Spring Security 竟然可以同时存在多个过滤器链?,涨知识

于 2024-04-01 15:46:39 发布
阅读量1.1k 收藏 26
点赞数 25
分类专栏: 2024年程序员学习 文章标签: spring hive hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83946044/article/details/137235892
版权

即使大家没有仔细研究过 Spring Security 中认证、授权功能的实现机制,大概也都多多少少听说过 Spring Security 这些功能是通过过滤器来实现的。

是的,没错!Spring Security 中一共提供了 32 个过滤器,其中默认使用的有 15 个,这些过滤器松哥在以后的文章中再和大家细说,今天我们就先来看看过滤器的配置问题。

在一个 Web 项目中,请求流程大概如下图所示:

请求从客户端发起(例如浏览器),然后穿过层层 Filter,最终来到 Servlet 上,被 Servlet 所处理。

那有小伙伴要问了,Spring Security 中默认的 15 个过滤器就是这样嵌套在 Client 和 Servlet 之间吗?

不是的!

上图中的 Filter 我们可以称之为 Web Filter,Spring Security 中的 Filter 我们可以称之为 Security Filter,它们之间的关系如下图:

可以看到,Spring Security Filter 并不是直接嵌入到 Web Filter 中的,而是通过 FilterChainProxy 来统一管理 Spring Security Filter,FilterChainProxy 本身则通过 Spring 提供的 DelegatingFilterProxy 代理过滤器嵌入到 Web Filter 之中。

DelegatingFilterProxy 很多小伙伴应该比较熟悉,在 Spring 中手工整合 Spring Session、Shiro 等工具时都离不开它,现在用了 Spring Boot,很多事情 Spring Boot 帮我们做了,所以有时候会感觉 DelegatingFilterProxy 的存在感有所降低,实际上它一直都在。

2.多个过滤器链

上面和大家介绍的是单个过滤器链,实际上,在 Spring Security 中,可能存在多个过滤器链。

在松哥前面讲 OAuth2 系列的时候,有涉及到多个过滤器链,但是一直没有拎出来单独讲过,今天就来和大家分享一下。

有人会问,下面这种配置是不是就是多个过滤器链?

@Override

protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.antMatchers(“/admin/**”).hasRole(“admin”)

.antMatchers(“/user/**”).hasRole(“user”)

.anyRequest().authenticated()

.csrf().disable();

}

这样的配置相信大家都见过,但是这并不是多个过滤器链,这是一个过滤器链。因为不管是 /admin/** 还是 /user/** ,走过的过滤器都是一样的,只是不同的路径判断条件不一样而已。

如果系统存在多个过滤器链,多个过滤器链会在 FilterChainProxy 中进行划分,如下图:

可以看到,当请求到达 FilterChainProxy 之后,FilterChainProxy 会根据请求的路径,将请求转发到不同的 Spring Security Filters 上面去,不同的 Spring Security Filters 对应了不同的过滤器,也就是不同的请求将经过不同的过滤器。

正常情况下,我们配置的都是一个过滤器链,多个过滤器链怎么配置呢?松哥给大家一个举一个简单的例子:

@Configuration

public class SecurityConfig {

@Bean

protected UserDetailsService userDetailsService() {

InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

manager.createUser(User.withUsername(“javaboy”).password(“{bcrypt}$2a 10 10 10Sb1gAUH4wwazfNiqflKZve4Ubh.spJcxgHG8Cp29DeGya5zsHENqi”).roles(“admin”, “aaa”, “bbb”).build());

manager.createUser(User.withUsername(“sang”).password(“{noop}123”).roles(“admin”).build());

manager.createUser(User.withUsername(“江南一点雨”).password(“{MD5}{Wucj/L8wMTMzFi3oBKWsETNeXbMFaHZW9vCK9mahMHc=}4d43db282b36d7f0421498fdc693f2a2”).roles(“user”, “aaa”, “bbb”).build());

return manager;

}

@Configuration

@Order(1)

static class DefaultWebSecurityConfig extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

http.antMatcher(“/foo/**”)

.authorizeRequests()

.anyRequest().hasRole(“admin”)

.and()

.csrf().disable();

