Security Filters顺序

最新推荐文章于 2024-01-03 11:12:53 发布
最新推荐文章于 2024-01-03 11:12:53 发布
阅读量602 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhoao/article/details/124573620
版权

Security Filters顺序

Security Filter通过SecurityFilterChain 被插入到FilterChainProxy中。过滤器的顺序很重要,但通常不需要知道Spring Security过滤器的顺序。然而,有些时候,知道顺序是有益的。

你可以通过FilterOrderRegistration查看过滤器的顺序

FilterOrderRegistration.java

FilterOrderRegistration() {
   Step order = new Step(INITIAL_ORDER, ORDER_STEP);
   put(ChannelProcessingFilter.class, order.next());
   order.next(); // gh-8105
   put(WebAsyncManagerIntegrationFilter.class, order.next());
   put(SecurityContextPersistenceFilter.class, order.next());
   put(HeaderWriterFilter.class, order.next());
   put(CorsFilter.class, order.next());
   put(CsrfFilter.class, order.next());
   put(LogoutFilter.class, order.next());
   this.filterToOrder.put(
         "org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter",
         order.next());
   this.filterToOrder.put(
         "org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationRequestFilter",
         order.next());
   put(X509AuthenticationFilter.class, order.next());
   put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
   this.filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter", order.next());
   this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter",
         order.next());
   this.filterToOrder.put(
         "org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationFilter",
         order.next());
   put(UsernamePasswordAuthenticationFilter.class, order.next());
   order.next(); // gh-8105
   this.filterToOrder.put("org.springframework.security.openid.OpenIDAuthenticationFilter", order.next());
   put(DefaultLoginPageGeneratingFilter.class, order.next());
   put(DefaultLogoutPageGeneratingFilter.class, order.next());
   put(ConcurrentSessionFilter.class, order.next());
   put(DigestAuthenticationFilter.class, order.next());
   this.filterToOrder.put(
         "org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationFilter",
         order.next());
   put(BasicAuthenticationFilter.class, order.next());
   put(RequestCacheAwareFilter.class, order.next());
   put(SecurityContextHolderAwareRequestFilter.class, order.next());
   put(JaasApiIntegrationFilter.class, order.next());
   put(RememberMeAuthenticationFilter.class, order.next());
   put(AnonymousAuthenticationFilter.class, order.next());
   this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationCodeGrantFilter",
         order.next());
   put(SessionManagementFilter.class, order.next());
   put(ExceptionTranslationFilter.class, order.next());
   put(FilterSecurityInterceptor.class, order.next());
   put(AuthorizationFilter.class, order.next());
   put(SwitchUserFilter.class, order.next());
}
//通过next()设置order
//每次的order都是上次order+ORDER_STEP(默认为100)
int next() {
    int value = this.value;
    this.value += this.stepSize;
    return value;
}

