Spring Security 竟然可以同时存在多个过滤器链?

最新推荐文章于 2023-12-20 09:51:11 发布
最新推荐文章于 2023-12-20 09:51:11 发布
阅读量1k 收藏 5
点赞数
分类专栏: Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHENFU_ZKK/article/details/128341973
版权

目录

Spring Security 中的过滤器

Spring Security 中认证、授权功能的实现机制是通过过滤器来实现的。Spring Security 中一共提供了 32 个过滤器,其中默认使用的有 15 个,看看过滤器的配置问题。
在这里插入图片描述
请求从客户端发起(例如浏览器),然后穿过层层 Filter,最终来到 Servlet 上,被 Servlet 所处理。
上图中的 Filter 我们可以称之为 Web Filter,Spring Security 中的 Filter 我们可以称之为 Security Filter,它们之间的关系如下图:
在这里插入图片描述
可以看到,Spring Security Filter 并不是直接嵌入到 Web Filter 中的,而是通过 FilterChainProxy 来统一管理 Spring Security Filter,FilterChainProxy 本身则通过 Spring 提供的 DelegatingFilterProxy 代理过滤器嵌入到 Web Filter 之中。

DelegatingFilterProxy 在 Spring 中手工整合 Spring Session、Shiro 等工具时都离不开它,现在用了 Spring Boot,很多事情 Spring Boot 帮我们做了,所以有时候会感觉 DelegatingFilterProxy 的存在感有所降低,实际上它一直都在。

多个过滤器链

上面介绍的是单个过滤器链,实际上,在 Spring Security 中,可能存在多个过滤器链。
在这里插入图片描述
当请求到达 FilterChainProxy 之后,FilterChainProxy 会根据请求的路径,将请求转发到不同的 Spring Security Filters 上面去,不同的 Spring Security Filters 对应了不同的过滤器,也就是不同的请求将经过不同的过滤器。

多个过滤器链配置例子

@Configuration
public class SecurityConfig {
    @Bean
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("cf").password("{bcrypt}$2a$10$Sb1gAUH4wwazfNiqflKZve4Ubh.spJcxgHG8Cp29DeGya5zsHENqi").roles("admin", "aaa", "bbb").build());
        manager.createUser(User.withUsername("chenfu").password("{noop}123").roles("admin").build());
        manager.createUser(User.withUsername("臣服").password("{MD5}{Wucj/L8wMTMzFi3oBKWsETNeXbMFaHZW9vCK9mahMHc=}4d43db282b36d7f0421498fdc693f2a2").roles("user", "aaa", "bbb").build());
        return manager;
    }

    @Configuration
    @Order(1)
    static class DefaultWebSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/foo/**")
                    .authorizeRequests()
                    .anyRequest().hasRole("admin")
                    .and()
                    .csrf().disable();
        }
    }

    @Configuration
    @Order(2)
    static class DefaultWebSecurityConfig2 extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/bar/**")
                    .authorizeRequests()
                    .anyRequest().hasRole("user")
                    .and()
                    .formLogin()
                    .permitAll()
                    .and()
                    .csrf().disable();
        }
    }
}
  1. 首先,SecurityConfig 不再需要继承自 WebSecurityConfigurerAdapter 了,只是作为一个普通的配置类,加上 @Configuration 注解即可。
  2. 提供 UserDetailsService 实例,相当于是我们的数据源。
  3. 创建静态内部类继承 WebSecurityConfigurerAdapter 类,同时用 @Configuration 注解标记静态内部类是一个配置类,配置类里边的代码就和之前的一样了,无需赘述。
  4. 每一个静态内部类相当于就是一个过滤器链的配置。
  5. 注意在静态内部类里边,我没有使用 http.authorizeRequests() 开始,http.authorizeRequests() 配置表示该过滤器链过滤的路径是 /。在静态内部类里边,我是用了 http.antMatcher("/bar/") 开启配置,表示将当前过滤器链的拦截范围限定在 /bar/**。
  6. 当存在多个过滤器链的时候,必然会有一个优先级的问题,所以每一个过滤器链的配置类上通过 @Order(2) 注解来标记优先级。

configure(HttpSecurity http) 方法就是在配置过滤器链!我们在该方法中的配置,都是在添加/移除/修改 Spring Security 默认提供的过滤器,所以该方法就是在配置 Spring Security 中的过滤器链。

http.authorizeRequests() 开头是什么意思?

