Spring Security和多个过滤器链

最新推荐文章于 2024-06-11 21:01:57 发布
最新推荐文章于 2024-06-11 21:01:57 发布
阅读量1.9k 收藏
点赞数
文章标签: 过滤器 java spring 设计模式 python

Spring Security是一项非常有用的技术。 它使您可以保护应用程序而不会过于侵入,并允许插入许多不同的身份验证机制。 另一方面,要使用它并不是那么容易,并且每次接触它时我都必须重新学习这些工具之一。 在这篇文章中,我将介绍Spring安全性的一些基础知识,以及如何使用它以不同的方式保护应用程序的不同部分。

Spring安全配置

让我们看一下Spring Security的一部分配置,您可以在Github上找到完整的源代码 。 我正在使用Spring Boot,但是对于所有Spring应用程序,大多数部分应该是相同的。 

 @Configuration  public class SecurityConfig extends WebSecurityConfigurerAdapter { 
     @Override 
     protected void configure(HttpSecurity http) throws Exception { 
         http 
                 .httpBasic() 
                 .and() 
                 .authorizeRequests().antMatchers( "/secret/**" ).authenticated() 
                 .and() 
                 .authorizeRequests().antMatchers( "/**" ).permitAll(); 
     }  }

在最简单的情况下,您只需使用Spring Security中常见的方法链接来配置HttpSecurity 。 在这种情况下,我们启用HTTP基本身份验证,并要求对一个端点进行身份验证( /secure/以下的所有内容)。 允许所有其他请求(以/**表示)。 此处使用的模式是Ant路径语法,但是您也可以使用不同的RequestMatcher来决定应用程序的哪些部分需要哪种身份验证。

Spring boot的所有功能都在过滤器链中实现。 上面对httpBasic()的调用实际上只是确保将相关过滤器添加到过滤器链中。 在这种情况下, BasicAuthenticationFilter将检查是否存在一个Authorization标头并对其进行评估。 如果找到一个,它将在上下文中添加一个Authentication对象,并执行其余的过滤器链。 在该链的末尾是FilterSecurityInterceptor ,它检查所请求的资源是否需要身份验证,以及所设置的资源是否符合所请求的角色。

您还可以通过配置WebSecurity将应用程序的某些部分从身份验证中WebSecurity 。 以下方法确保对/resources/所有请求都跳过上面的配置。 

 @Override  public void configure(WebSecurity web) throws Exception { 
     web.ignoring().antMatchers( "/resources/**" );  }

在幕后,这将添加一个附加的过滤器链,该过滤器链针对配置的路径触发,但不执行任何操作。

多个过滤链

有时可能需要对应用程序的不同部分使用不同的身份验证机制。 为此,Spring Security允​​许您添加几个配置对象。 为此通常使用内部配置类,这些内部配置类也可以共享封闭应用程序的某些部分。 下列类添加了两个不同的Spring Security过滤器链。 

 public class SecurityConfig { 
     @Configuration 
     public static class ApiConfiguration extends WebSecurityConfigurerAdapter { 
         @Override 
         protected void configure(HttpSecurity http) throws Exception { 
             // doesn't really make sense to protect a REST API using form login but it is just for illustration 
             http 
                     .formLogin() 
                     .and() 
                     .authorizeRequests().antMatchers( "/secret/**" ).authenticated() 
                     .and() 
                     .authorizeRequests().antMatchers( "/**" ).permitAll(); 
         } 
         @Override 
         public void configure(WebSecurity web) throws Exception { 
             web.ignoring().antMatchers( "/resources/**" ); 
         } 
     } 
     @Order ( 1 ) 
     @Configuration 
     public static class ActuatorConfiguration extends WebSecurityConfigurerAdapter { 
         @Override 
         protected void configure(HttpSecurity http) throws Exception { 
             http 
                     .antMatcher( "/management/**" ) 
                     .httpBasic() 
                     .and() 
                     .authorizeRequests().antMatchers( "/management/**" ).authenticated(); 
         } 
         @Override 
         public void configure(WebSecurity web) throws Exception { 
             super .configure(web); 
         } 
     }  }

这两个类都继承自适配器配置类,并配置其HttpSecurity 。 这些类中的每一个都添加一个过滤器链,并执行第一个匹配的链。 @Order批注可用于影响过滤器链的顺序,以确保首先执行正确的过滤器链。

也可能有必要将过滤器链限制为仅应用程序的特定部分,以免其他部分触发该过滤器链。 ActuatorConfiguration被限制为仅将请求匹配到/management/ 。 请注意,配置中有两个不同的地方可以接受RequestMatcher 。 开头的一个限制了触发过滤链的网址。 authorizeRequests()之后的请求用于定义哪些请求需要哪种身份验证。

请注意,配置WebSecurity并不与HttpSecurity配置之一绑定,因为它们添加了自己的过滤器链,只是顺序可能有所不同。 如果在两种配置中都添加了模式,它甚至可以在WebSecurity的同一实例上WebSecurity

最后一件事:如果您使用的是自定义身份验证过滤器(例如,基于令牌的身份验证),则可能需要注意不要将过滤器也注册为Servlet过滤器。 您可以通过配置一个返回FilterRegistrationBean的方法并接受Filter的实例来影响它。 只要创建一个新的FilterRegistrationBean为您的过滤器,并设置enabledfalse

