spring security 3 -- 自定义过滤链

最新推荐文章于 2022-09-01 12:14:13 发布
最新推荐文章于 2022-09-01 12:14:13 发布
阅读量291 收藏
点赞数
分类专栏: Spring Security spring java
java 同时被 3 个专栏收录
129 篇文章 1 订阅
订阅专栏
spring
23 篇文章 0 订阅
订阅专栏
Spring Security
6 篇文章 0 订阅
订阅专栏

先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的

    <!-- spring security -->
	<filter>
		<filter-name>securityFilterChainProxy</filter-name>
		<filter-class>
			org.springframework.web.filter.DelegatingFilterProxy
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>securityFilterChainProxy</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

接着我们要配置一条过滤链(值得注意的是这个bean的id要跟web.xml里配置的filter-name要一致才可以)

    <!-- 自定义SPRING SECURITY过滤链 -->
	<bean id="securityFilterChainProxy"
		class="org.springframework.security.web.FilterChainProxy">
		<constructor-arg>
			<list>
				<security:filter-chain pattern="/services/**"
					filters="none" />
				<security:filter-chain pattern="/test*" filters="none" />
				<security:filter-chain pattern="/**"
					filters="concurrentSessionFilter,securityContextPersistenceFilter,logoutFilter,usernamePasswordAuthenticationFilter,rememberMeAuthenticationFilter,sessionManagementFilter,anonymousAuthFilter,exceptionTranslationFilter,filterSecurityInterceptor" />
			</list>
		</constructor-arg>
	</bean>

下面我们逐个filter来看

首先是filterSecurityInterceptor,这是资源访问第一个要过的filter,至于这里面的属性注入请看我之前的spring security3 自定义权限管理的那篇文章

<!-- 自定义UserDetailsService认证  -->
	<bean id="userDetailsService"
		class="com.shadow.security.service.UserDetailsServiceImpl" />
 
	<!-- 自定义资源权限关系认证 -->
	<bean id="accessDecisionManager"
		class="com.shadow.security.service.AccessDecisionManagerImpl" />
 
	<!-- 自定义资源权限关系集合 -->
	<bean id="securityMetadataSource"
		class="com.shadow.security.service.SecurityMetadataSourceExtendImpl">
		<property name="matcher" value="ant" />
	</bean>
 
	<!-- 自定义认证管理,资源,权限  -->
	<bean id="filterSecurityInterceptor"
		class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
		<property name="authenticationManager"
			ref="authenticationManager" />
		<property name="accessDecisionManager"
			ref="accessDecisionManager" />
		<property name="securityMetadataSource"
			ref="securityMetadataSource" />
	</bean>
        
        <!-- 页面标签权限功能依赖 -->
        <bean id="webInvocationFilter"
               class="org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator">
               <constructor-arg ref="filterSecurityInterceptor" />
        </bean>

然后是异常捕获的filter,里面有两个属性需要注入,authenticationEntryPoint是配置默认跳转的,accessDeniedHandler是配置当检测无权限访问跳转

<!-- 异常处理过滤器 -->
	<bean id="exceptionTranslationFilter"
		class="org.springframework.security.web.access.ExceptionTranslationFilter">
		<property name="authenticationEntryPoint"
			ref="authenticationEntryPoint" />
		<property name="accessDeniedHandler">
			<!-- 拒绝未授权访问跳转 -->
			<bean
				class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
				<property name="errorPage" value="/error/audit.jsp" />
			</bean>
		</property>
	</bean>

然后是sessionManagementFilter,这个过滤器配置是否在登录后重新生成一个session防止伪造攻击

	<!-- SESSION固化保护,以及并发控制 -->
	<bean id="sessionManagementFilter"
		class="org.springframework.security.web.session.SessionManagementFilter">
		<constructor-arg name="securityContextRepository"
			ref="securityContextRepository" />
		<property name="sessionAuthenticationStrategy"
			ref="concurrentSessionControlStrategy" />
	</bean>
 
	<!-- SESSION并发配置 -->
	<bean id="concurrentSessionControlStrategy"
		class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
		<constructor-arg name="sessionRegistry" ref="sessionRegistry" />
		<property name="maximumSessions" value="1" />
		<property name="exceptionIfMaximumExceeded" value="false" />
	</bean>
 
