Spring Security的内置过滤器是如何维护的

最新推荐文章于 2024-01-03 11:12:53 发布
最新推荐文章于 2024-01-03 11:12:53 发布
阅读量898 收藏
点赞数
文章标签: spring linq java

Spring Security中的内置过滤器顺序是怎么维护的?我想很多开发者都对这个问题感兴趣。本篇我和大家一起探讨下这个问题。

HttpSecurity包含了一个成员变量FilterOrderRegistration,这个类是一个内置过滤器注册表。至于这些过滤器的作用,不是本文介绍的重点,有兴趣可以去看看FilterOrderRegistration的源码。

内置过滤器的顺序

FilterOrderRegistration维护了一个变量filterToOrder,它记录了类之间的顺序和上下之间的间隔步长。我们复制了一个FilterOrderRegistration来直观感受一下过滤器的顺序:

CopyFilterOrderRegistration filterOrderRegistration = new CopyFilterOrderRegistration();
        // 获取内置过滤器  此方法并未提供
        Map<String, Integer> filterToOrder = filterOrderRegistration.getFilterToOrder();
        TreeMap<Integer, String> orderToFilter = new TreeMap<>();
        filterToOrder.forEach((name, order) -> orderToFilter.put(order,name));
        orderToFilter.forEach((order,name) -> System.out.println(" 顺序:" + order+" 类名:" + name ));

打印结果:

我们可以看得出内置过滤器之间的位置是相对固定的,除了第一个跟第二个步长为200外,其它步长为100。

内置过滤器并非一定会生效,仅仅是预置了它们的排位,需要通过HttpSecurity的addFilterXXXX系列方法显式添加才行。

注册过滤器的逻辑

FilterOrderRegistration提供了一个put方法:

void put(Class<? extends Filter> filter, int position) {
  String className = filter.getName();
        // 如果这个类已经注册就忽略
  if (this.filterToOrder.containsKey(className)) {
   return;
  }
        // 如果没有注册就注册顺序。
  this.filterToOrder.put(className, position);
 }

从这个方法我们可以得到几个结论:

  • 内置的34个过滤器是有固定序号的,不可被改变。
  • 新加入的过滤器的类全限定名是不能和内置过滤器重复的。
  • 新加入的过滤器的顺序是可以和内置过滤器的顺序重复的。

获取已注册过滤器的顺序值

FilterOrderRegistration还提供了一个getOrder方法:

Integer getOrder(Class<?> clazz) {
        // 如果类Class 或者 父类Class 名为空就返回null
        while (clazz != null) {
            Integer result = this.filterToOrder.get(clazz.getName());
            // 如果获取到顺序值就返回
            if (result != null) {
                return result;
            }
            // 否则尝试去获取父类的顺序值
            clazz = clazz.getSuperclass();
        }
        return null;
    }

HttpSecurity维护过滤器的方法

接下来我们分析一下HttpSecurity维护过滤器的几个方法。

addFilterAtOffsetOf

addFilterAtOffsetOf是一个HttpSecurity的内置私有方法。Filter是想要注册到DefaultSecurityFilterChain中的过滤器,offset是向右的偏移值,registeredFilter是已经注册到FilterOrderRegistration的过滤器,而且registeredFilter没有注册的话会空指针。

private HttpSecurity addFilterAtOffsetOf(Filter filter, int offset, Class<? extends Filter> registeredFilter) {
        // 首先会根据registeredFilter的顺序和偏移值来计算filter的
  int order = this.filterOrders.getOrder(registeredFilter) + offset;
        // filter添加到集合中待排序
  this.filters.add(new OrderedFilter(filter, order));
        // filter注册到 FilterOrderRegistration
  this.filterOrders.put(filter.getClass(), order);
  return this;
 }

务必记着registeredFilter一定是已注册入FilterOrderRegistration的Filter。

addFilter系列方法

这里以addFilterAfter为例。

@Override
 public HttpSecurity addFilterAfter(Filter filter, Class<? extends Filter> afterFilter) {
  return addFilterAtOffsetOf(filter, 1, afterFilter);
 }

addFilterAfter是将filter的位置置于afterFilter后一位,假如afterFilter顺序值为400,则filter顺序值为401。addFilterBefore和addFilterAt逻辑和addFilterAfter仅仅是偏移值的区别,这里不再赘述。

addFilter的方法比较特殊:

@Override
 public HttpSecurity addFilter(Filter filter) {
  Integer order = this.filterOrders.getOrder(filter.getClass());
  if (order == null) {
   throw new IllegalArgumentException("The Filter class " + filter.getClass().getName()
     + " does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.");
  }
  this.filters.add(new OrderedFilter(filter, order));
  return this;
 }

filter必须是已经注册到FilterOrderRegistration的Filter,这意味着它可能是内置的Filter,也可能是先前通过addFilterBefore、addFilterAt或者addFilterAfter注册的非内置Filter。

问题来了

之前看到一个问题,如果HttpSecurity注册两个重复序号的Filter会是怎么样的顺序呢?我们先来看下排序的机制:

// filters
private List<OrderedFilter> filters = new ArrayList<>(); 
//排序
this.filters.sort(OrderComparator.INSTANCE);

看了下OrderComparator源码,其实还是通过数字的自然排序,数字越小越靠前。如果数字相同,索引越小越靠前。也就是同样的序号,谁先add到filters谁就越靠前。

 

