spring security filter

最新推荐文章于 2024-04-18 16:07:15 发布
最新推荐文章于 2024-04-18 16:07:15 发布
阅读量934 收藏
点赞数
分类专栏: spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a595077052/article/details/119331194
版权

一、spring security过滤器默认配置

WebSecurityConfigurerAdapter.init()
WebSecurityConfigurerAdapter.getHttp()
new HttpSecurity()
new FilterComparator()
按优先级顺序放入,前面的优先级比后面的高,关键的filter
Step order = new Step(INITIAL_ORDER, ORDER_STEP);
put(ChannelProcessingFilter.class, order.next());
put(ConcurrentSessionFilter.class, order.next());
put(WebAsyncManagerIntegrationFilter.class, order.next());
put(SecurityContextPersistenceFilter.class, order.next());
put(HeaderWriterFilter.class, order.next());
put(CorsFilter.class, order.next());
put(CsrfFilter.class, order.next());
put(LogoutFilter.class, order.next());
filterToOrder.put(   "org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter", order.next());
put(X509AuthenticationFilter.class, order.next());
put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter",
        order.next());
filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter",
        order.next());
put(UsernamePasswordAuthenticationFilter.class, order.next());
put(ConcurrentSessionFilter.class, order.next());
filterToOrder.put(
        "org.springframework.security.openid.OpenIDAuthenticationFilter", order.next());
put(DefaultLoginPageGeneratingFilter.class, order.next());
put(DefaultLogoutPageGeneratingFilter.class, order.next());
put(ConcurrentSessionFilter.class, order.next());
put(DigestAuthenticationFilter.class, order.next());
filterToOrder.put(
        "org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationFilter", order.next());
put(BasicAuthenticationFilter.class, order.next());
put(RequestCacheAwareFilter.class, order.next());
put(SecurityContextHolderAwareRequestFilter.class, order.next());
put(JaasApiIntegrationFilter.class, order.next());
put(RememberMeAuthenticationFilter.class, order.next());
put(AnonymousAuthenticationFilter.class, order.next());
filterToOrder.put(
    "org.springframework.security.oauth2.client.web.OAuth2AuthorizationCodeGrantFilter",
        order.next());
put(SessionManagementFilter.class, order.next());
put(ExceptionTranslationFilter.class, order.next());
put(FilterSecurityInterceptor.class, order.next());
put(SwitchUserFilter.class, order.next());

二、springsecurity过滤器链springSecurityFilterChain通过代理创建(懒加载)

1、oauth2认证中心

查看容器中的关于springsecurity需要的filter(springSecurityFilterChain),需要跟踪tomcat支持包下的ApplicationFilterFactory类,查看返回的过滤器链对象filterChain,ApplicationFilterFactory.createFilterChain(ServletRequest request,Wrapper wrapper, Servlet servlet),也可以查看DelegatingFilterProxy.initDelegate(WebApplicationContext wac),这个方法是在执行DelegatingFilterProxy的doFilter方法时才会执行,达到懒加载delegate的目的。

适配后的过滤器链

token相关(/oauth/token,/oauth/token_key,/oauth/check_token)的springSecurityFilterChain过滤器链(按优先级顺序)
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
LogoutFilter
ClientCredentialsTokenEndpointFilter
BasicAuthenticationFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
AnonymousAuthenticationFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor


anyRequest相关springSecurityFilterChain的过滤器链
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CorsFilter
LogoutFilter
UsernamePasswordAuthenticationFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
AnonymousAuthenticationFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor

2、oauth2的SSO客户端(@EnableOAuth2Sso)过滤器如下:

客户端注解@EnableOAuth2Client引入的过滤器
OAuth2ClientContextFilter

客户端的springSecurityFilterChain过滤器链

WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
LogoutFilter
OAuth2ClientAuthenticationProcessingFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
AnonymousAuthenticationFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor

