spring security每个filter的作用和配置顺序

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量1.6k 收藏
点赞数
分类专栏: 用户权限 
<?xml version="1.0" encoding="UTF-8"?>  
<beans xmlns="http://www.springframework.org/schema/beans"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xmlns:context="http://www.springframework.org/schema/context"  
    xmlns:sec="http://www.springframework.org/schema/security"  
    xsi:schemaLocation="  
        http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd  
        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">  
  
  
    <bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">  
        <sec:filter-chain-map path-type="ant">  
            <sec:filter-chain pattern="/**" filters="  
                securityContextPersistenceFilter,  
                logoutFilter,  
                usernamePasswordAuthenticationFilter,  
                securityContextHolderAwareRequestFilte,  
                rememberMeFilter,  
                sessionManagementFilter,  
                anonymousProcessingFilter,  
                exceptionTranslationFilter,  
                filterSecurityInterceptor" />  
        </sec:filter-chain-map>  
    </bean>  
      
    <bean id="securityContextRepository" class="org.springframework.security.web.context.HttpSessionSecurityContextRepository" />  
    <bean id="securityContextPersistenceFilter" class="org.springframework.security.web.context.SecurityContextPersistenceFilter">  
        <property name="securityContextRepository" ref="securityContextRepository"/>  
    </bean>  
    
    <bean id="logoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">  
        <constructor-arg value="/security/notLogin"/>  
        <constructor-arg>  
            <list>  
                <ref local="rememberMeServices"/>  
                <bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"></bean>  
            </list>  
        </constructor-arg>  
    </bean>  
      
    <bean id="usernamePasswordAuthenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">  
        <property name="authenticationManager" ref="authenticationManager"/>  
        <property name="authenticationFailureHandler" ref="failureHandler" />  
        <property name="authenticationSuccessHandler" ref="successHandler" />  
        <property name="rememberMeServices" ref="rememberMeServices"/>  
    </bean>  
    <bean id="successHandler" class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler" >  
        <property name="defaultTargetUrl" value="/security/loginSuccess.json" />  
        <property name="alwaysUseDefaultTargetUrl" value="true" />  
    </bean>  
    <bean id="failureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler" >  
        <property name="defaultFailureUrl" value="/security/loginFailure.json" />  
    </bean>  
      
    <bean name="securityContextHolderAwareRequestFilte" class="org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter"></bean>  
      
    <bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">  
        <property name="authenticationManager" ref="authenticationManager"/>  
        <property name="rememberMeServices" ref="rememberMeServices"/>  
    </bean>  
      
    <bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">  
        <property name="userDetailsService" ref="userDetailsService"/>  
        <property name="key" value="springRocks"/>  
        <property name="alwaysRemember" value="false"/>  
    </bean>  
      
    <bean id="rememberMeAuthenticationProvider"  
        class="org.springframework.security.authentication.RememberMeAuthenticationProvider">  
        <property name="key" value="springRocks"/>  
    </bean>  
      
    <bean name="sessionManagementFilter" class="org.springframework.security.web.session.SessionManagementFilter">  
        <constructor-arg name="securityContextRepository" ref="securityContextRepository"/>  
        <property name="invalidSessionUrl" value="/security/notLogin"></property>  
    </bean>  
      
    <bean id="anonymousProcessingFilter" class="org.springframework.security.web.authentication.AnonymousAuthenticationFilter">  
        <property name="key" value="changeThis"/>  
        <property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS"/>  
    </bean>     
  
    <bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">  
        <property name="authenticationEntryPoint">     
            <bean class="org.springframework.security.web.authentication.AuthenticationProcessingFilterEntryPoint">     
                <property name="loginFormUrl" value="/security/notLogin"/>     
            </bean>     
        </property>     
        <property name="accessDeniedHandler">     
            <bean class="org.springframework.security.web.access.AccessDeniedHandlerImpl">     
                <property name="errorPage" value="/resources/page/login.jsp?login_error=2"/>  
            </bean>     
        </property>     
    </bean>  
      
    <bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">  
        <property name="authenticationManager" ref="authenticationManager"/>  
        <property name="accessDecisionManager" ref="accessDecisionManager"/>  
        <property name="securityMetadataSource">  
            <sec:filter-security-metadata-source>  
                <sec:intercept-url pattern="/security/notLogin" access="IS_AUTHENTICATED_ANONYMOUSLY"/>  
                <sec:intercept-url pattern="/security/loginFailure.json" access="IS_AUTHENTICATED_ANONYMOUSLY"/>  
                <sec:intercept-url pattern="/images/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>  
                <sec:intercept-url pattern="/scripts/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>  
                <sec:intercept-url pattern="/styles/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>  
                <sec:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN,ROLE_SUPER_ADMIN"/>  
            </sec:filter-security-metadata-source>  
        </property>  
    </bean>  
      
    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">  
        <property name="allowIfAllAbstainDecisions" value="false"/>  
        <property name="decisionVoters">  
            <list>  
                <bean class="org.springframework.security.access.vote.RoleVoter"/>  
                <bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>  
            </list>  
        </property>  
    </bean>  
  
    <bean id="authenticationManager" class="org.springframework.security.authentication.ProviderManager">  
        <property name="providers">  
            <list>  
                <ref local="daoAuthenticationProvider"/>  
                <ref local="rememberMeAuthenticationProvider" />    
            </list>  
        </property>  
    </bean>  
  
    <bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">  
        <property name="userDetailsService" ref="userDetailsService"/>  
    </bean>  
  
    <bean id="userDetailsService" class="com.javaeye.melin.core.spring.userdetails.IBatisDaoImpl" />  
  
