Spring Security 入门(四):自定义-Filter

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量1w 收藏 13
点赞数 1

前文导读

Spring Security入门(一):登录与退出

Spring Security入门(二):基于数据库验证

Spring Security入门(三):密码加密

本文解决问题

将自定义的 Filter 加入到 Spring Security 中的 Filter 链中的指定位置。

Spring Security 默认的过滤器链

官网位置:http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters

别名类名称Namespace Element or Attribute
CHANNEL_FILTERChannelProcessingFilterhttp/intercept-url@requires-channel
SECURITYCONTEXTFILTERSecurityContextPersistenceFilterhttp
CONCURRENTSESSIONFILTERConcurrentSessionFiltersession-management/concurrency-control
HEADERS_FILTERHeaderWriterFilterhttp/headers
CSRF_FILTERCsrfFilterhttp/csrf
LOGOUT_FILTERLogoutFilterhttp/logout
X509_FILTERX509AuthenticationFilterhttp/x509
PREAUTHFILTERAbstractPreAuthenticatedProcessingFilter( Subclasses)N/A
CAS_FILTERCasAuthenticationFilterN/A
FORMLOGINFILTERUsernamePasswordAuthenticationFilterhttp/form-login
BASICAUTHFILTERBasicAuthenticationFilterhttp/http-basic
SERVLETAPISUPPORT_FILTERSecurityContextHolderAwareRequestFilterhttp/@servlet-api-provision
JAASAPISUPPORT_FILTERJaasApiIntegrationFilterhttp/@jaas-api-provision
REMEMBERMEFILTERRememberMeAuthenticationFilterhttp/remember-me
ANONYMOUS_FILTERAnonymousAuthenticationFilterhttp/anonymous
SESSIONMANAGEMENTFILTERSessionManagementFiltersession-management
EXCEPTIONTRANSLATIONFILTERExceptionTranslationFilterhttp
FILTERSECURITYINTERCEPTORFilterSecurityInterceptorhttp
SWITCHUSERFILTERSwitchUserFilterN/A

过滤器顺序从上到下

自定义 Filter

自定义的 Filter 建议继承 GenericFilterBean,本文示例:

  
  
  1. public class BeforeLoginFilter extends GenericFilterBean {
  3.     @Override
  4.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  5.         System.out.println("This is a filter before UsernamePasswordAuthenticationFilter.");
  6.         // 继续调用 Filter 链
  7.         filterChain.doFilter(servletRequest, servletResponse);
  8.     }
  9. }

配置自定义 Filter 在 Spring Security 过滤器链中的位置

配置很简单,本文示例:

  
  
  1. protected void configure(HttpSecurity http) throws Exception {
  2.         http
  3.                 .authorizeRequests()
  4.                 .antMatchers("/").permitAll()
  5.                 .antMatchers("/user/**").hasRole("USER")
  6.                 .and()
  7.                 .formLogin().loginPage("/login").defaultSuccessUrl("/user")
  8.                 .and()
  9.                 .logout().logoutUrl("/logout").logoutSuccessUrl("/login");
  11.         // 在 UsernamePasswordAuthenticationFilter 前添加 BeforeLoginFilter
  12.         http.addFilterBefore(new BeforeLoginFilter(), UsernamePasswordAuthenticationFilter.class);
  14.         // 在 CsrfFilter 后添加 AfterCsrfFilter
  15.         http.addFilterAfter(new AfterCsrfFilter(), CsrfFilter.class);
  16.     }

说明: HttpSecurity 有三个常用方法来配置:

  • addFilterBefore(Filter filter, Class beforeFilter) 在 beforeFilter 之前添加 filter

  • addFilterAfter(Filter filter, Class afterFilter) 在 afterFilter 之后添加 filter

  • addFilterAt(Filter filter, Class atFilter) 在 atFilter 相同位置添加 filter, 此 filter 不覆盖 filter

通过在不同 FilterdoFilter() 方法中加断点调试,可以判断哪个 filter 先执行,从而判断 filter 的执行顺序 。

推荐阅读

如何使用 Spinnaker 和 Kubernetes 进行数据库变更发布?

