「技术原理」Spring Security的核心功能和加载运行流程的原理分析

最新推荐文章于 2024-07-24 00:00:30 发布
最新推荐文章于 2024-07-24 00:00:30 发布
阅读量603 收藏 16
点赞数 17
分类专栏: 程序员 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83817171/article/details/137061079
版权
本文深入剖析Spring Security的核心功能,包括Security Filters的工作原理,详细介绍了SecurityFilterChain如何匹配和处理请求。文章还探讨了Spring Security内置的过滤器顺序,如ChannelProcessingFilter、SecurityContextPersistenceFilter、 LogoutFilter等,以及如何通过自动配置来管理过滤器。此外,文章提及了面试中常见的技术复习策略。
摘要由CSDN通过智能技术生成

public interface SecurityFilterChain {

// 匹配请求

boolean matches(HttpServletRequest request);

// 获取该 SecurityFilterChain 中的所有 Filter

List getFilters();

}

复制代码

具体来说,当请求到达FilterChainProxy时,其内部会根据当前请求匹配得到对应的SecurityFilterChain,然后将请求依次转发给到该SecurityFilterChain中的所有 Security Filters。如下图所示:

Security Filters

Spring Security 最终对请求进行处理的就是某个SecurityFilterChain中的 Security Filters,这些Filter都设置为 Bean 注入到 Spring容器中,且这些Filters 的先后顺序很重要。以下是 Spring Security 内置的完整 Security Filter 顺序列表:

  • ChannelProcessingFilter:确保请求投递到要求渠道。最常见的使用场景就是指定哪些请求必须使用HTTPS 协议,哪些请求必须使用 HTTP 协议,哪些请求随便使用哪种协议均可。

  • WebAsyncManagerIntegrationFilter:集成SecurityContext到 Spring Web 异步请求机制中的WebAsyncManager。

  • 注:SecurityContext就是 安全上下文,主要职能就是用于存储用户认证的一些信息。

  • SecurityContextPersistenceFilter:在每次请求处理之前,从 Session(默认使用HttpSessionSecurityContextRepository)中获取SecurityContext,然后将其设置给到SecurityContextHolder;在请求结束后,就会将SecurityContextHolder中存储的SecurityContext重新保存到 Session 中,并且清除SecurityContextHolder中的SecurityContext。

  • SecurityContextPersistenceFilter可以通过HttpSecurity#securityContext()及相关方法引入其配置对象SecurityContextConfigurer来进行配置。

  • HeaderWriterFilter:该过滤器可为响应添加一些响应头,比如添加X-Frame-Options,X-XSS-Protection和X-Content-Type-Options等响应头,让浏览器开启保护功能。

