security 学习 -- filter chain

最新推荐文章于 2024-06-07 10:03:45 发布
最新推荐文章于 2024-06-07 10:03:45 发布
阅读量894 收藏
点赞数
分类专栏: java 文章标签: spring security 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Snrt_Julier/article/details/103351121
版权

security 学习 – filter chain

将日志改为 debug 的, 则会看到 spring security default filter chain 如下:

[main] INFO  o.s.s.web.DefaultSecurityFilterChain - Creating filter chain: 
org.springframework.security.web.util.matcher.AnyRequestMatcher@1, 
[org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@2e91cf69,
org.springframework.security.web.context.SecurityContextPersistenceFilter@3494a35e,
org.springframework.security.web.header.HeaderWriterFilter@5c316230,
org.springframework.security.web.csrf.CsrfFilter@3e63bd6b,
org.springframework.security.web.authentication.logout.LogoutFilter@2157889c,
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@5111f814,
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@716e6fa5,
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@91a1005,
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@746e534,
org.springframework.security.web.session.SessionManagementFilter@10ba9780,
org.springframework.security.web.access.ExceptionTranslationFilter@2dacda9a,
org.springframework.security.web.access.intercept.FilterSecurityInterceptor@24f5e9e8]

不难看出 初始化了 如下的几个 filter

name作用说明
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilterSecurityContext
HeaderWriterFilter用来给http响应添加一些Header,比如X-Frame-Options,X-XSS-Protection*,X-Content-Type-Options。
CsrfFilter默认开启,用于防止csrf攻击的过滤器
LogoutFilter处理注销的过滤器
UsernamePasswordAuthenticationFilter表单提交了username和password,被封装成UsernamePasswordAuthenticationToken对象进行一系列的认证,便是主要通过这个过滤器完成的,即调用AuthenticationManager.authenticate()。在表单认证的方法中,这是最最关键的过滤器。具体过程是: 调用AbstractAuthenticationProcessingFilter.doFilter()方法执行过滤器 -> 调用UsernamePasswordAuthenticationFilter.attemptAuthentication()方法 -> 调用AuthenticationManager.authenticate()方法(实际上委托给AuthenticationProvider的实现类来处理)
RequestCacheAwareFilter内部维护了一个RequestCache,用于缓存request请求
SecurityContextHolderAwareRequestFilter此过滤器对ServletRequest进行了一次包装,使得request具有更加丰富的API(populates the ServletRequest with a request wrapper which implements servlet API security methods)
AnonymousAuthenticationFilter匿名身份过滤器,spring security为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。它位于身份认证过滤器(e.g. UsernamePasswordAuthenticationFilter)之后,意味着只有在上述身份过滤器执行完毕后,SecurityContext依旧没有用户信息,AnonymousAuthenticationFilter该过滤器才会有意义。
SessionManagementFilter和session相关的过滤器,内部维护了一个SessionAuthenticationStrategy 来执行任何与session相关的活动,比如session-fixation protection mechanisms or checking for multiple concurrent logins。
ExceptionTranslationFilter异常转换过滤器,这个过滤器本身不处理异常,而是将认证过程中出现的异常(AccessDeniedException and AuthenticationException)交给内部维护的一些类去处理。它位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常,将其转化,顾名思义,转化以意味本身并不处理。一般其只处理两大类异常:AccessDeniedException访问异常和AuthenticationException认证异常。
FilterSecurityInterceptor这个过滤器决定了访问特定路径应该具备的权限,这些受限的资源访需要什么权限或角色,这些判断和处理都是由该类进行的。