首先,http.authorizeRequests() 配置并非总在第一行出现,如果只有一个过滤器链,他总是在第一行出现,表示该过滤器链的拦截规则是 /**(请求只有先被过滤器链拦截下来,接下来才会进入到不同的 Security Filters 中进行处理),如果存在多个过滤器链,就不一定了。

仅仅从字面意思来理解,authorizeRequests() 方法的返回值是 ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry,ExpressionUrlAuthorizationConfigurer 可以为多组不同的 RequestMatcher 配置不同的权限规则,就是大家看到的 .antMatchers(“/admin/**”).hasRole(“admin”).antMatchers(“/user/**”).hasRole(“user”)。

引用

  1. Spring Security 竟然可以同时存在多个过滤器链?
CHENFU_JAVA
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity2 自定义filter实现
03-16
NULL 博文接:https://jiawu.iteye.com/blog/400351
全面解析Spring Security 过滤器的机制和特性
08-18
Spring Security 中,过滤器的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器Filter)以及最终的具体 Servlet 控制器...
Spring Security 多过滤的使用
huan的学习记录
07-14 881
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
Spring Security--多个过滤器多个用户表
a2285786446的博客
06-14 1800
可以看到,当请求到达FilterChainProxy之后,FilterChainProxy 会根据请求的路径,将请求转发到不同的Spring Security Filters 上面去,不同的Spring Security Filters 对应了不同的过滤器,也就是不同的请求将经过不同的过滤器。注意的是,规则一定要统一,一条执行的规则,如/web/**,下面一切的接口都加/web/**,包括登录的接口。上图,我直接在内存中写了个用户,模拟不同表的用户,下面是数据库的用户登录。
spirng Security (八)多个过滤器共存
weixin_43189971的博客
07-19 477
如何配置多条过滤器
Spring Security常用过滤器实例解析
08-24
下面我们将介绍 15 个常用的 Spring Security 过滤器实例,并对每个过滤器的作用和使用方法进行详细的解释。 1. org.springframework.security.web.context.SecurityContextPersistenceFilter ...
Spring Security中的Servlet过滤器体系代码分析
08-18
`SecurityFilterChain` 是Spring Security中用于处理特定请求路径的过滤器。它根据请求URL和Ant风格的模式来判断请求是否匹配,如果匹配,则执行对应的过滤器。例如,登录请求可能通过一个包含认证过滤器,...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
它负责路由请求到相应的微服务,并可以提供过滤器功能,如限流、熔断等。而Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证...
Spring Security在标准登录表单中添加一个额外的字段
08-26
* SecurityConfig - 我们的Spring Security配置,它将SimpleAuthenticationFilter插入到过滤器中,声明安全规则并连接依赖项 * login.html - 收集用户名,密码和域的登录页面 在SimpleAuthenticationFilter中,域...
Spring security 自定义多条过滤
qq_23011719的博客
07-31 500
Spirng security 过滤
多个SecurityFilterChain执行顺序问题,/oauth2/authorization报404
姑苏
07-04 740
大概意思就是说如果有多组SecurityFilterChain,只要有一组chain能匹配到,后面的chain中的filter就不会执行了。第二组的chain拦截路径/**其实已经执行过了,第三组中的filter是不会执行的。正常要请求/oauth2/authorization/{regId}跳转到authorization-uri进行认证的,但是搭建好之后,请求这个地址竟然直接报404了,说明oauth2的相关filter并没有生效,直接打到了dispatchServlet。那到底是哪里的问题呢?
SpringSecurityFilter式调用机制
lisy_Poto的博客
12-22 1845
本文通过书写自定义拦截器的方式模仿SpringSecurityFilter式调用机制在web.xml中配置拦截器,自定义拦截器<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>com.filter.DelegatingFilterProxy</filter-class> </filte
Spring Security系列(二)——过滤器分析以及创建多个登陆入口
玖涯博客
12-06 2815
写在前面 **本文场景:**希望在网关上实现security统一进行权限认证,后续的服务间交互不再进行权限认证。但是系统有两个类型的账号,一个是普通用户,一个是系统后台管理员,完全是两个类型,希望创建给两个不同的登陆入口分别给两个类型的账号登录使用。 想到的解决方法有两个: 网关上的security想办法创建多个登陆入口(本文描述的方法); 网关上的security只对用户进行权限验证,对管理员的请求放行,管理员在自己的模块上进行权限验证。 **本文思想:**security实现多登陆入口的方法是创建多
Spring Security定义多个过滤器(10)
weixin_43831002的博客
08-11 1780
同时我们配置了局部 AuthenticationManager 对应的用户是 chain1in/123 ,由于没有重写 configure(AuthenticationManagerBuilder)方法,所以注册到 Spring 容器中的 UserDetailsService 将作为局部 AuthenticationManager的parent对应的用户,换句话说,如果登录的路径是/bar/login,那么升发者可以使用 chain1in/123和 剑气近/123两个用户进行登录。...
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
最新发布
户伟伟的博客
12-20 3090
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
浅析Spring Security 的认证过程及相关过滤器
qq_44005305的博客
02-09 419
上一篇文章浅析Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security的认证过程。Spring Security 的核心之一就是它的过滤器,我们就从它的过滤器入手,下图是Spring Security 过滤器的一个执行过程,本文将依照该过程来逐步的剖析其认证过程。
Spring Security 6.0 和多个过滤器
08-25
Spring Security 6.0 引入了一个重要的变化,即支持多个过滤器。在以前的版本中,我们只能定义一个过滤器来处理所有的安全相关操作,而现在我们可以根据需要定义多个过滤器来处理不同的安全需求。 每个过滤器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值