  • HeaderWriterFilter可以通过HttpSecurity#headers()来定制。

  • CorsFilter:处理跨域资源共享(CORS)。

  • CorsFilter可以通过HttpSecurity#cors()来定制。

  • CsrfFilter:处理跨站请求伪造(CSRF)。

  • CsrfFilter可以通过HttpSecurity#csrf()来开启或关闭。在前后端分离项目中,不需要使用 CSRF。

  • LogoutFilter:处理退出登录请求。

  • LogoutFilter可以通过HttpSecurity#logout()来定制退出逻辑。

  • OAuth2AuthorizationRequestRedirectFilter:用于构建 OAuth 2.0 认证请求,将用户请求重定向到该认证请求接口。

  • 注:该过滤器需要添加spring-security-oauth2等相关模块。

  • Saml2WebSsoAuthenticationRequestFilter:基于 SAML 的 SSO 单点登录认证请求过滤器。

  • 注:Saml2WebSsoAuthenticationRequestFilter需要添加 Spring Security SAML 模块。

  • X509AuthenticationFilter:X509 认证过滤器。

  • X509AuthenticationFilter可以通过Securit

最低0.47元/天 解锁文章
2401_83817171
关注
  • 17
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity核心组件、流程、认证与授权
Jacker
11-29 176
Spring Security核心组件包括:SecurityContextHolder、Authentication、AuthenticationManager、UserDetailsService、UserDetails。Security本质就是通过一组过滤器来过滤HTTP请求,将HTTP请求转发到不同的处理模块,最后经过业务逻辑处理返回Reponse的过程。昨天晚上因为一个项目问题,而正式开始学习Spring Security。4.修改Security拦截过滤。3.添加Controller;
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 2086
Spring Security配置流程剖析
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 594
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证和授权,交由认证管理器和决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
从源码角度拆解SpringSecurity核心流程
会飞的耗子
03-28 4022
之前实现认证和权限控制,都是自己纯手写或者基于shiro框架来实现的,后来了解到spring security框架,相对来讲更适合spring项目的接入。可是spring security的接入配置比较难以理解,如果没有搞懂框架的底层细节,就更是云里雾里了。所以我专门花了几天的时间大概浏览了spring security的源码,大致搞清楚了框架的架构设计和业务流程,现写个系列文章做一个记录,已备后续自己翻阅,如有不当之处烦请指正
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1953
Spring Security运行流程的简单理解
Spring技术内幕-深入解析_Spring架构与设计原理
11-07
Spring技术内幕-深入解析_Spring架构与设计原理》是一本全面而深入的Spring框架指南,不仅提供了理论知识,还包含了大量的实践案例和源代码分析,对于希望深入了解Spring内部工作原理的开发者来说,是一本不可或缺...
Spring技术内幕:深入解析Spring架构与设计原理(第2版)
03-31
通过上述分析可以看出,《Spring技术内幕:深入解析Spring架构与设计原理(第2版)》这本书不仅涵盖了Spring框架的基本概念和技术细节,还深入探讨了Spring的设计理念及其背后的实现原理。对于希望深入了解Spring框架...
Spring Boot 3核心特性
03-26
- `spring-boot-starter-security`:支持Spring Security的安全认证和授权功能。 使用starter模块的好处在于,它们已经预先配置好了大部分常用的依赖及其版本,开发者只需在pom.xml或build.gradle文件中声明相应的...
Spring Security(Spring安全权限管理手册) PDF
06-18
- **运行示例**:提供了一个实际的示例来演示Spring Security的配置和运行流程。 2. **使用数据库管理用户权限** - **修改配置文件**:说明了如何配置Spring Security以从数据库中读取用户信息和权限。 - **...
spring security2 安全手册(牛人写的)
12-09
根据提供的文件信息,我们可以归纳总结出一系列与Spring ...以上知识点覆盖了Spring Security的基础配置、高级功能和应用场景,旨在帮助开发者深入了解Spring Security的强大功能,从而构建更加安全可靠的应用程序。
spring security授权】--- spring security授权管理核心流程整理+权限表达式
nrsc
10-30 1244
文章目录1 整体流程简介 1 整体流程简介 在上一篇文章《【spring security授权】— 认证/授权简介+简单权限控制》的2.2中简单聊过后端服务器进行权限控制的基本原理,其实spring security对于权限控制的核心原理也是如此,其具体实现方式大致如下图: ...
SpringSecurity完整流程
Leon_Jinhai_Sun的博客
06-05 416
SpringSecurity完整流程
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5367
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
Spring Security执行原理流程
热门推荐
我神级欧文的博客
06-18 2万+
1.基本配置使用 (1)创建配置类 创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurity http)这个方法,配置好需要认证的登录url,以及提交表单的url,这里除了登录url不需要认证之外,其他的url都需要认证才能访问,并且formLogin表名这是一个表单提交,loginproc...
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2434
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
springboot--13 security核心功能,自定义认证流程,核心流程详解)
最后的武艺集大成者
09-19 442
1.Spring Security 2.Spring Security 原理 当我们仅仅只是添加Spring Security的依赖时,springboot会为我们做什么?做了两个事,首先就是把所有的服务的访问都保护起来了,访问资源的时候,他会定向到登陆页面 禁用:@SpringBootApplication(exclude = {SecurityAutoConfig...
SpringBoot】Web开发之URL映射
最新发布
Jacker
07-24 330
46如果URL中的参数名称与方法中的参数名称一致,则可以简化为:}49}52}58。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值