SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters

原创 已于 2023-11-20 21:02:23 修改 · 1.4w 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring #Spring Security #SpringBoot #SecurityFilters #Filter #过滤器 #安全

于 2023-11-05 17:59:56 首次发布
该文章已生成可运行项目,

福利发送:

        1:你想彻底搞明白SpringSecurity么?你想对SpringSecurity6进行源码级别的学习么?

        2:你想彻底掌握Spring的应用和源码,在面试的时候吊打面试官么?

        那欢迎你加入suns 孙哥的企鹅QQ 3群:583783824

        在这里你可以找到志同道合的朋友,还有大神孙哥作为你的领路人。在这里,不仅仅是SpringSecurity更让你在Mybatis、Netty、Rpc、Dubbo、SpringCloud、Docker和k8s....等等技术领域发生翻天覆地的变化。

        以上所有,在群里都有我们免费的视频和笔记资料呦~~~

        欢迎进群领取,期待你的加入!

文章目录

前言

1:知识回顾

2:运行图回顾

一: Security Filters

1:概述

2:Spring Security默认过滤器

二:关键BeanFilter

1:DisableEncoderUrlFilter

2:WebAsynManagerIntegrationFilter

3:SecurityContextHolderFilter

4:HeaderWriterFilter

5:CsrfFilter

6:LogoutFilter

7:UsernamePasswordAuthenticationFilter

8:DefaultLoginPageGeneratingFilter

9:DefaultLogoutPageGeneratingFilter

10:BasicAuthenticationFilter

11:RequestCacheAwareFilter

12:SecurityContextHolderAwareRequestFilter

13:AnonymousAuthenticationFilter

14:ExceptionTranslationFilter

15:AuthorizationFilter

大神链接:作者有幸结识技术大神孙哥为好友,获益匪浅。现在把孙哥视频分享给大家。

孙哥链接:孙哥个人主页
作者简介:一个颜值99分,只比孙哥差一点的程序员
本专栏简介:话不多说,让我们一起干翻SpringSecurity6

本文章简介:话不多说,让我们讲清楚SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters

前言

1:知识回顾

       DelegatingFilterProxy 它的作用就是:实现把 servlet容器中的 Filter 同 Spring 容器中的 bean 关联起来,DelegatingFilterProxy实现了Filter接口,Servlet容器启动就会加载好这个类。借助他可以实现普通的Filter拦截到的Http请求交由FilterChainProxy

        FilterChainProxy把 SecurityFilterChain 嵌入到 Web项目的原生过滤器链中DelegatingFilterProxy 把 FilterChainProxy 整合到原生的过滤器链中

        FilterChainProxy 是顶层管理者,统一管理 Security Filter和 SecurityFllterChain过滤器链

        当请求到达 FilterChainProxy 时,会根据当前请求匹配SecurityFilterChain,然后将请求依次转发给 SecurityFilterChain 中的 Security Filter

2:运行图回顾

一: Security Filters

1:概述

         Spring Security 中最终对请求进行处理的就是某个 SecurityFilterChain 中的 Security Filter,这些Filter都设置为 Bean并且注入到 Spring容器中,且会按照先后顺序执行。

