Spring Security 中的 SecurityFilterChain 深度解析

于 2025-06-14 00:05:33 发布
阅读量972 收藏 8
点赞数 23
分类专栏: # Security 文章标签: spring java 后端 Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_tom_168/article/details/148632853
版权

Spring Security 中的 SecurityFilterChain 深度解析

在 Spring Security 6 中,SecurityFilterChain 已成为安全配置的核心接口,彻底取代了传统的 WebSecurityConfigurerAdapter 继承方式。以下是其核心功能、配置方法及与旧版本的差异对比:

一、SecurityFilterChain 的核心角色

  1. 安全规则容器

    • 定义 HTTP 请求的授权规则(如路径权限、方法权限)、认证方式(表单登录、OAuth2)及安全过滤器链
    • 每个 SecurityFilterChain Bean 对应一组独立的安全配置,支持多条链共存(通过 order 属性排序)。

  2. 请求处理流程

    • Spring Security 按 SecurityFilterChain 的顺序逐条匹配请求,第一个匹配的链将处理该请求。
    • 示例:公开 API 与管理后台可通过不同链配置独立权限。
二、配置方式对比:6.x vs 5.x
特性Spring Security 5.xSpring Security 6.x
配置入口继承 WebSecurityConfigurerAdapter定义 SecurityFilterChain Bean
路径匹配antMatchers("/public/**").permitAll()requestMatchers("/public/**").permitAll()
方法级权限不支持支持 requestMatchers(HttpMethod.POST, ...)
过滤器链控制通过 configure(HttpSecurity http) 配置通过 SecurityFilterChain Bean 显式配置
三、6.x 配置示例详解
@Configuration
public class SecurityConfig {

    // 定义第一条安全链(公开接口)
    @Bean
    @Order(1)
    public SecurityFilterChain publicFilterChain(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/public/**") // 仅匹配 /public/** 路径
            .authorizeHttpRequests(auth -> auth
                .anyRequest().permitAll()
            )
            .csrf(CsrfConfigurer::disable); // 禁用CSRF(根据场景决定)
        return http.build();
    }

    // 定义第二条安全链(管理后台)
    @Bean
    @Order(2)
    public SecurityFilterChain adminFilterChain(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/admin/**")
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/admin/login").permitAll()
                .anyRequest().hasRole("ADMIN")
            )
            .formLogin(form -> form
                .loginPage("/admin/login")
                .defaultSuccessUrl("/admin/dashboard")
            );
        return http.build();
    }

    // 全局安全配置(如JWT、OAuth2)
    @Bean
    public SecurityFilterChain globalFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/api/**").authenticated()
            )
            .oauth2Login(oauth -> oauth
                .loginPage("/oauth2/login")
            );
        return http.build();
    }
}
四、关键配置方法解析

  1. 路径匹配

    • securityMatcher("/api/**"): 精确匹配路径(Spring Security 6.2+ 新增,替代 antMatcher)。
    • requestMatchers(HttpMethod.POST, "/api/data"): 结合 HTTP 方法限制。

  2. 授权策略

    • anyRequest().authenticated(): 所有请求需认证。
    • hasRole("ADMIN"): 需具备 ADMIN 角色。
    • hasAuthority("SCOPE_read"): 需拥有特定权限(适用于 OAuth2)。

  3. 认证方式

    • formLogin(): 表单登录配置。
    • oauth2Login(): OAuth2 客户端配置。
    • httpBasic(): Basic 认证。

  4. 安全头配置

    • headers(headers -> headers.frameOptions().disable()): 允许 iframe 嵌入(需谨慎)。
五、迁移指南:5.x → 6.x

  1. 移除 @EnableWebSecurity

    • 6.x 默认启用 Web 安全,无需显式注解。

  2. 替换配置类

    // 5.x 配置
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }
}

// 6.x 配置
@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(auth -> auth.anyRequest().authenticated());
        return http.build();
    }
}

  3. 调整路径匹配语法

    • antMatchers() 替换为 requestMatchers(),并支持正则表达式:
      .requestMatchers(regexMatcher("/api/[0-9]+/data"))
六、高级场景应用

  1. 多过滤器链协同

    • 通过 @Order 注解控制链的优先级,实现微服务网关的细粒度控制。

  2. 与 OAuth2 集成

    http.oauth2ResourceServer(oauth2 -> oauth2
    .jwt(jwt -> jwt.decoder(jwtDecoder()))
);

