SecurityConfigurer配置以及filter顺序

已于 2022-10-06 23:58:43 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: springsecurity 文章标签: spring java spring boot
于 2022-10-06 23:57:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59448100/article/details/127189703
版权

在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。

1. WebSecurityConfigurerAdapter

在使用WebSecurityConfigurerAdapter前,先了解Spring security config。
Spring security config具有三个模块,一共有3个builder,认证相关的AuthenticationManagerBuilder和web相关的WebSecurity、HttpSecurity。

  1. AuthenticationManagerBuilder:用来配置全局的认证相关的信息,其实就是AuthenticationProvider和UserDetailsService,前者是认证服务提供商,后者是用户详情查询服务;
  2. WebSecurity: 全局请求忽略规则配置(比如说静态文件,比如说注册页面)、全局HttpFirewall配置、是否debug配置、全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor;
  3. HttpSecurity:具体的权限控制规则配置。一个这个配置相当于xml配置中的一个标签。各种具体的认证机制的相关配置,OpenIDLoginConfigurer、AnonymousConfigurer、FormLoginConfigurer、HttpBasicConfigurer等。

WebSecurityConfigurerAdapter提供了简洁方式来创建WebSecurityConfigurer,其作为基类,可通过实现该类自定义配置类,主要重写这三个方法:

   protected void configure(AuthenticationManagerBuilder auth) throws Exception {}
   public void configure(WebSecurity web) throws Exception {}
   protected void configure(HttpSecurity httpSecurity) throws Exception {}

而且其自动从SpringFactoriesLoader查找AbstractHttpConfigurer让我们去扩展,想要实现必须创建一个AbstractHttpConfigurer的扩展类,并在classpath路径下创建一个文件META-INF/spring.factories。例如:

org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyClassThatExtendsAbstractHttpConfigurer

其源码分析:

//1.init初始化:获取HttpSecurity和配置FilterSecurityInterceptor拦截器到WebSecurity 
public void init(final WebSecurity web) throws Exception {
         //获取HttpSecurity
    final HttpSecurity http = getHttp();
     //配置FilterSecurityInterceptor拦截器到WebSecurity
     web.addSecurityFilterChainBuilder(http).postBuildAction(new Runnable() {
         public void run() {
             FilterSecurityInterceptor securityInterceptor = http
                     .getSharedObject(FilterSecurityInterceptor.class);
             web.securityInterceptor(securityInterceptor);
         }
     });
 }
 ......
 //2.获取HttpSecurity的过程
 protected final HttpSecurity getHttp() throws Exception {
 if (http != null) {
     return http;
 }

 DefaultAuthenticationEventPublisher eventPublisher = objectPostProcessor
         .postProcess(new DefaultAuthenticationEventPublisher());
 localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

 AuthenticationManager authenticationManager = authenticationManager();
 authenticationBuilder.parentAuthenticationManager(authenticationManager);
 Map<Class<? extends Object>, Object> sharedObjects = createSharedObjects();

 http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
         sharedObjects);
 if (!disableDefaults) {
     // 默认的HttpSecurity的配置
     http
                 //添加 CSRF 支持,使用WebSecurityConfigurerAdapter时,默认启用,禁用csrf().disable()
         .csrf().and() 
         //添加WebAsyncManagerIntegrationFilter
         .addFilter(new WebAsyncManagerIntegrationFilter())
         //允许配置异常处理
         .exceptionHandling().and()
         //将安全标头添加到响应
         .headers().and()
         //允许配置会话管理
         .sessionManagement().and()
         //HttpServletRequest之间的SecurityContextHolder创建securityContext管理
         .securityContext().and()
         //允许配置请求缓存
         .requestCache().and()
         //允许配置匿名用户
         .anonymous().and()
         //HttpServletRequestd的方法和属性注册在SecurityContext中
         .servletApi().and()
         //使用默认登录页面
         .apply(new DefaultLoginPageConfigurer<>()).and()
         //提供注销支持
         .logout();
     // @formatter:on
     ClassLoader classLoader = this.context.getClassLoader();
     List<AbstractHttpConfigurer> defaultHttpConfigurers =
             SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);

     for(AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
         http.apply(configurer);
     }
 }
 configure(http);
 return http;
 }
 ...
 //3.可重写方法实现自定义的HttpSecurity   
 protected void configure(HttpSecurity http) throws Exception {
 logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

 http
     .authorizeRequests()
         .anyRequest().authenticated()
         .and()
     .formLogin().and()
     .httpBasic();
 }
 ....

