spring-security 过滤器 (三)

已于 2024-02-24 10:55:00 修改
阅读量1.2k 收藏 25
点赞数 23
分类专栏: Spring Security 文章标签: spring 后端 spring security
于 2024-02-20 21:49:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/modelmd/article/details/136178028
版权

spring-security过滤器

本章介绍 spring-security 过滤器配置类 HttpSecurity,过滤器加载过程,自定义过滤器

版本信息

内容版本
JDK17
spring-boot-starter-web3.2.2
spring-boot-starter-security3.2.2
spring-security6.2.1

过滤器配置

过滤器配置相关类图

过滤器链由HttpSecurity的配置类配置生成的,在HttpSecurity.build()的时候添加至过滤器链,主要的配置类如下

org.springframework.security.config.annotation.web.configurers.CsrfConfigurer
org.springframework.security.config.annotation.web.configurers.ExceptionHandlingConfigurer
org.springframework.security.config.annotation.web.configurers.HeadersConfigurer
org.springframework.security.config.annotation.web.configurers.SessionManagementConfigurer
org.springframework.security.config.annotation.web.configurers.SecurityContextConfigurer
org.springframework.security.config.annotation.web.configurers.RequestCacheConfigurer
org.springframework.security.config.annotation.web.configurers.AnonymousConfigurer
org.springframework.security.config.annotation.web.configurers.ServletApiConfigurer
org.springframework.security.config.annotation.web.configurers.LogoutConfigurer
org.springframework.security.config.annotation.web.configurers.CorsConfigurer

在这里插入图片描述

过滤器加载过程

创建 HttpSecurity Bean 对象

  1. SpringBoot 自动装载类 org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration
    在这里插入图片描述
  2. @Import 导入 org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration
    在这里插入图片描述
  3. Spring Security 核心注解类 @EnableWebSecurity
    在这里插入图片描述
  4. @Import 导入 org.springframework.security.config.annotation.web.configuration.HttpSecurityConfiguration
    在这里插入图片描述
  5. HttpSecurityConfiguration 配置类中开始创建 HttpSecurity 的bean 对象
    在这里插入图片描述
    可以在 org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#add 方法中加个断点,看初始化添加了多少个配置类
    在这里插入图片描述
    配置类还可以扩展的,基于SPI扩展 org.springframework.security.config.annotation.web.configuration.HttpSecurityConfiguration#applyDefaultConfigurers
    在这里插入图片描述
    从这段代码可以看出,可以自定义过滤器的配置类,对扩展开放√

创建过滤器

  1. Spring Boot 自动装载在之前已分析,直接定位到 org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration, 在这个类中有创建过滤器链的Bean
    在这里插入图片描述
  2. 默认过滤器链编译过程,查看 http.build() 方法
    在这里插入图片描述
    首先判断是否已经构建了,防止重复构建。再执行 doBuild() 方法
    在这里插入图片描述
    在编译的过程中,会读取之前的配置类,将相关的过滤器添加到过滤器链,查看 configure() 方法
    在这里插入图片描述
  3. 在配置类中,创建过滤器类,将过滤器类加载到过滤器链,列举一个配置类org.springframework.security.config.annotation.web.configurers.CsrfConfigurer#configure,其它的配置类和这个相似
    在这里插入图片描述
    将过滤器添加到列表 org.springframework.security.config.annotation.web.builders.HttpSecurity#filters
    在这里插入图片描述
  4. 构建过滤器链,org.springframework.security.config.annotation.web.builders.HttpSecurity#performBuild
    在这里插入图片描述

过滤器作用

ExceptionTranslationFilter

官网介绍 https://docs.spring.io/spring-security/reference/servlet/architecture.html#servlet-exceptiontranslationfilter

在这里插入图片描述
在这里插入图片描述
注意,执行顺序在 ExceptionTranslationFilter 之后的过滤器才会捕获到异常,并进行异常处理。默认过滤器的顺序如图所示,在 ExceptionTranslationFilter 之后的过滤器只有 org.springframework.security.web.access.intercept.AuthorizationFilter,该过滤器抛出的异常可以被异常过滤器捕获到
在这里插入图片描述

自定义过滤器

参考官网 https://docs.spring.io/spring-security/reference/servlet/architecture.html#adding-custom-filter,提示部分的内容挺好的
在这里插入图片描述
根据提示可以定义过滤器代码如下

import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;
import java.nio.file.AccessDeniedException;

public class TenantFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
        String tenantId = request.getHeader("X-Tenant-Id");
        boolean hasAccess = isUserAllowed(tenantId);
        if (hasAccess) {
            filterChain.doFilter(request, response);
            return;
        }
        throw new AccessDeniedException("Access denied");
    }

    private boolean isUserAllowed(String tenantId) {
        // TODO check
        return false;
    }
}