  3. 动态权限控制

    • 结合 @PreAuthorize 注解和 SecurityFilterChain 实现方法级权限:
      @PreAuthorize("hasAuthority('SCOPE_write')")
@PostMapping("/api/data")
public ResponseEntity<?> createData() { ... }
七、总结

SecurityFilterChain 通过组件化配置、类型安全路径匹配、多链协同三大特性,重构了 Spring Security 的配置范式。其设计哲学与 Spring Boot 的“约定优于配置”理念一脉相承,使安全规则更直观、易维护。对于升级项目,需重点关注路径匹配语法调整、多链优先级控制,并充分利用 Lambda DSL 提升配置可读性。

spring security框架使用及源码解析(保姆级教程)
边走、边悟、迟早变好
06-28 2288
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
Spring Security认证授权深度解析
自己选择的路,跪着也要走完
04-02 386
SecurityContextHolder:存储安全上下文信息 Authentication:存储当前用户的认证信息 UserDetails:用户信息的核心接口 UserDetailsService:加载用户信息的核心接口 AuthenticationProvider:认证的具体实现者
Spring Boot与Spring Security集成深度解析
weixin_34618526的博客
05-01 1081
Spring Security是一个功能强大的、可高度定制的安全和认证框架。它为基于Spring的应用提供了全面的认证和授权支持。Spring Security旨在为Java应用程序提供一个可靠的、可扩展的认证和访问控制解决方案。在Spring Security中,是核心的认证接口,负责从数据源加载用户信息。通常情况下,我们会使用Spring提供的默认实现,如,但在实际应用中,用户信息往往存储在数据库中,这就需要我们自定义实现。要实现自定义的,你需要按照以下步骤进行:创建实体类。
spring security源码解析
tbb678822的博客
08-12 1914
spring security源码解析
Spring Security 中的 `UserDetailsService` 深度解析
最新发布
csdn_tom_168的博客
06-14 390
UserDetailsService是Spring Security认证流程的核心接口,负责加载用户信息。它通过loadUserByUsername方法从数据库、内存等数据源查询用户详情,包括密码和权限。开发者可通过自定义实现对接不同存储,或使用InMemoryUserDetailsManager等内置类。使用时需结合PasswordEncoder确保密码安全,并注意异常处理、性能优化等最佳实践。该接口与安全配置协同工作,构建了完整的认证链条,是Spring Security权限控制的基础组件。
最新Spring Security实战教程(三)Spring Security 的底层原理解析
Micro麦可乐的博客
03-10 3925
相信通过前面两个章节的讲解,大家已经对有了一个初步认识,今天这个章节我们主要聊一聊的底层原理。为什么我们只要简单的一个配置就可以实现我们想要的功能?实际上的Servlet支持就是基于Servlet过滤器Filter!Spring Security 的设计充分考虑了扩展性。自定义 Filter:在现有 FilterChain 中插入新的安全过滤器;自定义 AuthenticationProvider:实现特定业务场景下的身份验证;自定义 AccessDecisionManager:满足细粒度的授权需求。
Spring Security详解
技术人集结地
04-14 958
Spring Security 凭借其模块化设计、深度 Spring 整合及全面的安全防护,成为 Java企业级安全解决方案的首选。无论是传统 Web 应用、REST API 还是微服务架构,均可通过其灵活的配置和扩展能力构建高安全性的系统。对于开发者而言,掌握其核心过滤器链和注解驱动的权限控制是提升开发效率的关键。Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,专为基于 Spring 的应用程序设计。
Spring Security 认证源码超详细分析
緑水長流*z
08-30 3538
AbstractAuthenticationProcessingFilter 为处理认证请求提供了一个基础框架。这个抽象类主要用于处理 HTTP 请求,并将其转换为 Authentication 对象,然后提交给 AuthenticationManager 进行认证。这不就是我们前面介绍的 UsernamePasswordAuthenticationFilter 吗?
SpringSecurity源码解析
zjl1638908711的博客
10-21 1600
SpringSecurity源码浅解析
SpringCloud-sentinel集成到nacos