Java面试那些事儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot+Spring Security:自定义Filter
weixin_45863786的博客
03-16 1920
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 编码思路 怎么在Spring Security中的...
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security常用过滤器实例解析
08-24
主要介绍了Spring Security常用过滤器实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security入门】04-自定义-Filter
通往神秘的道路的专栏
02-15 5984
本文解决问题 将自定义的Filter加入到 Spring Security 中的Filter链中的指定位置。 Spring Security 默认的过滤器链 官网位置:http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters 别名 类名称 ...
SpringSecurity(十三)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2101
Spring Security中,HTTP过滤器会委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器会负责授权配置等等。通常HTTP过滤器会管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器会接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器
Spring Security的概述加原理(有一个清晰的认识)
dalingw的博客
03-25 690
会帮助spring security有一个大概的概念
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 3769
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
filter 过滤器
wq123123423432的博客
04-24 667
1 普通springboot添加过滤器,可以使用@webFiler注解 2 springsecurity 添加过滤器 需要new 一个filter实例 HttpSecurity http.addFilterAfter(new myFilter(), otherFilter.class); 3 springsecurity oauth2.0 添加过滤器 需要new 一个filter实例 然后再resourceServerConfig中添加HttpSecurity http.addFilterAfte
Spring Security过滤器链分析-初始化流程(8)
weixin_43831002的博客
08-09 1073
提起Spring Security的实现原理,很多读者都会想到过滤器链。因为Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器链。那么,这些过滤器 链是如何初始化的?我们前面反复提到的AuthenticationManager又是如何初始化的?通过前面章节的学习,相信读者己经有了一些认识,本章我们将从头开始,分析Spring Security的初始化流程,同时再通过六个案例来让读者深入理解并且学会如何制作过滤器链。...
SpringSecurity(四)——自定义数据源(Filter
老程的小白博客空间
02-11 1299
本篇笔记记录用户自定义拦截器(Filter),这里仅举一个自定义登录拦截器的栗子。
权限框架SpringSecurity(二)——前后端分离登录
scorpio的博客
05-16 4465
权限框架SpringSecurity(二)——前后端分离登录
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity学习之自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
全面解析Spring Security 内置 Filter
08-18
主要介绍了Spring Security 内置 Filter的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
业精于勤荒于嬉
08-25 1640
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
Spring SecuritySpring Security 过滤器链执行顺序(FilterOrderRegistration类)
最新发布
杜小舟的博客
01-03 1308
我相信有很多同学都对 Spring Security 过滤器链的执行顺序表示疑惑,在框架中 FilterOrderRegistration 担任声明控制过滤器的执行顺序,有时候我们可能会自定义一些过滤器链插入到我们想要的位置,那么这时候就需要明白过滤器链的执行顺序,废话不多说,直接上表格。
Spring Security addFilter() 顺序问题
热门推荐
猫吻鱼的博客
11-02 3万+
文章目录1. 分析0. FilterComparator1. HttpSecurity#addFilterAt1.1 `this.comparator.registerAt(filter.getClass(), atFilter);`1.2 `HttpSecurity#addFilter(Filter filter)`2. 总结: 1. 分析 在上面Spring Security + Jwt...
Spring Security 默认的过滤器
u013421749的专栏
11-24 785
官网位置:http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters 转载自:http://www.jianshu.com/p/deb512b41f99
使用SpringSecurity内置过滤器 调用接口到达1次后限制1小时候调用 不要用最新版本的SpringSecurity 写代码
06-06
好的,针对你的要求,我们可以使用Spring Security内置过滤器`ConcurrentSessionFilter`结合`SessionRegistry`和`SessionInformation`来实现调用接口到达1次后限制1小时后才能再次调用的功能。具体实现步骤如下: 1. 在Spring Security的配置类中添加`ConcurrentSessionFilter`过滤器: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterAt(concurrentSessionFilter(), ConcurrentSessionFilter.class); //其他配置 } @Bean public ConcurrentSessionFilter concurrentSessionFilter() { return new ConcurrentSessionFilter(sessionRegistry(), sessionInformationExpiredStrategy()); } @Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } @Bean public SessionInformationExpiredStrategy sessionInformationExpiredStrategy() { return new SimpleRedirectSessionInformationExpiredStrategy("/login"); } //其他配置 } ``` 2. 在接口方法中获取当前用户的`SessionInformation`对象,并判断该对象是否存在且距离上次访问时间是否大于1小时: ```java @RestController @RequestMapping("/api") public class ApiController { private Map<String, Integer> userCountMap = new ConcurrentHashMap<>(); @GetMapping("/test") public String test(HttpServletRequest request) { HttpSession session = request.getSession(false); if (session != null) { SessionInformation sessionInformation = sessionRegistry().getSessionInformation(session.getId()); if (sessionInformation != null && System.currentTimeMillis() - sessionInformation.getLastRequest() < 3600000) { throw new RuntimeException("操作太频繁,请稍后再试!"); } } String username = request.getParameter("username"); userCountMap.compute(username, (k, v) -> v == null ? 1 : v + 1); return "Hello " + username; } } ``` 在上述代码中,我们首先通过`HttpServletRequest`对象获取当前用户的`HttpSession`对象,然后通过`sessionRegistry().getSessionInformation(session.getId())`方法获取当前用户的`SessionInformation`对象。如果该对象存在且距离上次访问时间不足1小时,则抛出异常提示用户操作太频繁。否则,我们将当前用户的执行次数记录到`userCountMap`中。 这样,就可以实现调用接口到达1次后限制1小时后才能再次调用的功能了。需要注意的是,这种方式只适用于单机部署的情况,如果是分布式部署,则需要使用分布式锁等机制来实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值