避免过滤器注册到 Tomcat 中,可以参考如下代码
在这里插入图片描述
配置自定义过滤器到过滤器链

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.addFilterBefore(new TenantFilter(), AuthorizationFilter.class);
        return http.build();
    }
}
Chengdu.S
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring-security-spa:提供Spring Security过滤器和支持类,可简化单页Web应用程序中身份验证和注册的使用
05-14
该库提供Spring Security筛选器和支持类,这些类和支持类可简化单页Web应用程序(SPA)中身份验证和注册的使用。安装将jcenter存储库添加到您的构建中,例如< repository> < snapshots> < enabled>false</ enabled> ...
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 3667
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加过滤器链中。
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3887
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring Security 中的过滤器链是什么?它的作用是什么
u013749113的博客
05-24 1334
Spring Security中的过滤器链是由许多不同的过滤器组成的一个链条。这些过滤器在执行过程中,会对请求进行过滤和处理,以确保应用程序的安全性。Spring Security中的过滤器链是一个非常重要的组件,它可以提供身份验证、授权、记住我等功能,同时也可以自定义其他的过滤器,以满足特定的应用场景需求。在Spring Security中,过滤器链是一个由FilterChainProxy对象维护的链条。
Spring Security系列(二)——过滤器链分析以及创建多个登陆入口
玖涯博客
12-06 2724
写在前面 **本文场景:**希望在网关上实现security统一进行权限认证,后续的服务间交互不再进行权限认证。但是系统有两个类型的账号,一个是普通用户,一个是系统后台管理员,完全是两个类型,希望创建给两个不同的登陆入口分别给两个类型的账号登录使用。 想到的解决方法有两个: 网关上的security想办法创建多个登陆入口(本文描述的方法); 网关上的security只对用户进行权限验证,对管理员的请求放行,管理员在自己的模块上进行权限验证。 **本文思想:**security实现多登陆入口的方法是创建多
Spring Security in Action 第九章 SpringSecurity常用过滤器介绍
Learning_xzj的博客
01-28 1102
Spring Security中,HTTP filters(过滤器)对不同的HTTP请求进行过滤。在第章到第五章,我们讨论了HTTP的认证和授权架构,我经常提到过滤器。在Spring Security中,一般来说,HTTP filters对请求进行过滤。这些过滤器形成了一个责任链。一个过滤器接收一个请求,执行其逻辑,并最终将请求委托给链中的下一个过滤器(图9.1)。图9.1 过滤器链接收请求。每个过滤器使用一个管理器来对请求应用特定的逻辑,并最终将请求沿着链子进一步委托给下一个过滤器。这个想法很简单。当
Spring Security常用过滤器实例解析
08-24
主要介绍了Spring Security常用过滤器实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
top-spring-security-architecture:Spring安全架构
05-13
为此,我们看一下通过使用过滤器,更普遍地通过使用方法注释,将安全性应用到Web应用程序中的方式。 当您需要对安全应用程序的工作原理,如何对其进行自定义或需要学习如何考虑应用程序安全性的高级了解时,请使用...
SpringSecurity(十)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2073
Spring Security中,HTTP过滤器会委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器会负责授权配置等等。通常HTTP过滤器会管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器会接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器
SpringSecurity常用过滤器介绍
wuxiaopengnihao1的博客
07-29 2355
首当其冲的一个过滤器,非常重要主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文,SecurityContext中存储了当前用户的认证和权限信息。Csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含则报错,起到防止csrf攻击的效果。...
SpringSecurity过滤器
qq_53318060的博客
09-14 2493
SpringSecurity过滤器
Spring Security基本框架之过滤器
大后生大大大的博客
11-12 1063
FilterChain、FilterChainProxy、DelegatingFilterProxy
SpringSecurity安全过滤器工作原理
weixin_44612246的博客
12-17 265
Spring Security主要安全过滤器及其工作原理分析
SpringSecurity(十二)过滤器链分析(上)
陈橙橙
03-16 1919
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器链。因为Spring Security中的所有功能都是通过过滤器链来实现的,这些过滤器组成一个完整的过滤器链。那么这些过滤器链是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
五、Spring Security权限控制(优医健康)
世上哪有什么岁月静好,不过是有人替你负重前行
03-29 688
文章目录1 认证和授权概念2权限模块数据模型3 Spring Security简介4 Spring Security入门案例1 工程搭建2 配置web.xml3 配置spring-security.xml4、测试5、源码分析DelegatingFilterProxyFilterChainProxy6 SpringSecurity常用过滤器介绍7 对入门案例进行改进(静态数据)8、登录调用服务层验证使用(模拟sql) 1 认证和授权概念 前面我们已经完成了编易健康后台管理系统的部分功能,例如检查项管理、检查组
【第九篇】SpringSecurity核心过滤器-SecurityContextPersistenceFilter
波波烤鸭的博客
05-17 2315
SpringSecurity核心过滤器-SecurityContextPersistenceFilter 一、SpringSecurity中的核心组件   在SpringSecurity中的jar分为4个,作用分别为 jar 作用 spring-security-core SpringSecurity的核心jar包,认证和授权的核心代码都在这里面 spring-security-config 如果使用Spring Security XML名称空间进行配置或Spring Security
spring-security-test是干嘛用的
最新发布
12-28
spring-security-test是用于支持Spring Security的测试的模块。它提供了一些工具和类,可以帮助你编写和执行针对Spring Security的单元测试和集成测试。 使用spring-security-test,你可以轻松地模拟用户的身份验证和授权,并测试你的安全配置是否按预期工作。它提供了一些方便的方法来模拟用户的登录和注销,并且可以在测试中设置和验证用户的角色和权限。 此外,spring-security-test还提供了一些用于测试Spring Security过滤器链的工具。你可以使用这些工具来验证请求是否被正确地拦截和处理,并且可以测试你的安全配置是否正确地应用到你的应用程序中。 总之,spring-security-test是一个非常有用的工具,可以帮助你编写高质量的测试,确保你的Spring Security配置和功能正常工作

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Chengdu.S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值