        下面展示 Spring Security 中给我们提供的过滤器,以及默认情况下会被加载的过滤器

2:Spring Security默认过滤器

         FilterOrderRegistration这个在构造函数中按照顺序,put了一个又一个的BeanFilter或者叫Security Filter

    FilterOrderRegistration() {
        Step order = new Step(100, 100);
        this.put(DisableEncodeUrlFilter.class, order.next());
        this.put(ForceEagerSessionCreationFilter.class, order.next());
        this.put(ChannelProcessingFilter.class, order.next());
        order.next();
        this.put(WebAsyncManagerIntegrationFilter.class, order.next());
        this.put(SecurityContextHolderFilter.class, order.next());
        this.put(SecurityContextPersistenceFilter.class, order.next());
        this.put(HeaderWriterFilter.class, order.next());
        this.put(CorsFilter.class, order.next());
        this.put(CsrfFilter.class, order.next());
        this.put(LogoutFilter.class, order.next());
        this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter", order.next());
        this.filterToOrder.put("org.springframework.security.saml2.provider.service.web.Saml2WebSsoAuthenticationRequestFilter", order.next());
        this.put(X509AuthenticationFilter.class, order.next());
        this.put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
        this.filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter", order.next());
        this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter", order.next());
        this.filterToOrder.put("org.springframework.security.saml2.provider.service.web.authentication.Saml2WebSsoAuthenticationFilter", order.next());
        this.put(UsernamePasswordAuthenticationFilter.class, order.next());
        order.next();
        this.put(DefaultLoginPageGeneratingFilter.class, order.next());
        this.put(DefaultLogoutPageGeneratingFilter.class, order.next());
        this.put(ConcurrentSessionFilter.class, order.next());
        this.put(DigestAuthenticationFilter.class, order.next());
        this.filterToOrder.put("org.springframework.security.oauth2.server.resource.web.authentication.BearerTokenAuthenticationFilter", order.next());
        this.put(BasicAuthenticationFilter.class, order.next());
        this.put(RequestCacheAwareFilter.class, order.next());
        this.put(SecurityContextHolderAwareRequestFilter.class, order.next());
        this.put(JaasApiIntegrationFilter.class, order.next());
        this.put(RememberMeAuthenticationFilter.class, order.next());
        this.put(AnonymousAuthenticationFilter.class, order.next());
        this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationCodeGrantFilter", order.next());
        this.put(SessionManagementFilter.class, order.next());
        this.put(ExceptionTranslationFilter.class, order.next());
        this.put(FilterSecurityInterceptor.class, order.next());
        this.put(AuthorizationFilter.class, order.next());
        this.put(SwitchUserFilter.class, order.next());
    }

        在SpringSecurity中默认的这些默认过滤器有很多,我们接下来找关键的一起看一下。

二:关键BeanFilter

        接下来我们介绍的这几款Bean Filter都是默认程序启动就加载的。

1:DisableEncoderUrlFilter

        禁止URL重新编码,默认程序启动就会加载。

2:WebAsynManagerIntegrationFilter

        将WebAsyncManager与SpringSecurity上下文进行集成。默认程序启动就会加载。

        将web的异步处理管理器与SpringSecurity上下文进行集成

3:SecurityContextHolderFilter

        获取安全上下文,默认程序启动就会加载。

4:HeaderWriterFilter

        处理头信息加入响应中,默认程序启动就会加载。

5:CsrfFilter

        处理CSRF攻击,默认程序启动就会加载。

6:LogoutFilter

        处理注销登录,默认程序启动就会加载。

7:UsernamePasswordAuthenticationFilter

        处理表单登录,默认程序启动就会加载。

8:DefaultLoginPageGeneratingFilter

        配置默认登录页面,默认程序启动就会加载。

9:DefaultLogoutPageGeneratingFilter

        配置默认注销页面,默认程序启动就会加载。

10:BasicAuthenticationFilter

        处理 HttpBasic登录,默认程序启动就会加载。

11:RequestCacheAwareFilter

        处理请求缓存,默认程序启动就会加载。

12:SecurityContextHolderAwareRequestFilter

        包装原始请求,默认程序启动就会加载。

13:AnonymousAuthenticationFilter

        配置匿名认证,默认程序启动就会加载。

14:ExceptionTranslationFilter

        处理认证/授权中的异常,默认程序启动就会加载。

15:AuthorizationFilter

        处理当前用户是否有权限访问目标资源,默认程序启动就会加载。

        Spring Security 提供了30 多个过滤器。默认情况下Spring Boot 在对 Spring Security 进入自动化配置时,会创建一个名为 SpringSecurityFilerChain 的过滤器,并注入到 Spring 容器中,这个过滤器将负责所有的安全管理,包括用户认证、授权、重定向到登录页面等。具体可以参考WebSecurityConfiguration的源码:

public final class DefaultSecurityFilterChain implements SecurityFilterChain {
    private static final Log logger = LogFactory.getLog(DefaultSecurityFilterChain.class);
    private final RequestMatcher requestMatcher;
    private final List<Filter> filters;