}

}

@Configuration

@Order(2)

static class DefaultWebSecurityConfig2 extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

http.antMatcher(“/bar/**”)

.authorizeRequests()

.anyRequest().hasRole(“user”)

.and()

.formLogin()

.permitAll()

.and()

.csrf().disable();

}

}

}

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
img

最后

手绘了下图所示的kafka知识大纲流程图(xmind文件不能上传,导出图片展现),但都可提供源文件给每位爱学习的朋友

image.png

目、讲解视频,并且后续会持续更新**

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
[外链图片转存中…(img-GDtLBxUh-1711957587875)]

最后

手绘了下图所示的kafka知识大纲流程图(xmind文件不能上传,导出图片展现),但都可提供源文件给每位爱学习的朋友

[外链图片转存中…(img-gTplpWtv-1711957587876)]

2401_83946044
关注
  • 25
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro执行多个过滤器_Spring Security 竟然可以同时存在多个过滤器
weixin_35972981的博客
12-31 592
松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里-->Spring Boot+Vue+Spring Security+微人事视频教程这是来自一个小伙伴的提问,我觉得很有必要和大家聊一聊这个问题:首先这个问题本身是有点问题的,因为 http.authorizeRequests() 并非总是第一个,虽然大部分情况下,我们看到的是第一个,但是也有很多情况 htt...
Springboot Filter 多过滤器的使用,成功收获美团,小米offer
最新发布
m0_60721907的博客
03-22 669
既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。正因为这个请求体重的流数据,流数据只能读取一次。
Spring Security源码(一)springSecurityFilterChain的创建与运行
Instanceztt的博客
11-30 1944
整个框架的核心就是构建一个名字为的过滤器Bean,它的类型是。底层通过FilterChainProxy代理去调用各种Filter(Filter),Filter通过调用完成认证 ,通过调用完成授权。
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 2007
Security Filter ChainSpring Security的Web模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
Spring Security系列(二)——过滤器分析以及创建多个登陆入口
玖涯博客
12-06 2859
写在前面 **本文场景:**希望在网关上实现security统一进行权限认证,后续的服务间交互不再进行权限认证。但是系统有两个类型的账号,一个是普通用户,一个是系统后台管理员,完全是两个类型,希望创建给两个不同的登陆入口分别给两个类型的账号登录使用。 想到的解决方法有两个: 网关上的security想办法创建多个登陆入口(本文描述的方法); 网关上的security只对用户进行权限验证,对管理员的请求放行,管理员在自己的模块上进行权限验证。 **本文思想:**security实现多登陆入口的方法是创建多
Spring Security Web : SecurityFilterChain 安全过滤器概念模型
Details Inside Spring
05-16 6754
SecurityFilterChain,字面意思"安全过滤器",是Spring Security Web对匹配特定HTTP请求的一组安全过滤器的抽象建模。这样的一个对象在配置阶段用于配置FilterChainProxy,而FilterChainProxy在请求到达时会使用所持有的某个SecurityFilterChain判断该请求是否匹配该SecurityFilterChain,如果匹配的话,该...
Spring Cloud Gateway 整合Spring Security
Be Like
05-24 7882
做了一个Spring Cloud项目,网关采用 Spring Cloud Gateway,想要用 Spring Security 进行权限校验,由于 Spring Cloud Gateway 采用 webflux ,所以平时用的 mcv 配置是无效的,本文实现了 webflu 下的登陆校验。 1. Security配置 这里先贴出配置类,方便了解大致情况。 其中涉及到的三个处理器均为自定义 package com.shop.jz.gateway.security.config; import com.sh
全面解析Spring Security 过滤器的机制和特性
08-18
Spring Security 中,过滤器的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器(Filter)以及最终的具体 Servlet 控制器...
Spring Security常用过滤器实例解析
08-24
下面我们将介绍 15 个常用的 Spring Security 过滤器实例,并对每个过滤器的作用和使用方法进行详细的解释。 1. org.springframework.security.web.context.SecurityContextPersistenceFilter ...
Spring Security中的Servlet过滤器体系代码分析
08-18
