查找已注册的 Spring Security 过滤器

最新推荐文章于 2024-04-18 16:07:15 发布
最新推荐文章于 2024-04-18 16:07:15 发布
阅读量463 收藏 1
点赞数
文章标签: spring servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126722864
版权

1.概述

Spring Security 基于一系列 servlet 过滤器。每个过滤器都有特定的职责,根据配置,添加或删除过滤器。

在本教程中,我们将讨论查找已注册的 Spring Security Filters 的不同方法

2.安全调试

首先,我们将启用安全调试,它将记录每个请求的详细安全信息。

我们可以使用调试属性启用安全调试:

@EnableWebSecurity(debug = true)

这样,当我们向服务器发送请求时,所有的请求信息都会被记录下来。

我们还可以看到整个安全过滤器链:

Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  UsernamePasswordAuthenticationFilter
  // ...
]

3. 记录

接下来,我们将通过启用 FilterChainProxy的日志记录来找到我们的安全过滤器。

我们可以通过将以下行添加到application.properties来启用日志记录:

logging.level.org.springframework.security.web.FilterChainProxy=DEBUG

以下是相关日志:

DEBUG o.s.security.web.FilterChainProxy - /foos/1 at position 1 of 12 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter'
DEBUG o.s.security.web.FilterChainProxy - /foos/1 at position 2 of 12 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter'
DEBUG o.s.security.web.FilterChainProxy - /foos/1 at position 3 of 12 in additional filter chain; firing Filter: 'HeaderWriterFilter'
DEBUG o.s.security.web.FilterChainProxy - /foos/1 at position 4 of 12 in additional filter chain; firing Filter: 'LogoutFilter'
DEBUG o.s.security.web.FilterChainProxy - /foos/1 at position 5 of 12 in additional filter chain; firing Filter: 'UsernamePasswordAuthenticationFilter'
...

4. 以编程方式获取过滤器 

现在,我们将了解如何以编程方式获取已注册的安全过滤器。

我们将使用 FilterChainProxy来获取安全过滤器。

首先,让我们自动装配springSecurityFilterChain bean:

@Autowired
@Qualifier("springSecurityFilterChain")
private Filter springSecurityFilterChain;

在这里,我们使用了 名称为springSecurityFilterChain的@Qualifier,类型为Filter,而不是 FilterChainProxy。 这是因为 WebSecurityConfiguration 中的 springSecurityFilterChain() 方法创建Spring Security 过滤器链,返回类型为Filter 而不是 FilterChainProxy。

接下来,我们将此对象强制转换为FilterChainProxy并调用getFilterChains()方法:

public void getFilters() {
    FilterChainProxy filterChainProxy = (FilterChainProxy) springSecurityFilterChain;
    List<SecurityFilterChain> list = filterChainProxy.getFilterChains();
    list.stream()
      .flatMap(chain -> chain.getFilters().stream()) 
      .forEach(filter -> System.out.println(filter.getClass()));
}

这是一个示例输出:

class org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
class org.springframework.security.web.context.SecurityContextPersistenceFilter
class org.springframework.security.web.header.HeaderWriterFilter
class org.springframework.security.web.authentication.logout.LogoutFilter
class org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
...

请注意,从 Spring Security 3.1 开始,  FilterChainProxy 是使用SecurityFilterChain 列表配置的。但是,大多数应用程序只需要一个 SecurityFilterChain。

5. 重要的 Spring Security 过滤器

最后,让我们看一下一些重要的安全过滤器:

  • UsernamePasswordAuthenticationFilter : 进程认证,默认响应“/login” URL
  • AnonymousAuthenticationFilter:当 SecurityContextHolder 中没有身份验证对象时,它会创建一个匿名身份验证对象并将其放在那里
  • FilterSecurityInterceptor:访问被拒绝时引发异常
  • ExceptionTranslationFilter : 捕获 Spring Security 异常