备注
使用的依赖

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-jwt</artifactId>
  <version>1.0.7.RELEASE</version>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>3.2.10.RELEASE</version>
  <scope>compile</scope>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-core</artifactId>
  <version>3.2.10.RELEASE</version>
  <scope>compile</scope>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>3.2.10.RELEASE</version>
  <scope>compile</scope>
</dependency>
SnrtIevg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot集成Spring Security实现JWT认证
南瓜慢说
06-22 324
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 简介 Spring Security作为成熟且强大的安全框架,得到许多大厂的青睐。而作为前后端分离的SSO方案,JWT也在许多项目中应用。本文将介绍如何通过Spring Security实现JWT认证。 用户与服务器交互大概如下: 客户端获取JWT,一般通过POST方法把用户名/密码传给server; 服务端接收到客户端的请求后,会检验用户名/密码是否正确,如果正确则生成JWT并返回;不正确则返回错误; 客户端拿到.
spring-security-demo.zip
08-10
- **Filter Chain**: Spring Security通过一系列过滤器处理HTTP请求,实现身份验证和授权。 2. **配置Spring Security**: - 使用`@EnableWebSecurity`注解开启Spring Security。 - 创建自定义的`SecurityConfig...
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 1992
Security Filter ChainSpring Security的Web模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
SpringSecurity入门(一)
qq_27352081的博客
06-07 869
SpringSecurity入门
Spring Security Web : SecurityFilterChain 安全过滤器概念模型
Details Inside Spring
05-16 6712
SecurityFilterChain,字面意思"安全过滤器链",是Spring Security Web对匹配特定HTTP请求的一组安全过滤器的抽象建模。这样的一个对象在配置阶段用于配置FilterChainProxy,而FilterChainProxy在请求到达时会使用所持有的某个SecurityFilterChain判断该请求是否匹配该SecurityFilterChain,如果匹配的话,该...
Springsecurity之DefaultSecurityFilterChain
weixin_33923148的博客
11-10 2556
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security Web : Web安全过滤器链代理对象 FilterChainProxy
Details Inside Spring
05-19 2798
FilterChainProxy是Spring Security Web添加到Servlet容器用于安全控制的一个Filter。从Servlet容器的角度来看,Spring Security Web所提供的安全逻辑就是一个Filter,实现类为FilterChainProxy。实际上FilterChainProxy是一个代理对象,FilterChainProxy内部组合了多个SecurityFil...
spring-security.zip
05-26
8. **Filter Chain**:Spring Security通过一系列过滤器处理请求,每个过滤器执行特定的安全任务,如认证、授权等。 9. **国际化的错误消息**:Spring Security支持多语言错误消息,方便不同地区的用户理解。 10. ...
spring-security4.0.zip
08-21
Spring Security基于Filter Chain的架构设计,通过定义一系列的过滤器来处理请求,实现用户认证和授权。这些过滤器包括:DelegatingFilterProxy、SecurityContextPersistenceFilter、...
spring-security-learning:security学习
05-17
3. **过滤器链(Filter Chain)**:Spring Security 的核心在于其过滤器链,它处理 HTTP 请求并执行认证和授权过程。默认的过滤器包括 SecurityContextPersistenceFilter、UsernamePasswordAuthenticationFilter 等...
springboot-06-security.zip
09-25
5. **过滤器链(Filter Chain)** Spring Security的核心在于一系列过滤器,它们构成了过滤器链。例如,HttpSessionAuthenticationStrategy用于处理基于session的身份验证,AnonymousAuthenticationFilter用于处理...
SpringSecurity 源码分析之SecurityFilterchain的构建
mingtiandexia的专栏
03-28 4412
基本原理 spring security通过一系列filter来对请求进行拦截 网上一个比较好的图 由于是一个filterChain,因此如果我在FilterSecrutiyInterceptor,即最后一个过滤器上打断点,一定能够通过debug的方式来得到整个过滤器链条 在最后一个filter.doFilter方法上打一个断点, 得到整个filterChain,进一步验证了上面图的正确性。 ...
Spring WebFlux下CORS WebFilterSecurityWebFilterChain的配置
zzy7075的专栏
11-02 3486
需求:前端VUE项目需要在HTTP header添加JWT token发送到Spring后端认证。 尝试:使用Spring官方的配置 @Configuration @EnableWebFlux public class WebConfig implements WebFluxConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMappin
Spring Web DelegatingFilterProxy和Spring Security Web Filter Chain
来啊 快活啊
06-12 1271
概述用过Spring Security XML配置方式的肯定属性下面的代码: springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy
SpringSecurity WebFlux 过滤链生成源码分析
qq_39220528的博客
11-13 4339
概述 SpringSecurity主要采用建造者模式构造过滤器。
Spring Security介绍(三)过滤器(1)过滤器链
w_t_y_y的博客
02-06 530
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
户伟伟的博客
12-20 3131
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
Spring Security源码(一)springSecurityFilterChain的创建与运行
Instanceztt的博客
11-30 1931
整个框架的核心就是构建一个名字为的过滤器Bean,它的类型是。底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用完成认证 ,通过调用完成授权。
Spring Security默认过滤链认识
nero_claudius的博客
01-15 1253
前言 最近重新学习了一下Spring Security,对整个认证流程有了一个自己的认识。但今天写的是一个前置的知识点,Spring Security启动后默认加载的一些过滤器,接着让我们来看看究竟是哪些 1 启动后过滤链总览 [main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: org.springfra...
tomcat Content-Security-Policy
最新发布
06-19
Tomcat虽然本身不直接支持CSP,但你可以通过配置Web应用的`.htaccess`文件或者在Java Servlet或Filter中设置CSP策略。以下是一个简单的例子: 1. 在`.htaccess`文件中添加CSP头: ```bash $"> Header set Content-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值