`SecurityFilterChain` 是Spring Security中用于处理特定请求路径的过滤器。它根据请求URL和Ant风格的模式来判断请求是否匹配,如果匹配,则执行对应的过滤器。例如,登录请求可能通过一个包含认证过滤器,...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
它负责路由请求到相应的微服务,并可以提供过滤器功能,如限流、熔断等。而Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证...
Spring Security在标准登录表单中添加一个额外的字段
08-26
* SecurityConfig - 我们的Spring Security配置,它将SimpleAuthenticationFilter插入到过滤器中,声明安全规则并连接依赖项 * login.html - 收集用户名,密码和域的登录页面 在SimpleAuthenticationFilter中,域...
Spring Security--多个过滤器多个用户表
a2285786446的博客
06-14 1818
可以看到,当请求到达FilterChainProxy之后,FilterChainProxy 会根据请求的路径,将请求转发到不同的Spring Security Filters 上面去,不同的Spring Security Filters 对应了不同的过滤器,也就是不同的请求将经过不同的过滤器。注意的是,规则一定要统一,一条执行的规则,如/web/**,下面一切的接口都加/web/**,包括登录的接口。上图,我直接在内存中写了个用户,模拟不同表的用户,下面是数据库的用户登录。
Spring Security中自定义认证逻辑(防暴力破解)
qq_32238611的博客
06-11 1628
项目开发时,需要对服务接口进行防暴力破解的防护,项目中使用的Spring Security没有对放暴力破解的支持,所以需要自己重写Spring Security中的认证逻辑来实现防暴力破解的能力。本次使用的软件版本如下:Spring Boot 2.6.7 (配套的Spring Security版本是5.6.3)下面是具体的实现案例,先简单梳理下实现方案。基于servlet的应用和基于webflux的应用实现有点不太一样,这边都整理一下,不过差别也不大。新增Spring Security配置类,继承WebSe
Spring WebFlux下CORS WebFilter与SecurityWebFilterChain的配置
zzy7075的专栏
11-02 3496
需求:前端VUE项目需要在HTTP header添加JWT token发送到Spring后端认证。 尝试:使用Spring官方的配置 @Configuration @EnableWebFlux public class WebConfig implements WebFluxConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMappin
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
户伟伟的博客
12-20 3296
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
Spring security 之 tomcat到springSecurityFilterChain拦截器过程分析(三)
欢谷悠扬
07-05 1029
1.前景提要 springSecurityFilterChain是一个DelegatingFilterProxyRegistrationBean的对象。 在第二篇中,我们分析得知,spring security通过注入DelegatingFilterProxyRegistrationBean对象到spring 容器中来使 servlet 容器在初始化的过程中能够获取并初始化到自己的过滤器中去。 2.加入servlet 容器拦截器中的springSecurityFilterChain如何运作 这里
在 webflux 环境中使用 Spring Security
2301_76607156的博客
04-11 2079
复制日志中出现的名称:,在 idea 中按两下 shift在类中可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 中还自定义过登录成功响应、登录失败响应、登录无权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 中如何自定义呢?
SpringSecurity WebFlux 过滤生成源码分析
qq_39220528的博客
11-13 4373
概述 SpringSecurity主要采用建造者模式构造过滤器
Spring Security 6.0 和多个过滤器
08-25
Spring Security 6.0 引入了一个重要的变化,即支持多个过滤器。在以前的版本中,我们只能定义一个过滤器来处理所有的安全相关操作,而现在我们可以根据需要定义多个过滤器来处理不同的安全需求。 每个过滤器由一组过滤器组成,用于处理特定的安全操作。例如,我们可以定义一个过滤器来处理基于表单的认证,另一个过滤器来处理基于令牌的认证。 要定义多个过滤器,我们可以使用`HttpSecurity`对象的`requestMatchers()`方法来指定不同的请求匹配规则。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .requestMatchers() .antMatchers("/admin/**") // 匹配以/admin/开头的请求 .and() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 需要 ADMIN 角色才能访问 .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在上面的例子中,我们定义了一个过滤器来处理以`/admin/`开头的请求。这个过滤器要求用户具有`ADMIN`角色才能访问。对于其他请求,我们使用默认的过滤器,要求用户进行身份验证。 通过支持多个过滤器Spring Security 6.0 提供了更大的灵活性,使我们能够更好地满足不同的安全需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值