三、springsecurity过滤器链所处容器中过滤器链的位置如下图所示

在这里插入图片描述

四、请求与过滤器链

1、springSecurityFilterChain

初始化过滤器:启动tomcat容器时,ServletContextInitializerBeans.addAdaptableBeans会从beanFactory将实现javax.servlet.Filter接口相关的bean(含springSecurityFilterChain类型为DelegatingFilterProxyRegistrationBean)加载到initializers
再执行ServletContextInitializerBeans.onStartup(ServletContext servletContext)将执行springSecurityFilterChain.getFilter()获取到DelegatingFilterProxy的实例并添加到容器ServletContext(即ApplicationContext,真正存入StandardContext,filter以FilterDef类型存储)中。

2、处理请求

1)调用tomcat的类StandardWrapperValve的invoke方法,获取整体的过滤器链ApplicationFilterChain并执行。

获取整体的过滤器链ApplicationFilterFactory.createFilterChain从StandardContext中获取适合的过滤器配置(ApplicationFilterConfig)添加到过滤器链中。

public final void invoke(Request request, Response response)
        throws IOException, ServletException {
        ....
        // Create the filter chain for this request
        ApplicationFilterChain filterChain =
                ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);

        // Call the filter chain for this request
        // NOTE: This also calls the servlet's service() method
        Container container = this.container;
        try {
            ....
            filterChain.doFilter(request.getRequest(),
                    response.getResponse());
            ....          
        } catch (Exception e) {
            .....
        } finally {
            // Release the filter chain (if any) for this request
            if (filterChain != null) {
                filterChain.release();
            }
            ....
    }

ApplicationFilterChain过滤器链执行方法doFilter,内部执行internalDoFilter方法

private void internalDoFilter(ServletRequest request,
                                  ServletResponse response)
        throws IOException, ServletException {
    // Call the next filter if there is one
    if (pos < n) {
        ApplicationFilterConfig filterConfig = filters[pos++];//获取过滤器链中下一个过滤器配置
        try {
            Filter filter = filterConfig.getFilter();//从配置中得到过滤器
            .....
            filter.doFilter(request, response, this);//过滤器执行时,需要将当前的过滤器链作为参数传入,以便在过滤器内部执行过滤器链的doFilter方法,调用下一个过滤器,实现过滤器的链式调用
           
        }
    }    
    ....
}

2)执行springsecurity的过滤器链springSecurityFilterChain

当执行到springSecurityFilterChain,再执行DelegatingFilterProxy.doFilter、initDelegate完成对FilterChainProxy(delegate真正的springSecurity过滤器链)的实例的创建,  再执行DelegatingFilterProxy.invokeDelegate方法,调用FilterChainProxy.doFilter执行doFilterInternal方法创建VirtualFilterChain(这个就是springsecurity真正的过滤器链,包含原始的过滤器链ApplicationFilterChain和springsecurity的过滤器列表)并执行它的doFilter来开始执行springsecurity的过滤器链,内部先执行springsecurity的过滤器链,最后再回到原始的过滤器链originalChain(ApplicationFilterChain),继续执行后续的过滤器。

    public void doFilter(ServletRequest request, ServletResponse response)
            throws IOException, ServletException {
        if (currentPosition == size) {
            if (logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
                        + " reached end of additional filter chain; proceeding with original chain");
            }

            // Deactivate path stripping as we exit the security filter chain
            this.firewalledRequest.reset();

            originalChain.doFilter(request, response);
        }
        else {
            currentPosition++;

            Filter nextFilter = additionalFilters.get(currentPosition - 1);

            if (logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
                        + " at position " + currentPosition + " of " + size
                        + " in additional filter chain; firing Filter: '"
                        + nextFilter.getClass().getSimpleName() + "'");
            }