a_15715324986的博客
06-13 327
这是因为,流控规则是保存在内存中的,如果重启微服务,内存中的规则就消失了。前面我们学习sentinel熔断和降级时,如果服务器重启,那么配置的规则都会消失。大家记得命名空间是区分服务和properties配置的范围,一定要一一对应,比如dev、prod、test,都要保持跟项目启动配置一致。但是当我们重启下微服务,再次频繁刷新时,就会发现没有报错,说明规则失效了。如上创建配置,记得这是在dev下创建配置的,跟yml中的命名空间需要一致。如上图所示,重启服务后,规则还是生效的,这样就做到了持久化。
基于SpringJava公共资源模块开发与最佳实践
糯米导航
06-09 641
7.1 研究成果总结7.2 不足之处与改进方向7.3 研究展望本公共资源模块为Java应用提供了一套完整的基础设施,包括配置管理、日志管理、缓存管理、异常处理和常用工具类等功能。通过合理的架构设计和模块化实现,该模块具有良好的可扩展性和可维护性,可以作为企业级Java应用的基础组件。在实际项目中,可以根据具体需求对模块进行扩展,例如增加分布式缓存支持、添加更多工具类、实现更复杂的配置管理等。通过不断完善和优化,公共资源模块可以为整个系统提供更加稳定和高效的支持。
SpringBoot学习day1-SpringBoot的简介与搭建
weixin_75111785的博客
06-11 983
Spring Boot是一个简化Spring应用开发的框架,基于"约定大于配置"思想,内置Tomcat服务器,具有起步依赖和自动配置两大核心功能。文章介绍了Spring框架的优缺点,详细演示了如何搭建Spring Boot项目(以新闻系统为例),包括POM配置、启动类创建和控制器编写。还讲解了Spring Boot的两种配置文件格式(.properties和.yml),以及如何集成JDBC、MySQL和Druid数据源。通过Spring Boot可以快速构建独立运行的企业级应用,简化传统
SpringBoot快速开发实践
weixin_41800760的博客
06-13 486
而对于HTTP传输二进制流的相关细节,其实没有我想象中的那么复杂,以前学习POP3和SMTP(这两个都是邮件传输协议)的时候,知道他们都只能传输ASCII文本,如果要在邮件中加入附件,如一张图片(图片文件就是二进制文件)那就得先对图片文件转码,即将邮件协议不能传输的二进制数据流转换成可被邮件协议传输的ASCII数据流,其中用的最多的转换就是BASE64编码转换。作者大学学习的是计算机通信,现在的编程体系已经从原始的Socket编程,框架升级之后,基本上找不到Socket的影子。形成一个整体的概念。
搭建一个springColud 项目,从头开始,里面有订单,库存两个模块
qq_42857358的博客
06-10 1081
下面我将带你从零开始搭建一个完整的 Spring Cloud 项目,包含订单(order)和库存(stock)两个模块,使用 Nacos 作为注册中心和配置中心。
Java求职者面试指南:SpringSpring Boot、Spring MVC与MyBatis技术点解析
yjdevil159的博客
06-09 1102
本文详细介绍了Java求职者在面试中可能遇到的技术问题,涵盖了SpringSpring Boot、Spring MVC和MyBatis等框架技术的基础概念、计算机基础问题以及源码原理。通过这些问题和解答,求职者可以更好地准备面试,提升自己的技术能力。
Java安全框架——SpringSecurity
2301_77523019的博客
06-13 560
SpringSecurity是专为Spring应用设计的安全框架,提供身份验证、授权、攻击防护等功能。文章从核心功能、快速上手到登录认证流程进行了系统介绍,重点讲解了如何集成JWT实现安全认证。通过自定义过滤器链和认证提供者,实现了基于数据库的用户验证和Token校验机制。配置示例包括Redis连接、JWT工具类和Security核心配置,最终构建了完整的无状态安全认证体系,适合单体应用和微服务架构的安全需求。
Spring Bean
weixin_43833540的博客
06-13 86
Spring Bean 是由 Spring IoC 容器管理的对象。
SpringBoot3+ShardingJdbc实现数据分片
jianghuchuang的博客
06-12 839
SpringBoot3和ShardingJdbc整合,实现 大表数据水平切分
SpringBoot-integration 使用MQTT对接大疆机场+无人机 完整示例
若疆~赤云
06-13 146
/ 发送和回复消息使用示例 在MqttConfig配置类中有 replyMessageHandler() 方法使用到了。处理消息 handler 自定义实现逻辑,可以选择写入redis或者入库,未后续业务做前置数据准备。参考大疆上云API - 大疆上云api是二级路由方案,我这做开发直接使用一级路由满足当前系统要求。mqttconfig 定义mqtt连接工厂,消息处理通道和路由定义,只监听需要的topic。处理发送消息接收回复消息监听类。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值