信息存入某种，下次有时间了再分析。），通过AuthenticationManager验证，如果验证通过将Authentication信息更新。代码SecurityContextHolder.getContext().setAuthentication(Authentication authResult); 从request中取出请求的url，重定向到这个url。 SecurityContextHolderAwareRequestFilter过滤器的作用： 不详。只知道request如果被包装则会做一些特殊的处理，如果没有被包装就继续其它的Filter。 RememberMeProcessingFilter过滤器的作用：（把信息存在cookie里） 如果SecurityContextHolder.getContext().getAuthentication() == null才会做一些处理（是不是AuthenticationProcessingFilter过滤器和RememberMeProcessingFilter过滤器不能一起配置，如果配置了RememberMeProcessingFilter还有什么作用呢？）。从cookie中取出用户名信息，通过用户名根据配置（配置UserDetailsService，UserDetailsService中配置InMemoryDaoImpl， JdbcDaoImpl）从内容中或者数据库中查询出用户的其它信息（如密码和权限，），用AuthenticationManager进行验证，如果验证通过，将Authentication信息更新。代码SecurityContextHolder.getContext().setAuthentication(Authentication authResult); AnonymousProcessingFilter过滤器的作用： 不进行验证，构造一个匿名的Authentication信息放入SecurityContextHolder.getContext().setAuthentication(Authentication authResult);中。在配置文件中配置了一些其它东西。代码 bean id=anonymousProcessingFilter class=viders.anonymous.AnonymousProcessingFilter property name=key value=chang