Netflix 的上线工具 Spinnaker

Dubbo将积极适配Spring Cloud生态

Spring Cloud微服务架构汇总

浅谈微服务基建的逻辑

Service Mesh:下一代微服务

微服务(Microservices)【翻译】

那些没说出口的研发之痛,做与不做微服务的几大理由

谷歌大神为你解释Kubernetes, 微服务和容器化


程序猿DD_
关注
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 1743
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7395
这章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
spring security custom-filter with java configuration 验证码验证
weixin_34104341的博客
03-27 243
Spring Security 本身的UsernamePasswordAuthenticationFilter 只支持 账号与密码的验证,如果需要加入诸如验证码等其它条件时,可以通过继承UsernamePasswordAuthenticationFilter 并重写其中的方法 attemptAuthentication来实现。 java代码如下 public class Validate...
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3011
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Custom Spring Security Filter
tanbamboo's blog on javaeye
06-02 132
最近在项目中用Spring Security 2.0.1做权限控制管理,由于以前用过Acegi Security,基本上很快搞定。但是后来在移植自己扩展的AuthenticationProcessingFilter的时候,发现了很多问题。 经过一些网络搜索和测试,问题解决,做个记录: 1. 如果有自定义Filter用于替换系统默认filter的时候,需要把http的auto-config...
SpringSecurity-----登录用户权限验证demo
weixin_30655219的博客
07-21 223
准备:   1、Spring Security需要自定义一个继承至AbstractSecurityInterceptor的Filter,该抽象类包含了AccessDecisionManager(决策管理器)、AuthenticationManager(身份认证管理器)的setter, 可以通过Spring自动注入,另外,资源角色授权器需要单独自定义注入   2、AccessDecisionMa...
图解Spring Security默认使用的过滤器
xyz20003的专栏
06-15 419
第 9 章 图解过滤器 图 9.1. auto-config='true'时的过滤器列表 9.1. HttpSessionContextIntegrationFilter 图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1016
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
SpringSecurity-从入门到精通文章的源码文件
10-25
在 `SanGeng_Security_Project` 中,我们可以期待看到这些概念的具体实现,包括配置文件、控制器、服务类、模型类以及任何其他与 Spring Security 相关的自定义组件。通过对这些源码的分析,读者可以更深入地理解 ...
Spring Security入门
yinyin_xiao的博客
05-24 1106
简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security为基于J2EE企业应用软件提供了全面安全服务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。 安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权 ** **(Authorization)**两个部分,这两点也是 Spring
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security Filter详解
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4473
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
Spring Security 实战干货:图解Spring Security的过滤器体系
码农小胖哥
07-02 3727
欢迎加入[微信圈子]程序员交流圈交流编程经验。1. 前言我在Spring Security 实战干货:内置 Filter 全解析对Spring Security的内置过滤器进行罗列...
spring security学习- 图解过滤器
u013269938的专栏
05-07 746
图解过滤器 图 11.1. auto-config='true'时的过滤器列表 11.1. HttpSessionContextIntegrationFilter 图 11.2. org.springframework.security.context.HttpSessionContextIntegrationFilte
spring security过滤器
qujiahuiqu的博客
03-11 307
spring security过滤器一、spring security过滤器的简单介绍二、配置spring security过滤器1.在pom.xml文件中输入以下代码下载spring security的架包2.在web.xml文件中配置spring security过滤器3.在resources包下创建spring-security.xml文件三、案例1.bean层2.Dao层3.mapper4...
SpringSecurity过滤器
libo_hh的博客
08-08 1000
一、过滤器加载过程 1.DelegatingFilterProxy 在web.xml中配置过滤器 进入doFilter方法 invokeDelegate方法执行FilterChainProxy的doFilter 最终采用遍历的方式执行十五个默认的过滤器 二、默认的15个过滤器 1.org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,非常重要 主要是使用SecurityContextR
Spring Security原理
...
04-14 403
Spring Security中过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContex
SpringSecurity入门教程:逐步解析
"Spring Security 3.x 教程逐步解析" Spring Security 是一个强大的安全框架,专为基于Spring AOP和Servlet过滤器的应用提供安全性管理。它涵盖了身份验证和授权两个关键领域,可以在Web请求级别和方法调用级别进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值