    public DefaultSecurityFilterChain(RequestMatcher requestMatcher, Filter... filters) {
        this(requestMatcher, Arrays.asList(filters));
    }

    public DefaultSecurityFilterChain(RequestMatcher requestMatcher, List<Filter> filters) {
        if (filters.isEmpty()) {
            logger.info(LogMessage.format("Will not secure %s", requestMatcher));
        } else {
            logger.info(LogMessage.format("Will secure %s with %s", requestMatcher, filters));
        }

        this.requestMatcher = requestMatcher;
        this.filters = new ArrayList(filters);
    }

    public RequestMatcher getRequestMatcher() {
        return this.requestMatcher;
    }

    public List<Filter> getFilters() {
        return this.filters;
    }

    public boolean matches(HttpServletRequest request) {
        return this.requestMatcher.matches(request);
    }

    public String toString() {
        String var10000 = this.getClass().getSimpleName();
        return var10000 + " [RequestMatcher=" + this.requestMatcher + ", Filters=" + this.filters + "]";
    }
}

@Configuration(proxyBeanMethods = false)
public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware {

	private WebSecurity webSecurity;

	private Boolean debugEnabled;

	private List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers;

	private List<SecurityFilterChain> securityFilterChains = Collections.emptyList();

	private List<WebSecurityCustomizer> webSecurityCustomizers = Collections.emptyList();

	private ClassLoader beanClassLoader;

	@Autowired(required = false)
	private ObjectPostProcessor<Object> objectObjectPostProcessor;

	@Autowired(required = false)
	private HttpSecurity httpSecurity;

	@Bean
	public static DelegatingApplicationListener delegatingApplicationListener() {
		return new DelegatingApplicationListener();
	}

	@Bean
	@DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public SecurityExpressionHandler<FilterInvocation> webSecurityExpressionHandler() {
		return this.webSecurity.getExpressionHandler();
	}

	/**
	 * Creates the Spring Security Filter Chain
	 * @return the {@link Filter} that represents the security filter chain
	 * @throws Exception
	 */
	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasFilterChain = !this.securityFilterChains.isEmpty();
		if (!hasFilterChain) {
			this.webSecurity.addSecurityFilterChainBuilder(() -> {
				this.httpSecurity.authorizeHttpRequests((authorize) -> authorize.anyRequest().authenticated());
				this.httpSecurity.formLogin(Customizer.withDefaults());
				this.httpSecurity.httpBasic(Customizer.withDefaults());
				return this.httpSecurity.build();
			});
		}
		for (SecurityFilterChain securityFilterChain : this.securityFilterChains) {
			this.webSecurity.addSecurityFilterChainBuilder(() -> securityFilterChain);
		}
		for (WebSecurityCustomizer customizer : this.webSecurityCustomizers) {
			customizer.customize(this.webSecurity);
		}
		return this.webSecurity.build();
	}

	/**
	 * Creates the {@link WebInvocationPrivilegeEvaluator} that is necessary to evaluate
	 * privileges for a given web URI
	 * @return the {@link WebInvocationPrivilegeEvaluator}
	 */
	@Bean
	@DependsOn(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public WebInvocationPrivilegeEvaluator privilegeEvaluator() {
		return this.webSecurity.getPrivilegeEvaluator();
	}

