核心过滤器概述

于 2021-08-11 15:24:06 发布
阅读量137 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51945027/article/details/119607765
版权 
Creating filter chain: o.s.s.web.util.matcher.AnyRequestMatcher@1, 
[o.s.s.web.context.SecurityContextPersistenceFilter@8851ce1, 
o.s.s.web.header.HeaderWriterFilter@6a472566, o.s.s.web.csrf.CsrfFilter@61cd1c71, 
o.s.s.web.authentication.logout.LogoutFilter@5e1d03d7, 
o.s.s.web.authentication.UsernamePasswordAuthenticationFilter@122d6c22, 
o.s.s.web.savedrequest.RequestCacheAwareFilter@5ef6fd7f, 
o.s.s.web.servletapi.SecurityContextHolderAwareRequestFilter@4beaf6bd, 
o.s.s.web.authentication.AnonymousAuthenticationFilter@6edcad64, 
o.s.s.web.session.SessionManagementFilter@5e65afb6, 
o.s.s.web.access.ExceptionTranslationFilter@5b9396d3, 
o.s.s.web.access.intercept.FilterSecurityInterceptor@3c5dbdf8
]

上述的log信息是我从springboot启动的日志中CV所得,spring security的过滤器日志有一个特点:log打印顺序与实际配置顺序符合,也就意味着SecurityContextPersistenceFilter是整个过滤器链的第一个过滤器,而FilterSecurityInterceptor则是末置的过滤器。另外通过观察过滤器的名称,和所在的包名,可以大致地分析出他们各自的作用,如UsernamePasswordAuthenticationFilter明显便是与使用用户名和密码登录相关的过滤器,而FilterSecurityInterceptor我们似乎看不出它的作用,但是其位于web.access包下,大致可以分析出他与访问限制相关。

先大致介绍下每个过滤器的作用:
SecurityContextPersistenceFilter 两个主要职责:请求来临时,创建SecurityContext安全上下文信息,请求结束时清空SecurityContextHolder。
HeaderWriterFilter (文档中并未介绍,非核心过滤器) 用来给http响应添加一些Header,比如X-Frame-Options, X-XSS-Protection*,X-Content-Type-Options.
CsrfFilter 在spring4这个版本中被默认开启的一个过滤器,用于防止csrf攻击,了解前后端分离的人一定不会对这个攻击方式感到陌生,前后端使用json交互需要注意的一个问题。
LogoutFilter 顾名思义,处理注销的过滤器
UsernamePasswordAuthenticationFilter 这个会重点分析,表单提交了username和password,被封装成token进行一系列的认证,便是主要通过这个过滤器完成的,在表单认证的方法中,这是最最关键的过滤器。
RequestCacheAwareFilter (文档中并未介绍,非核心过滤器) 内部维护了一个RequestCache,用于缓存request请求
SecurityContextHolderAwareRequestFilter 此过滤器对ServletRequest进行了一次包装,使得request具有更加丰富的API
AnonymousAuthenticationFilter 匿名身份过滤器,这个过滤器个人认为很重要,需要将它与UsernamePasswordAuthenticationFilter 放在一起比较理解,spring security为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。
SessionManagementFilter 和session相关的过滤器,内部维护了一个SessionAuthenticationStrategy,两者组合使用,常用来防止session-fixation protection attack,以及限制同一用户开启多个会话的数量
ExceptionTranslationFilter 直译成异常翻译过滤器,还是比较形象的,这个过滤器本身不处理异常,而是将认证过程中出现的异常交给内部维护的一些类去处理,具体是那些类后面会详细介绍,可在主页的顶置或分栏里找到相应的链接。
FilterSecurityInterceptor 这个过滤器决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限?这些判断和处理都是由该类进行的。