6.结论

在这篇快速文章中,我们探讨了如何以编程方式和使用日志来查找已注册的 Spring Security 过滤器。

与往常一样,可以在 GitHub 上找到源代码。

allway2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security
追风_CJJ的博客
04-13 1124
Spring Security 文章目录Spring Security前言一、Spring Security框架简介二、JWT三、Java基于JWT实现登录功能1.引入pom依赖2.编写JWT工具类3.编写登录接口4.Java后端校验Token测试5.Vue登录页面中的存储Token方法6.Vue前端每次请求资源携带Token方法总结 前言 本文将介绍一个功能强大且高度可定制性的身份验证和访问控制框架——Spring Security。 一、Spring Security框架简介 Spring 是非常
SpringBoot_过滤器(Filter)
骑大马挎大刀
02-27 3799
通过过滤器(Filter),可以实现用户访问某个资源前,对访问的请求和响应进行过滤。 一:原理:在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要的数据。比如在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括低俗文字,危险字段等。 二:过滤器调用顺序: Filter——>Interceptor——>Aspect——>Controller 当Contr
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
小威的博客
04-18 1万+
Spring Security过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
idea查看spring中filters
nairuozi的博客
03-26 1451
@SpringBootApplication public class DemoApplication { public static void main(String[] args) { ConfigurableApplicationContext run=SpringApplication.run(DemoApplication.class, args); System.out.println(111); } } 在启动类中获取到run对象。 在.
4.Spring security过滤器链分析
EdSheeran的博客
02-24 1160
文章目录*过滤器链分析**4.1初始化流程分析**4.1.1`ObjectPostProcessor`**4.1.2`SecurityFilterChain`**4.1.3`SecurityBuilder`**`SecurityBuilder`**`HttpSecurityBuilder`**`AbstractSecurityBuilder`**`AbstractConfiguredSecurityBuilder`**`ProviderManagerBuilder`**`AuthenticationMana
管理所有Filter
sa1kou的博客
10-11 253
看到了一种用一个Filter来管理其他自定义的Filter的方法,通过filterList中元素的顺序可以自定义Filter执行的顺序。 @Override public void init(FilterConfig filterConfig) throws ServletException { // 获取所有Filter List fil
SpringSecurity应用
08-18
Spring Security过滤器链是处理请求的关键组件。默认情况下,它包含了多个内置过滤器,如 `UsernamePasswordAuthenticationFilter` 和 `AnonymousAuthenticationFilter`。你可以通过 `http.addFilterBefore()` 或...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
SpringSecurity通过一系列的安全过滤器链来处理HTTP请求,这些过滤器会进行认证和授权检查。 在数据库认证方面,SpringSecurity可以通过JDBC或内存中存储用户信息,但通常我们选择前者,因为数据库可以提供更安全和...
spring-security.rar
04-06
FSI包含了多个内置的Spring Security过滤器,如`DelegatingAuthenticationEntryPoint`和`FilterSecurityInterceptor`。 2. **Authentication**:表示用户的身份信息,包括用户名、密码等。Spring Security提供了...
spring Security Json 数据库登录验证
01-21
同时,我们创建了一个自定义的过滤器来处理JSON登录请求,并配置了JWT认证转换器。 前端部分,`login.html`通常包含一个表单,用于收集用户的用户名和密码。提交表单时,前端通过Ajax发送一个POST请求到`/api/login...
SpringSecurity初识及使用
孬蛋的博客
08-06 324
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求特征对身份验证和授权的全面且可扩展的支持。...
深入浅出SpringSecurity和OAuth2(二)—— 安全过滤器FilterChainProxy
你要悄悄的拔尖,然后惊艳所有人
07-28 2345
文章目录前言正文1. FilterChainProxy什么时候注入Spring容器中的2. springSecurityFilterChain()方法的作用3. 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
Spring security 速学
10JQKA的博客
11-08 217
SpringSecurity中,如果认证或授权的过程中出现异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。如果是认证过程中出现的异常会被封装成AuthenticationException然后调用对象的方法去进行异常处理。如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用对象的方法去进行异常处理。
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3942
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring Security 过滤器链(一)创建FilterChainProxy
fengqingyuebai19的专栏
06-10 1658
文章目录一SecurityContextHolderSecurityContextAuthentication二UserDetailsUserDetailsServiceGrantedAuthority三AuthenticationManagerProviderManagerAuthenticationProviderAbstractUserDetailsAuthenticationProviderDaoAuthenticationProviderPasswordEncoderUserDetailsServ
Spring Security源码解析(二.创建FilterChainProxy)
qq_30905661的博客
08-10 2755
上一章介绍了Spring Security的相关知识点,这章将详细分析源码。 首先需要认识到Spring Security的关键是filter——FilterChainProxy,经过一层层的filter才能最终访问到我们的资源信息。 同时要了解,访问不同的uri,系统会采取对应的filter列表进行过滤,如下图所示。 严谨点说不止是uri,可以自定义匹配头信息啊或者其他的,http请求中...
springsecurity运用
09-05
Spring Security的流程中,客户端发起请求后,请求会经过一系列的过滤器链进行处理。其中,LogoutFilter用于处理登出请求,判断是否是登出路径并进行相应的登出操作。UsernamePasswordAuthenticationFilter用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值