    <!--    
    <bean id="authenticationLoggerListener" class="org.springframework.security.authentication.event.LoggerListener"/>  
    <bean id="authorizationLoggerListener" class="org.springframework.security.access.event.LoggerListener"/>  
    -->  
</beans>


转自:http://blog.sina.com.cn/s/blog_6fda308501016wjh.html

苍羽
关注
专栏目录
Spring Security 6.x 系列(2)—— 基于过滤器的基础原理(一)
gmHappy
10-31 2万+
`Spring Security` 的 `Servlet` 支持基于 `Servlet` 过滤器,因此首先了解过滤器的作用会很有帮助。
Security Filters顺序
HHoao的博客
05-04 657
Security Filters顺序Security Filter通过SecurityFilterChain 被插入到FilterChainProxy中。过滤器的顺序很重要,但通常不需要知道Spring Security过滤器的顺序。然而,有些时候,知道顺序是有益的。 你可以通过FilterOrderRegistration查看过滤器的顺序 FilterOrderRegistration.java FilterOrderRegistration() { Step order = new S
FilterSecurityFilterChain上的的排序规则
xsgnzb的专栏
03-11 754
为了让系统正常运行,SecurityFilterChain 上的Filter要保持一定的顺序,例如AuthorizationFilter 要放在各类AuthenticationFilter 的后面,不然还没认证就开始校验权限信息,那一定不会通过。Spring Security为默认的Filter设置了固定的顺序,这些FilterFilter的子类,都会按照这个顺序执行。
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 4296
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
security解密_filter的执行顺序解密
weixin_39537680的博客
12-13 267
1.引言我们在编写javaweb程序的时候,时常会用filter这个组件,它能将我们一些通用逻辑抽取出来,在servlet执行行业务逻辑之前运行行,达到简化代码和复用的目的.比如最常用的场景全站编码和登录验证功能.servlet3.0以前我们只能通过web.xml的方式配置filter,并且多个filter的执行顺序是根据你web.xml中书写顺序来决定的.servlet3.0以后,提供了注解的方...
spring security标准过滤器以及排序
iechenyb专栏
11-03 1556
在使用xml配置spring security时经常会看到下面类似的配置: &lt;security:http  entry-point-ref="multipleAuthenticationLoginEntry"  servlet-api-provision="true"&gt; &lt;!-- &lt;security:session-management invalid-session-...
spring security3.x学习(25)_bean配置spring security(mysql数据库)
杜雷的技术博客
09-24 2179
spring security有一段时间了,一直迷惑于spring security使用的不方便,今天看书的时候,终于提到了自定义的spring security,下边就是书中提出的神图(我是看了一下,没怎么看懂,但是我觉得自己做完再回来看肯定就差不多了。) 直接看配置文件: <security:filter-ch
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器链(Filter)以及最终的具体 Servlet 控制器...
Spring Security(09)——Filter介绍
Elim的博客
06-07 1万+
Spring Security的底层是通过一系列的Filter来管理的,每个Filter都有其自身的功能,而且各个Filter在功能上还有关联关系,本文主要描述Spring Security是如何通过一系列的Filter来实现它的核心功能的,Spring Security中已经定义了哪些内置的Filter作用是什么,以及如何添加自定义的Filter到已有的Filter链中。
springsecurity
07-23
8. **CSRF Protection**:为了防止跨站请求伪造攻击,Spring Security 提供了内置的CSRF令牌管理,确保每个修改状态的请求都带有有效的CSRF令牌。 9. **Exception Translation**:将安全相关的异常转换为HTTP响应...
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
spring security源码分析之一springSecurityFilterChain
05-22 139
1. springspring security的集成,配置web.xml如下: <context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/spring-se...
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 747
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
Spring Security3》第六章第五部分翻译(手动配置Spring Security设施的bean)
张卫滨的技术记录
10-19 99
  手动配置Spring Security设施的bean          如果你工作要求的环境很复杂而Spring Security的基本功能——尽管非常强大——不能满足所有的要求,你可能最终需要自己从头构建Spring Security的过滤器链以及支持实施。这是在Spring Security参考手册中没有完全提及的部分,但是却难住了很多人。有些人将这种类型的配置成为Spring...
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2475
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
spring security filter
a595077052的专栏
08-02 956
WebSecurityConfigurerAdapter.init() WebSecurityConfigurerAdapter.getHttp() newHttpSecurity() new FilterComparator() 按优先级顺序放入,前面的优先级比后面的高,关键的filter Step order = new Step(INITIAL_ORDER, ORDER_STEP); put(ChannelProcessingFilter.class, order.next()); put(Con..
spring security3.x学习(3)_初探过滤器机制
远有青山
04-03 4833
我们了解一下验证的过程 、首先用户发起一个请求、 这时候,认证管理器进行拦截,验证用户发起请求时的一些凭证信息,未通过验证信息审核的那么返回给用户,通过审核的,那么继续进行请求访问,访问页面之前,会被访问决策管理拦截,访问决策管理器验证用户是否有访问页面的权限,如果有,那么继续到访问页面。 其实spring security这样的权限框架就是根据一系列的依赖代理(delegates)和s
spring security 概述& 配置文件详解
热门推荐
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
spring security只要熟悉每个filter作用顺序
xyzroundo的专栏
06-29 1924
来源:http://blog.sina.com.cn/s/blog_6fda308501016wjh.html version="1.0" encoding="UTF-8"?>   xmlns="http://www.springframework.org/schema/beans"       xmlns:xsi="http://www.w3.org/2001/XMLSchem
深度解析:Spring Security Filter的工作机制
Spring Security Filter 的入口点是 `DelegatingFilterProxy` 类,它在Web应用的`web.xml`中被配置为一个Filter。`DelegatingFilterProxy` 实现了 `javax.servlet.Filter` 接口,并且继承了 `org.springframework....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值