「已注销」
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【若依】开源框架学习笔记 03 - 过滤器
MichelleChung的星球
05-13 1760
文章目录WebAsyncManagerIntegrationFilterSecurityContextPersistenceFilterHeaderWriterFilterCorsFilterLogoutFilterJwtAuthenticationTokenFilterRequestCacheAwareFilterSecurityContextHolderAwareRequestFilterAnonymousAuthenticationFilterSessionManagementFilterExcept
Spring Security(2):过滤器链(filter chain)的介绍
weixin_30492601的博客
05-28 573
上一节中,主要讲了Spring Security认证和授权的核心组件及核心方法。但是,什么时候调用这些方法呢?答案就是Filter和AOP。Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问。对于基于HttpRequest的方式对端点进行保护,我们使用一个Filter Chain来保护;对于基于方法调用进行保护,我们使用AOP来保护。本篇重点讲...
JavaWeb 核心技术之 过滤器Filter
young_1004的博客
10-05 477
一、过滤器Filter 项目地址:https://github.com/YueMa233/JavaWeb_02 1.filter的简介 filter是对客户端访问资源的过滤,符合条件放行,不符合条件不放行,并且可以对目标资源访问前后进行逻辑处理   2.快速入门 步骤: 1)编写一个过滤器实现Filter接口 package com.ma.web.filter; impo...
过滤器浅谈
u011817176的博客
06-18 333
过滤器的生命周期:  1、实例化  通过web.xml配置,web容器启动时就会加载过滤器,实例化只会实例化一次。Servlet3.0规范中新增了@WebFilter的方式,这种方式用于讲一个声明为过滤器,该注解将会在部署时被web容器处理,容器将根据具体的属性配置将相应的部署为过滤器。  2、初始化  调用过滤器的init(),这是过滤器的初始化方法,web容器创建过滤器实例后将调用
尚硅谷Spring Security
qq_38224285的博客
06-15 957
目录Spring Security核心功能Spring Security入门案例1.创建SpringBoot工程2.引入依赖3.编写controller测试Spring Security基本原理Spring Security本质是一个过滤器链`FilterSecurityInterceptor`:是一个方法级的权限过滤器,位于过滤器的最底层。`ExceptionTranslationFilter`:异常过滤器,用来处理在认证授权中抛出的异常。`UsernamePasswordAuthenticationFi
java_过滤器详解
08-04
#### 一、Java 过滤器概述 Java过滤器(Filter)是Servlet技术中的一项重要特性,它允许开发者在Web应用程序中实现对HTTP请求和响应的预处理与后处理。这使得开发人员能够对进入或离开Web服务器的所有资源(如JSP...
国内外过滤器
11-10
滤芯是过滤器核心组件,根据安装位置的不同,滤芯也可分为三: 1. **吸油滤芯**:安装在吸油过滤器中。 2. **回油滤芯**:安装在回油过滤器中。 3. **压力管路滤芯**:安装在压力管路过滤器中。 此外,滤芯还...
图解过滤器
12-18
本文将深入探讨《图解过滤器》一文中提及的几个核心过滤器组件及其工作原理。这些过滤器主要用于Web应用的安全防护,尤其是在Spring Security框架中扮演着至关重要的角色。通过图形化的展示方式,读者能够更直观地...
struts2配置过滤器
08-20
在实际开发过程中,为了实现某些功能(例如用户认证、权限控制等),往往需要在请求进入核心处理逻辑之前进行一些预处理工作,这就需要用到过滤器(Filter)机制。本文将通过一个具体的示例来详细介绍如何在Struts2...
Struts 2 过滤器的总结
01-31
#### 过滤器核心特点与作用 1. **检查与修改**:过滤器可以检查请求和响应对象,根据需求修改其内容或头部信息。 2. **URL关联性**:过滤器可以与特定的URL模式关联,只对匹配的请求生效,提高效率和针对性。 3. ...
Spring学习笔记(6)一servlet的过滤器Filter详解
黄规速博客:学如逆水行舟,不进则退
01-19 1902
Java过滤器Filter详解 Filter也称之为过滤器,它是Servlet技术中最激动人心的技术之一,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp,Servlet, 静态图片文件或静态html文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。
struts ---核心过滤器理解---
llziseweiqiu的博客
12-10 4760
struts2---核心控制器 1介绍 struts核心过滤器FilterDispatcher介绍 FilterDispatcher功能介绍 FilterDispatcher是struts2的核心控制 负责处理最初的请求分发. 四大责任 1.执行action 2.清空ActionContext上下文 3.服务静态的内容(初始化环境等) 4.中断请求生命周期中的XWOR
WEB核心过滤器(Filter)
超威蓝猫的博客
11-20 460
在实际的项目开发中,我们对一些资源的访问需要设置一些限制,符合条件的允许访问,不符合条件的就不让访问资源。Java我们为提供了一个Filter接口,它是Servlet的三项规范之一,可以实现过滤效果。
Spring Security 核心过滤器链分析
weixin_33725515的博客
12-27 878
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器链中,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤链的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,会在运行...
第三篇:Nacos 源码搭建
一点点点白的开始
05-04 1937
上一篇已经介绍了Nacos的基础知识(传送门),也从源码启动了Nacos Server,今天我们探究下项目结构,以便于搭建自己的服务端! 我们先看下源码中Nacos-console 项目的结构: 目录包含了config(配置)、controller(控制层)、exception(自定义异常)、filter(过滤器)、model、security.na...
过滤器的初步使用及配置以及常用的三个典型例子
weidianlun的博客
02-01 1718
java web中过滤器的使用及认识以及常见的典型例子说明。
Struts2核心过滤器
xiao_tao
04-28 908
web.xml <filter> <filter-name>struts2</filter-name> <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPreparAndExecteFilter</filter-class> </filter> &l...
springboot整合springsecurity从Hello World到源码解析(三):基础配置详解
jsbintask的博客
01-16 461
cover   上一章我们从源码角度探究了springboot对于帮我们初始化的springsecurity默认配置,这章我们来学习下springsecurity中的基础配置 修改基础配置 上一章我们已经知道,springsecurity中所有配置基本都来源于一个默认的WebSecurityConfigurerAdapter,那我们首先写一个继承它,放弃springboot帮我们做的...
Java Web过滤器基础与实现
**过滤器概述** 过滤器的主要作用在于实现代码的复用,例如统一设置请求编码、拦截不合法的请求、实现用户登录验证、权限控制等功能。它们可以插入到Web应用程序的请求处理管道中,按照定义的顺序对每个请求和响应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值