	/**
	 * Sets the {@code <SecurityConfigurer<FilterChainProxy, WebSecurityBuilder>}
	 * instances used to create the web configuration.
	 * @param objectPostProcessor the {@link ObjectPostProcessor} used to create a
	 * {@link WebSecurity} instance
	 * @param beanFactory the bean factory to use to retrieve the relevant
	 * {@code <SecurityConfigurer<FilterChainProxy, WebSecurityBuilder>} instances used to
	 * create the web configuration
	 * @throws Exception
	 */
	@Autowired(required = false)
	public void setFilterChainProxySecurityConfigurer(ObjectPostProcessor<Object> objectPostProcessor,
			ConfigurableListableBeanFactory beanFactory) throws Exception {
		this.webSecurity = objectPostProcessor.postProcess(new WebSecurity(objectPostProcessor));
		if (this.debugEnabled != null) {
			this.webSecurity.debug(this.debugEnabled);
		}
		List<SecurityConfigurer<Filter, WebSecurity>> webSecurityConfigurers = new AutowiredWebSecurityConfigurersIgnoreParents(
				beanFactory)
			.getWebSecurityConfigurers();
		webSecurityConfigurers.sort(AnnotationAwareOrderComparator.INSTANCE);
		Integer previousOrder = null;
		Object previousConfig = null;
		for (SecurityConfigurer<Filter, WebSecurity> config : webSecurityConfigurers) {
			Integer order = AnnotationAwareOrderComparator.lookupOrder(config);
			if (previousOrder != null && previousOrder.equals(order)) {
				throw new IllegalStateException("@Order on WebSecurityConfigurers must be unique. Order of " + order
						+ " was already used on " + previousConfig + ", so it cannot be used on " + config + " too.");
			}
			previousOrder = order;
			previousConfig = config;
		}
		for (SecurityConfigurer<Filter, WebSecurity> webSecurityConfigurer : webSecurityConfigurers) {
			this.webSecurity.apply(webSecurityConfigurer);
		}
		this.webSecurityConfigurers = webSecurityConfigurers;
	}

	@Autowired(required = false)
	void setFilterChains(List<SecurityFilterChain> securityFilterChains) {
		this.securityFilterChains = securityFilterChains;
	}

	@Autowired(required = false)
	void setWebSecurityCustomizers(List<WebSecurityCustomizer> webSecurityCustomizers) {
		this.webSecurityCustomizers = webSecurityCustomizers;
	}

	@Bean
	public static BeanFactoryPostProcessor conversionServicePostProcessor() {
		return new RsaKeyConversionServicePostProcessor();
	}

	@Override
	public void setImportMetadata(AnnotationMetadata importMetadata) {
		Map<String, Object> enableWebSecurityAttrMap = importMetadata
			.getAnnotationAttributes(EnableWebSecurity.class.getName());
		AnnotationAttributes enableWebSecurityAttrs = AnnotationAttributes.fromMap(enableWebSecurityAttrMap);
		this.debugEnabled = enableWebSecurityAttrs.getBoolean("debug");
		if (this.webSecurity != null) {
			this.webSecurity.debug(this.debugEnabled);
		}
	}

	@Override
	public void setBeanClassLoader(ClassLoader classLoader) {
		this.beanClassLoader = classLoader;
	}

	/**
	 * A custom version of the Spring provided AnnotationAwareOrderComparator that uses
	 * {@link AnnotationUtils#findAnnotation(Class, Class)} to look on super class
	 * instances for the {@link Order} annotation.
	 *
	 * @author Rob Winch
	 * @since 3.2
	 */
	private static class AnnotationAwareOrderComparator extends OrderComparator {

		private static final AnnotationAwareOrderComparator INSTANCE = new AnnotationAwareOrderComparator();

		@Override
		protected int getOrder(Object obj) {
			return lookupOrder(obj);
		}

		private static int lookupOrder(Object obj) {
			if (obj instanceof Ordered) {
				return ((Ordered) obj).getOrder();
			}
			if (obj != null) {
				Class<?> clazz = ((obj instanceof Class) ? (Class<?>) obj : obj.getClass());
				Order order = AnnotationUtils.findAnnotation(clazz, Order.class);
				if (order != null) {
					return order.value();
				}
			}
			return Ordered.LOWEST_PRECEDENCE;
		}