翻译自: https://www.javacodegeeks.com/2017/08/spring-security-multiple-filter-chains.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全面解析Spring Security 过滤器的机制和特性
08-18
Spring Security 中,过滤器的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器(Filter)以及最终的具体 Servlet 控制器...
Spring Security常用过滤器实例解析
08-24
下面我们将介绍 15 个常用的 Spring Security 过滤器实例,并对每个过滤器的作用和使用方法进行详细的解释。 1. org.springframework.security.web.context.SecurityContextPersistenceFilter ...
Spring Security--多个过滤器多个用户表
a2285786446的博客
06-14 1837
可以看到,当请求到达FilterChainProxy之后,FilterChainProxy 会根据请求的路径,将请求转发到不同的Spring Security Filters 上面去,不同的Spring Security Filters 对应了不同的过滤器,也就是不同的请求将经过不同的过滤器。注意的是,规则一定要统一,一条执行的规则,如/web/**,下面一切的接口都加/web/**,包括登录的接口。上图,我直接在内存中写了个用户,模拟不同表的用户,下面是数据库的用户登录。
spirng Security (八)多个过滤器共存
weixin_43189971的博客
07-19 510
如何配置多条过滤器
springSecurity(一):认识springSecurity过滤器
最新发布
qq_43586337的博客
06-11 1091
springSecurity学习笔记
Spring security 自定义多条过滤
qq_23011719的博客
07-31 574
Spirng security 过滤
Spring Security 竟然可以同时存在多个过滤器?,涨知识
2401_83946044的博客
04-01 1159
手绘了下图所示的kafka知识大纲流程图(xmind文件不能上传,导出图片展现),但都可提供源文件给每位爱学习的朋友目、讲解视频,并且后续会持续更新**如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)[外图片转存中…(img-GDtLBxUh-1711957587875)]手绘了下图所示的kafka知识大纲流程图(xmind文件不能上传,导出图片展现),但都可提供源文件给每位爱学习的朋友[外图片转存中…(img-gTplpWtv-1711957587876)]
Spring Security 竟然可以同时存在多个过滤器
2401_84010865的博客
04-18 631
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Spring Security中的Servlet过滤器体系代码分析
08-18
`SecurityFilterChain` 是Spring Security中用于处理特定请求路径的过滤器。它根据请求URL和Ant风格的模式来判断请求是否匹配,如果匹配,则执行对应的过滤器。例如,登录请求可能通过一个包含认证过滤器,...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1. **配置Redis**:由于微服务架构中多个服务可能需要共享用户信息,因此使用Redis作为集中式的session存储是常见的选择。这样,用户在任一服务登录后,其认证状态可以在所有服务中同步。 2. **配置Spring Security...
浅析Spring Security登录验证流程
08-25
Spring Security的登录验证流程是一个复杂的过程,涉及到多种登录认证的方式和不同的过滤器。理解Spring Security的登录验证流程对于开发者来说非常重要,可以帮助我们更好地使用Spring Security框架来实现登录...
spring security 2中使用通过自定义过滤器实现多登录页面
zgmzyr的专栏
05-17 3308
<br />转载于:http://hi.baidu.com/jogcy/blog/item/42a49ef7af6af52f720eeca9.html<br /> <br />最近近在应用Spring Security的时候,积累了一些心得,写出来希望能给需要的人一些启示,毕竟网上对于spring security的配置和应用不是很多,大多是一些介绍acegi应用老文章。希望大家提出宝贵意见。此文的相应设置适用于spring security2.x。<br /><br /><br />Spring Secu
spring security学习笔记(一)(三个过滤器)
gdssgxf的博客
04-29 299
spring security本质是一个过滤器,在项目启动时会进行加载过滤器,当过滤到请求内容时,会执行对应的过滤器并实现对应的功能。 重点三个过滤器: 一、FilterSecurityInterceptor:是一个方法级权限过滤器,基本位于过滤器最底端。 dofilter中获取对象并执行, invoke中做了各种判断, InterceptorStatusToken token = super.beforeInvocation(fi); 先执行之前的过滤器,如果之前的过滤器做了放行操作,才往下执行本身
SpringSecurity定义多个过滤器
热门推荐
吴名氏的博客
04-19 11万+
SpringSecurity定义多个过滤器
SpringSecurity自定义Filter的ignoring()失效问题源码分析
大张
07-22 2100
忽略SpringBoot启动流程中服务器是如何将Spring的Filter加载进来和过滤的流程。下图简要概括了Secutiry的Filter和SpringFilter的Bean的关系源码太多,流程太复杂繁琐,过了一些主要的代码和主干。遇到了问题发现没有人在源码上分析原因,花了一天时间简要的概括了一下。httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.............................................
Spring Security 多过滤的使用
huan的学习记录
07-14 899
一、背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
spring security过滤器及认证流程
大帅的博客
03-05 1万+
一、过滤器spring Security功能的实现主要是由一系列过滤器相互配合完成。下面介绍过滤器中主要的几个过滤器及其作用:1.SecurityContextPersistenceFilter 会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给 SecurityContextHolder。在请求完成后将 Se...
三、Spring Security过滤器
付之一笑的专栏
08-22 3060
一、Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不再赘述了。 Spring Security过滤器的介绍: org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新
Spring Security 6.0 和多个过滤器
08-25
Spring Security 6.0 引入了一个重要的变化,即支持多个过滤器。在以前的版本中,我们只能定义一个过滤器来处理所有的安全相关操作,而现在我们可以根据需要定义多个过滤器来处理不同的安全需求。 每个过滤器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值