            nextFilter.doFilter(request, response, this);
        }
    }

3)过滤器链执行流程

chj2013
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Filter详解
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
详解spring security filter的工作原理
08-25
Spring Security Filter 的工作原理详解 Spring Security 是一个广泛使用的 Java 认证和授权框架,它提供了一个灵活的安全机制来保护基于 Java 的 Web 应用程序。在 Spring Security 中,Filter 是一个非常重要的...
SpringSecurity的默认Filter详解
户伟伟的博客
09-20 924
SpringSecurity默认的Filter详解
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
最新发布
小威的博客
04-18 1万+
Spring Security 的过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
SpringSecurity(十三)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2163
Spring Security中,HTTP过滤器会委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器会负责授权配置等等。通常HTTP过滤器会管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器会接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器。
Spring Security --- 自定义Filter
汤键的博客
06-15 2139
Spring Security --- 自定义Filter
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4291
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
Spring Security模块
09-03
Spring Security 实际上是基于 Filter 的,它通过在请求处理链中插入一系列的安全过滤器来实现其功能。 **一、Spring Security 的核心组件** 1. **Filter Security Interceptor (FSI)**:这是 Spring Security 的...
全面解析Spring Security 内置 Filter
08-18
Spring Security 内置 Filter 综述 Spring Security 作为一个流行的 Java 安全框架,提供了丰富的安全功能,其中内置的 Filter 机制是其核心之一。通过这些内置的 Filter,我们可以轻松地实现身份验证、授权、会话...
spring security 官方文档
10-08
6. **Web安全(Web Security)**:对于基于Servlet的应用,Spring Security通过Servlet Filter进行安全控制;对于响应式(Reactive)应用,它提供了WebFlux安全支持,利用Reactor库处理非阻塞的HTTP请求。 7. **API...
springsecurity
07-23
1. **Filter Security Chain**:这是Spring Security的基础,由一系列的过滤器组成,它们按照特定顺序处理HTTP请求。这些过滤器执行身份验证、授权以及安全相关的操作。 2. **Authentication**:认证是指确认用户的...
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2397
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
Spring Security+JWT在前后端分离项目中,实现认证授权的入门及理论讲解
penriver的博客
05-03 1578
SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。包含如下核心过滤器 - UsernamePasswordAuthenticationFilter: 根据用户名及密码进行认证工作 - ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和 AuthenticationException - FilterSecurityInterceptor: 负责进行授权操作 本文讲解认证授权的入门及理论讲解
SpringSecurity原理(四)——过滤器
trayvontang的博客
05-07 1125
概述 前面的文章中我们已经基本了解了怎样使用Spring Security的基本的认证(Authentication)和授权(Authority) 但是,我们还不清楚Spring Security到底是怎样执行这些流程。 这篇文章,我们就以SpringBoot为例,来梳理一下Spring Security从启动到执行这些流程的过程。 前置知识 我们知道Spring Security是通过Filter的方式来完成它的核心流程。但是: Spring Security到底拥有哪些Filter? 这些Filter
Spring Boot、Spring Security升级、版本选择、安全漏洞说明
热门推荐
学习笔记
05-26 1万+
文章目录一、概述依据一:官方主维护依据二:CVE-2022-22965依据三:CVE-2022-22978二、版本选择 一、概述 依据一:官方主维护 截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。 **发行说明 :**https://github.com/spring-projects/spring-boot/wiki 依据二:CVE-2022-22965 0x01漏洞详情 Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Sp
Spring Security3源码分析(11)-BasicAuthenticationFilter分析
Benjamin
09-11 6627
BasicAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.www.BasicAuthenticationFilter  Basic验证方式相比较而言用的不是太多。spring security也支持basic的方式,配置如下  Xml代码   securi
Spring Security系列(一):自定义AuthenticationFilter
u013244613的博客
03-27 1896
Spring Security自定义AuthenTokenFilter
spring security 各个filter的主要功能
qq_29415357的博客
03-21 1009
spring security 各个filter的主要功能 spring security是一个安全框架,主要实现登录认证、权限鉴定、session管理等工作。其把工作委托给springsecurityFilterChain来操作,大约有14个Filter。 1、WebAsyncManagerIntegrationFilter: 提供了对securityContext和WebAsyncManager的集成,使其支持把SecurityContext设置基于ThreadLocal的SecurityContext
spring security每个filter的作用和配置顺序
04-21 1667
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xmlns:s
springsecurity filter和provider
05-17
Spring Security是一个强大的安全框架,提供了一系列的Filter和Provider用于认证和授权。 FilterSpring Security的核心组件之一,用于拦截请求并进行安全验证。Spring Security中的所有安全功能都是通过Filter...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值