	}

}

本文章已经生成可运行项目
Spring Security 6.x 系列(11)—— Form表单认证注销流程
gmHappy
12-18 8471
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security 6.x 系列(7)—— SecurityBuilder 继承链源码分析
热门推荐
gmHappy
11-30 1万+
`WebSecurity`、`HttpSecurity`、`AuthenticationManagerBuilder` 都是框架中的构建者,把他们放到一起看看他们的共同特点: 可以看出他们都有这样一条相同的继承链: ```bash |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
Spring-Security 6.x版本入门讲解
Always_WHD的博客
08-17 1765
简单介绍了SpringSecurity原理执行流程,并给出简单的配置样例。
SpringSecurity6
zhuge_long的专栏
08-20 1152
​是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入) AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
Spring Security 6
追逐自己的目标,感受生活的乐趣。Elcker
07-21 890
Spring Security6
【第四篇】SpringSecurity的HttpSecurity详解
筱白爱学习!的博客
06-12 1720
HttpSecurity配置以及结构详解
SpringSecurity】详细核心类与过滤器流程讲解封装通用组件实战
xiaoxualg的博客
03-20 1516
Spring Security 是一个功能强大且高度可定制的认证访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)授予的权限。表示授予用户的特定权限,通常分为:Spring
Spring Security 核心配置详解
AI天才研究院
08-06 1550
Spring Security是一个用于认证、授权、加密保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
SpringSecurity 6 快速入门
qq_46216299的博客
02-02 2615
SpringSecurity 6Spring 全家桶中属于安全权限的一类框架产品,同时它对于 Spring 框架的兼容性以及高定制性以及开源等优点,使得有些企业或个人开发者都会使用该框架
Spring Security 6 with SpringBoot
2301_81071716的博客
11-11 2009
首先登陆网站start.spring.io,添加web,devtool,security依赖编写完controller代码后进入网址会发现需要填表单,用户默认是user,密码在后端的控制台.springsecurity会有很多过滤器,如图中的f1,f2等request经过filter进入front controller(这个是在controller之前的控制器),且注意这里的后端都是在Servlet Container(即Tomcat)中运行的,关于Servlet:Servlet是Java EE(Java
微服务安全——SpringSecurity6详解
qq_44027353的博客
07-23 3803
本文使用的是Security6的版本,先介绍SpringSecurity的使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单的SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
SpringSecurity6.x
qq_45726327的博客
03-23 2483
Spring Security 是一个功能强大且高度可定制的身份验证访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,
SpringSecurity6(认证-前后端分离)
最新发布
Linging_24的博客
06-23 478
本文介绍了基于SpringBoot 3.2.8Spring Security 6.1.11的认证系统设计方案。系统使用JDK17开发,包含验证码过滤、密码加密认证、记住我功能、并发会话控制、Redis会话存储、CSRF防护等安全特性。配置文件中详细设置了数据库连接池、Redis会话存储等参数。通过自定义PasswordEncoder支持多种加密算法(如MD5、BCrypt等),并使用@EnableRedisIndexedHttpSession实现Redis持久化会话管理。系统整合了MybatisPlus、
SpringSecurity6安全框架知识初步了解)
2401_86329916的博客
10-30 718
SpringSecurtiy初步认识
认证 (authentication) 授权 (authorization) 的区别
全栈空间
09-14 3343
  以前一直傻傻分不清各种网际应用中 authentication authorization, 其实很简单:   这两个术语通常在安全性方面相互结合使用,尤其是在获得对系统的访问权限时。两者都是非常重要的主题,通常与网络相关联,作为其服务基础架构的关键部分。然而,这两个术语在完全不同的概念上是非常不同的。虽然它们通常使用相同的工具在相同的上下文中使用,但它们彼此完全不同。 身份验...
spring security 6 spring cloud 解决方案
weixin_37683300的博客
09-08 551
spring security6
SpringSecurity-6-基于Filter实现图形验证码
zhoubangbang1的博客
03-25 1003
SpringSecurity-6-基于Filter实现图形验证码SpringSecurity中有多种方式实现图像验证码,使用自定义过滤器去处理验证码逻辑是最简单的方式,只要将过滤器添加到合适的位置,当登录的时候,对验证码进行校验,成功就放行,失败则抛出异常。图形验证流程 流程图如下使用kaptcha生成图形验证码 kaptcha是谷歌提供的一款开源验证码jar包,只需简单配置就可以生成图片,源码地址:https://github.com/penggle/kaptcha添加kaptcha依赖在项目的pom.x
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

练拳百万陈平安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值