从源码init初始化模块中的“获取HttpSecurity”和“配置FilterSecurityInterceptor拦截器到WebSecurity”中可以看出,想要spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?只要重写protected void configure(HttpSecurity http) throws Exception方法即可。因此我们需要理解HttpSecurity的方法的作用,如何进行配置。下一节来讨论HttpSecurity。

2. HttpSecurity

HttpSecurity基于Web的安全性允许为特定的http请求进行配置。其有很多方法,列举一些常用的如下表:

  • csrf()添加 CSRF 支持,使用WebSecurityConfigurerAdapter时,
  • openidLogin()用于基于 OpenId 的验证openidLogin().permitAll();
  • authorizeRequests()开启使用HttpServletRequest请求的访问限制authorizeRequests().anyRequest().authenticated()
  • formLogin()开启表单的身份验证,如果未指定FormLoginConfigurer#loginPage(String),则将生成默认登录页面
  • oauth2Login()开启OAuth 2.0或OpenID Connect 1.0身份验证
  • rememberMe()开启配置“记住我”的验证
  • addFilter()添加自定义的filter
  • addFilterAt()在指定filter相同位置上添加自定义filter
  • addFilterAfter()在指定filter位置后添加自定义filter
  • requestMatchers()开启配置HttpSecurity,仅当RequestMatcher相匹配时开启
  • antMatchers()其可以与authorizeRequests()、RequestMatcher匹配,
  • logout()添加退出登录支持。当使用WebSecurityConfigurerAdapter时,这将自动应用。默认情况是,访问URL”/ logout”,使HTTP Session无效来清除用户,清除已配置的任何#rememberMe()身份验证,清除SecurityContextHolder,然后重定向到”/login?success”

HttpSecurity还有很多方法供我们使用,去配置HttpSecurity。由于太多这边就不一一说明,有兴趣可去研究。

3. WebSecurityConfigurerAdapter使用
WebSecurityConfigurerAdapter示例:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
 @Autowired
 private MyFilterSecurityInterceptor myFilterSecurityInterceptor;
 protected void configure(HttpSecurity http) throws Exception {    
     http
     //request 设置
     .authorizeRequests()   //http.authorizeRequests() 方法中的自定义匹配
     .antMatchers("/resources/**", "/signup", "/about").permitAll() // 指定所有用户进行访问指定的url          
     .antMatchers("/admin/**").hasRole("ADMIN")  //指定具有特定权限的用户才能访问特定目录,hasRole()方法指定用户权限,且不需前缀 “ROLE_“  
     .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")//          
     .anyRequest().authenticated()  //任何请求没匹配的都需要进行验证                                           
     .and()        //login设置  自定义登录页面且允许所有用户登录
     .formLogin()      
     .loginPage("/login") //The updated configuration specifies the location of the log in page  指定自定义登录页面
     .permitAll(); // 允许所有用户访问登录页面. The formLogin().permitAll() 方法
     .and 
     .logout()  //logouts 设置                                                              
     .logoutUrl("/my/logout")  // 指定注销路径                                              
     .logoutSuccessUrl("/my/index") //指定成功注销后跳转到指定的页面                                        
     .logoutSuccessHandler(logoutSuccessHandler)  //指定成功注销后处理类 如果使用了logoutSuccessHandler()的话, logoutSuccessUrl()就会失效                                
     .invalidateHttpSession(true)  // httpSession是否有效时间,如果使用了 SecurityContextLogoutHandler,其将被覆盖                                        
     .addLogoutHandler(logoutHandler)  //在最后增加默认的注销处理类LogoutHandler                
     .deleteCookies(cookieNamesToClear);//指定注销成功后remove cookies
     //增加在FilterSecurityInterceptor前添加自定义的myFilterSecurityInterceptor
     http.addFilterBefore(myFilterSecurityInterceptor, FilterSecurityInterceptor.class);
   }

NOTE:此示例只供参考

4. filter顺序

Spring Security filter顺序:

  • ChannelProcessingFilter访问协议控制过滤器,可能会将我们重新定向到另外一种协议,从http转换成
  • httpsSecurityContextPersistenceFilter创建SecurityContext安全上下文信息和request结束时清空SecurityContextHolder
  • ConcurrentSessionFilter并发访问控制过滤器,主要功能:SessionRegistry中获取SessionInformation来判断session是否过期,从而实现并发访问控制
  • HeaderWriterFilter给http response添加一些Header
  • CsrfFilter跨域过滤器,跨站请求伪造保护Filter
  • LogoutFilter处理退出登录的Filter
  • X509AuthenticationFilter添加X509预授权处理机制支持
  • CasAuthenticationFilter认证filter,经过这些过滤器后SecurityContextHolder中将包含一个完全组装好的Authentication对象,从而使后续鉴权能正常执行
  • UsernamePasswordAuthenticationFilter认证的filter,经过这些过滤器后SecurityContextHolder中将包含一个完全组装好的Authentication对象,从而使后续鉴权能正常执行。表单认证是最常用的一个认证方式。
  • BasicAuthenticationFilter认证filter,经过这些过滤器后SecurityContextHolder中将包含一个完全组装好的Authentication对象,从而使后续鉴权能正常执行
  • SecurityContextHolderAwareRequestFilter此过滤器对ServletRequest进行了一次包装,使得request具有更加丰富的API
  • JaasApiIntegrationFilter(JAAS)认证方式filter
  • RememberMeAuthenticationFilter记忆认证处理过滤器,即是如果前面认证过滤器没有对当前的请求进行处理,启用了RememberMe功能,会从cookie中解析出用户,并进行认证处理,之后在SecurityContextHolder中存入一个Authentication对象。
  • AnonymousAuthenticationFilter匿名认证处理过滤器,当SecurityContextHolder中认证信息为空,则会创建一个匿名用户存入到SecurityContextHolder中
  • SessionManagementFilter会话管理Filter,持久化用户登录信息,可以保存到session中,也可以保存到cookie或者redis中
  • ExceptionTranslationFilter异常处理过滤器,主要拦截后续过滤器(FilterSecurityInterceptor)操作中抛出的异常。
  • FilterSecurityInterceptor安全拦截过滤器类,获取当前请求url对应的ConfigAttribute,并调用accessDecisionManager进行访问授权决策。

spring security的默认filter链:

SecurityContextPersistenceFilter
 ->HeaderWriterFilter
 ->LogoutFilter
 ->UsernamePasswordAuthenticationFilter
 ->RequestCacheAwareFilter
 ->SecurityContextHolderAwareRequestFilter
 ->SessionManagementFilter
 ->ExceptionTranslationFilter
 ->FilterSecurityInterceptor

在上节我们已分析了核心的filter源码以及功能。可回看上节源码分析更加深入的了解各个filter工作原理。

总结:

在认证和访问授权过程前,首先必须进行WebSecurityConfigurer符合自身应用的security Configurer,也要清楚filter链的先后顺序,才能更好理解spring security的工作原理以及在项目中出现的问题定位。了解完准备工作,接下来将展开对认证和访问授权模块的工作流程研究以及项目示例分析。

