springsecurity企業级案例分析.doc

spring security spring security filter的介绍，在网上有很多关于spring security的说明但是总是零碎的，都是对部分的说明，或者就是从官网的例子中摘出来的小片段，没有一个真正企业级的应用方案，下面就把一个企业级的介绍给大家，这里没有配置文件只是对源码的说明，随后会提供源码和配置文件 SecurityContextPersistenceFilter 通过SecurityContextRepository（默认实现类是HttpSessionSecurityContextRepository）将SecurityContext保存到SecurityContextHolder中， SecurityContextRepository接口方法是包括 SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder); void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response); boolean containsContext(HttpServletRequest request); loadContext发现在过滤是调用，saveContext在一次请求结束后调用； SecurityContextHolder通过策略模式静态的实现了SecurityContextHolderStrategy接口,SecurityContextHolderStrategy接口clearContext(),getContext(),setContext(SecurityContext context);SecurityContext createEmptyContext(); 只要工作: 1.设置SecurityContextHolder的SecurityContext（通过创建或者获取SecurityContext（contextBeforeChainExecution））方式，过滤结束后清空SecurityContextHolder的SecurityContextHolder，保存SecurityContextHolder（contextAfterChainExecution） ConcurrentSessionFilter 通过注入的SessionRegistry还判断session的异常是否要退出登录doLogout和更新session的时间refreshLastRequest。 SessionRegistry的默认实现是SessionRegistryImpl，SessionRegistry 包含方法ListObject getAllPrincipals()， ListSessionInformation getAllSessions(Object principal, boolean includeExpiredSessions); SessionInformation getSessionInformation(String sessionId); void refreshLastRequest(String sessionId); registerNewSession(String sessionId, Object principal); removeSessionInformation(String sessionId); SessionInformation是包含principal，sessionId，expired，lastRequest，Spring Security用次来判断和处理session状态和信息。 注：我们在这里扩展了ConcurrentSessionFilter 1.添加了timeout的判断和处理，2，在获取SessionInformation为null的情况下添加的session属性SESSION_LAST_UPDATED。3.一些URI的跳过处理 LogoutFilter 判断是否为通过requiresLogout（）判断请求的URL是否为filterProcessesUrl（退出的URL），如果是则调用LogoutHandler的logout方法和LogoutSuccessHandler的onLogoutSuccess方法 AbstractPreAuthenticatedProcessingFilter。 说明在好的filter中都会发现有requires*（）方法来判断是否做相应的过滤处理。 AbstractPreAut