HHoao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurity
10-14
springSecurity
SpringSecurity6
最新发布
02-01
使用SpringSecurity6实现用户登录认证 自定义用户名和密码登录认证 自定义Jwt认证(AccessToken认证、RefleshToken认证)
Spring SecuritySpring Security 过滤器链执行顺序FilterOrderRegistration类)
杜小舟的博客
01-03 1285
我相信有很多同学都对 Spring Security 过滤器链的执行顺序表示疑惑,在框架中 FilterOrderRegistration 担任声明控制过滤器的执行顺序,有时候我们可能会自定义一些过滤器链插入到我们想要的位置,那么这时候就需要明白过滤器链的执行顺序,废话不多说,直接上表格。
FilterSecurityFilterChain上的的排序规则
xsgnzb的专栏
03-11 623
为了让系统正常运行,SecurityFilterChain 上的Filter要保持一定的顺序,例如AuthorizationFilter 要放在各类AuthenticationFilter 的后面,不然还没认证就开始校验权限信息,那一定不会通过。Spring Security为默认的Filter设置了固定的顺序,这些FilterFilter的子类,都会按照这个顺序执行。
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 928
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
Spring Security的内置过滤器是如何维护的
HongYu012的博客
02-22 891
Spring Security中的内置过滤器顺序是怎么维护的?我想很多开发者都对这个问题感兴趣。本篇我和大家一起探讨下这个问题。 HttpSecurity包含了一个成员变量FilterOrderRegistration,这个类是一个内置过滤器注册表。至于这些过滤器的作用,不是本文介绍的重点,有兴趣可以去看看FilterOrderRegistration的源码。 内置过滤器的顺序 FilterOrderRegistration维护了一个变量filterToOrder,它记录了类之间的顺序和上下之间的间隔
多个SecurityFilterChain执行顺序问题,/oauth2/authorization报404
姑苏
07-04 658
大概意思就是说如果有多组SecurityFilterChain,只要有一组chain能匹配到,后面的chain中的filter就不会执行了。第二组的chain拦截路径/**其实已经执行过了,第三组中的filter是不会执行的。正常要请求/oauth2/authorization/{regId}跳转到authorization-uri进行认证的,但是搭建好之后,请求这个地址竟然直接报404了,说明oauth2的相关filter并没有生效,直接打到了dispatchServlet。那到底是哪里的问题呢?
C语言头文件 SECURITY
06-13
C语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITYC语言头文件 SECURITY...
SpringSecurity.md
07-21
SpringSecurity.md
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
业精于勤荒于嬉
08-25 1624
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
Ccww_的博客
07-24 1335
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   在...
JAVAspring cloud微服务中使用spring security auth2登录认证流程和自定义手机号认证(1)
Hey-Girl
12-07 2912
hey-girl原创文章,若有歧义可留言,若需转载需标明出处。 1.概括:本文主要根据微服务pig<v3.3.3>项目pig码云地址,学习安全登录流程。通过扩展登录需求,自定义其他登录模式,比如常见的手机号登录或者微信登录等。 2.涉及服务介绍: gateway:9999(网关服务) auth:3000(认证服务) upms:4000(资源服务) common-security(安全模块) 3.先看看pig项目中登录大致流程图: #mermaid-svg-XsEXxUni7CgjXiIP .la
SpringBoot OAuth2.0认证管理流程详解
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
Java 过滤器Filter
baidu_32935221的博客
04-14 2507
Filter也称之为过滤器,它是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。Filter接口中有一个doFilter方法,当开发人员编写好Filter,并配置对哪个web资源进行拦截后,Web服务器每次在调用web资源的service方法之前,都会先调用一下filter的doFilter方法。过滤器的执行顺序有两种。
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 5854
Spring Security 自定义拦截器Filter 实现登录认证
BasicHttpAuthenticationFilter 认证流程
“罐装面包”的博客
06-19 1万+
BasicHttpAuthenticationFilter 继承自抽象类OncePerRequestFilter,OncePerRequestFilter 的字面意思是:Once Per Request,每个请求只执行一次。 OncePerRequestFilter 过滤流程: (1) 调用getAlreadyFilteredAttributeName(),本质上就是通过 Class 对象再加上一个后缀形成一个 attribute 字符串返回。 protected String getAlrea..
Spring Security + OAuth2.0
zk86547462的博客
02-17 4745
授权服务器 授权服务器中有4个端点。说明如下: Authorize Endpoint :授权端点,进行授权。 Token Endpoint :令牌端点,经过授权拿到对应的Token。 lntrospection Endpoint :校验端点,校验Token的合法性。 Revocation Endpoint :撤销端点,撤销授权。 Spring Security Oauth2架构 说明如下: 用户访问,此时没有Token。Oauth2RestTemplate会报错,这个报错信息会被Oauth2Cli
Springboot 中各个filter如何调整执行顺序(通过@OrderOrdered,FilterRegistrationBean三种方式)
热门推荐
fajing_feiyue的博客
12-15 1万+
我们在使用filter不可避免的会用到过滤器,在还未使用springboot的的项目的时候,都是讲过滤器配置在web.xml中。配置的越靠前,filter越先执行。现在很多都是用@WebFilter注解,看到下面注解源码,并没有参数指定顺序。 @Target({ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented pu...
httpSecurity调用顺序
09-23
httpSecurity调用的顺序一般是按照以下步骤进行的: 1. 调用`csrf()`方法,用于配置跨站请求伪造防护。 2. 调用`authorizeRequests()`方法,用于配置请求的权限规则。 3. 调用`formLogin()`方法,用于配置表单登录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值