摆烂小狗
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AD9361寄存器配置顺序.docx
07-28
下面将详细解释文档中提及的AD9361寄存器配置顺序及其作用。 1. **SPI设置** (index=0): 配置SPI接口,这是与AD9361通信的基础,确保正确传输命令和数据。 2. **初始化** (index=1): 对芯片进行初始化,通常包括...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
Ccww_的博客
07-24 1370
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   在...
Spring Security源码学习——配置器之WebSecurityConfigurer
clyu的博客
10-05 1725
前言 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。 public interface SecurityConfigurer<O, B extends SecurityBuilder<O>> { //一个初始化方法 void
SecurityConfig配置
最新发布
ZYH_CKA的博客
05-28 738
【代码】SecurityConfig配置
Spring Security Configurer
ljj20161221的博客
05-03 425
刚刚开始接触Spring Security,查了网上一些资料在这里总结一下。1.Spring Security ConfigurerSpring Security Config模块一共有3个builder,认证相关的AuthenticationManagerBuilder和web相关的WebSecurity、HttpSecurity。2.AuthenticationManagerBuilderAu...
Spring Security Config : 概念模型 WebSecurityConfigurer Web安全配置
Details Inside Spring
05-26 1091
概述 介绍 WebSecurityConfigurer是Spring Security Config的一个概念模型接口,用于建模"Web安全配置器"这一概念模型。 WebSecurityConfigurer被设计用于配置"Web安全构建器"WebSecurity对象,自身并没有定义任何方法,但是它继承自接口SecurityConfigurer,表明这是一个"安全配置器"。并且从定义中可以看出,We...
Spring Security Config : 概念模型接口 SecurityConfigurer
Details Inside Spring
05-06 2147
源代码版本 : Spring Security Config 5.1.4.RELEASE SecurityConfigurer是Spring Security Config对安全配置器的概念建模接口,该接口约定了Spring Security Config的各种安全配置器实现类的统一行为: 调用方法#init初始化安全构建器; 调用方法#configure配置安全构建器; 这是一个泛型接口...
spring boot 配置Filter过滤器的方法
08-31
本篇文章将深入探讨如何在Spring Boot配置和使用Filter过滤器。 首先,我们需要创建一个实现`javax.servlet.Filter`接口的类。这个类会包含`init`, `doFilter`和`destroy`这三个方法。例如,我们创建了一个名为`...
web.xml中servlet, bean, filter, listenr 加载顺序_动力节点Java学院整理
08-29
web.xml中的Servlet、Bean、Filter、Listener加载顺序详解 在Java Web应用程序中,web.xml文件扮演着非常重要的角色,它定义了Web应用程序的配置信息,包括Servlet、Bean、Filter、Listener等组件的配置。其中,...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
6.深入理解SecurityConfigurer
飘然渡沧海的博客
03-06 478
深入理解SecurityConfigurer
深入理解 SecurityConfigurer 【源码篇】
江南一点雨的专栏
07-21 3384
我们来继续撸 Spring Security 源码。 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的文章中,松哥曾经多次提到过,Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。 所以我们今天有必要来跟大家把 SecurityConfigurer 从头到尾捋一捋。 1. SecurityConfi
springsecurity实现自定义SecurityConfigurerAdapter、accessDeniedHandle.authenticationEntryPoint示例
qq_41358574的博客
12-06 4270
文章目录spring properties1.TokenUtil自定义 SecurityConfigurerAdapter自定义corsfilter自定义AuthenticationEntryPoint自定义AccessDeniedHandler匿名访问注解springsecurity配置spring properties @Data @Configuration(proxyBeanMethods = false) @ConfigurationProperties(prefix = "jwt") pub
Spring Security】——配置器之 SecurityConfigurerAdapter 分支
qq_33471737的博客
07-07 1545
官网地址 Spring Security Reference 版本:Version 5.5.0 配置器之 SecurityConfigurerAdapter 一族
Spring Security】—— 配置SecurityConfigurer 接口三个分支
qq_33471737的博客
07-05 1043
官网地址 Spring Security Reference 版本:Version 5.5.0 【Spring Security】——配置器综合概述SecurityConfigurer 接口SecurityConfigurerAdapter它允许子类只实现他们感兴趣的方法使用 SecurityConfigurer 完成后获得对正在配置SecurityBuilder 的访问权限的机制setBuilder 方法复合后置处理对象GlobalAuthenticationConfigurerAdapterWe
【第六篇】深入理解SecurityConfigurer源码
波波烤鸭的博客
04-29 1880
深入理解SecurityConfigurer 一、SecurityConfigurer   SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的内容中曾经多次提到过, Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConfigurer 实际上都是 SecurityConfigurer 的实现。所以我们也需要对 SecurityConfigurer 理解清楚. // O(De.
springsecurity中,用configure(WebSecurity web)配置Filter
qq_60458298的博客
03-23 338
inMemoryAuthentication():表示使用内存中的用户认证服务。password():表示指定用户的密码,{noop} 表示不使用加密。ignoring():表示配置忽略的 URL 路径和请求方法。authorizeRequests():表示开始请求授权配置。anyRequest():表示对所有请求进行认证。formLogin():表示配置表单登录。httpBasic():表示配置基本认证。csrf():表示配置 CSRF 防护。roles():表示指定用户的角色。
spring security添加自定义过滤器
singkingcho的专栏
12-18 4210
定义自己的过滤器 指定位置,通过HttpSecurity的方法指定 定义过滤器 package com.qiudaozhang.springsecurity.filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class Reques.
servlet和filter执行顺序
06-07
Java Web应用中,Servlet和Filter的执行顺序是有规定的。当客户端发送请求到服务器时,服务器会按照以下顺序进行处理: 1. 首先,根据请求的URL找到对应的Filter链,按照配置顺序依次执行Filter的doFilter()方法; 2. 如果请求被Filter通过,则会交给对应的Servlet进行处理,Servlet的service()方法会被调用; 3. 如果Servlet处理请求时需要转发到其他Servlet或JSP页面,则会再次执行Filter链,按照配置顺序依次执行Filter的doFilter()方法; 4. 最后,Servlet处理完请求后,响应会返回给客户端,Filter也会按照相反的顺序执行destroy()方法。 所以,Servlet和Filter的执行顺序Filter链的顺序决定的,先执行Filter,再执行Servlet,最后再按照相反的顺序执行Filter的销毁方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值