	<bean id="sessionRegistry"
		class="org.springframework.security.core.session.SessionRegistryImpl" />
 
	<!-- SESSION并发处理 -->
	<bean id="concurrentSessionFilter"
		class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<property name="sessionRegistry" ref="sessionRegistry" />
		<property name="expiredUrl" value="/error/timeout.jsp" />
		<property name="logoutHandlers">
			<list>
				<ref bean="logoutHandler" />
			</list>
		</property>
	</bean>

然后是rememberMeAuthenticationFilter,这个过滤器主要是配置记住密码功能

    <!-- 记住密码功能(COOKIE方式) -->
	<bean id="rememberMeAuthenticationFilter"
		class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
		<property name="rememberMeServices" ref="rememberMeServices" />
		<property name="authenticationManager"
			ref="authenticationManager" />
	</bean>
	<bean id="rememberMeServices"
		class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
		<property name="userDetailsService" ref="userDetailsService" />
		<property name="parameter" value="rememberMe" />
		<!-- 默认时间604800秒(一个星期) -->
		<property name="tokenValiditySeconds" value="604800" />
		<property name="key" value="springRocks" />
	</bean>
	<bean id="rememberMeAuthenticationProvider"
		class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
		<property name="key" value="springRocks" />
	</bean>

然后是usernamePasswordAuthenticationFilter请参考我之前的spring security3自定义权限管理那篇文章

然后是logoutFilter,这个过滤器主要是做安全注销功能,注入rememberMeServices属性是为了安全退出的时候把记住密码的状态也删除了

    <!-- 注销过滤器 -->
	<bean id="logoutFilter"
		class="org.springframework.security.web.authentication.logout.LogoutFilter">
		<constructor-arg value="/logout.jsp" />
		<constructor-arg>
			<array>
				<ref bean="logoutHandler" />
				<ref bean="rememberMeServices" />
			</array>
		</constructor-arg>
		<property name="filterProcessesUrl" value="/logout" />
	</bean>
 
	<!-- 注销监听器  -->
	<bean id="logoutHandler"
		class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler">
	</bean>

后是securityContextPersistenceFilter,这个过滤器是为了持久化SecurityContext实例

    <!-- 持久化SecurityContext过滤器 -->
	<bean id="securityContextPersistenceFilter"
		class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
		<property name="securityContextRepository"
			ref="securityContextRepository" />
	</bean>
 
	<!-- 生成HttpSessionSecurityContextRepository -->
	<bean id="securityContextRepository"
		class="org.springframework.security.web.context.HttpSessionSecurityContextRepository">
		<property name="allowSessionCreation" value="true" />
		<property name="disableUrlRewriting" value="false" />
	</bean>

然后是concurrentSessionFilter,这个过滤器是控制session并发问题

    <!-- SESSION并发处理 -->
	<bean id="concurrentSessionFilter"
		class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<property name="sessionRegistry" ref="sessionRegistry" />
		<property name="expiredUrl" value="/error/timeout.jsp" />
		<property name="logoutHandlers">
			<list>
				<ref bean="logoutHandler" />
			</list>
		</property>
	</bean>

然后大致的过滤链就配置好了,对于cas等那些有需要用到的filter就自己看看源码,放到链条里就可以了

qq_489366879
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 4 小例子带自定义过滤
03-20
spring security 4 小例子带自定义过滤
史上最简单的Spring Security教程(十八):FilterSecurityInterceptor实现每个请求只处理一次
银河架构师的博客
08-05 2027
在前面的资源权限动态控制中,我们说了如何通过自定义 FilterSecurityInterceptor 来实现资源权限的动态控制。不知道大家发现没有,在 FilterSecurityInterceptor 实例的定义过程中,我们设置了其 observeOncePerRequest 属性为 false。 这是出于什么目的呢?其实,很简单。比如用户发起某个访问请求,首先经过默认的 FilterSecurityInterceptor,经过权限检查,需要身份认证权限,此时已经登录,权限认证通过;再交给自定义...
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor)
银河架构师的博客
07-27 3478
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
Spring Security 自定义资源访问权限过滤器Fliter ,参考FilterSecurityInteceptor
不甘平庸的人
04-28 4099
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessD
Spring Security)学习七:自定义用户资源权限动态控制
希克的博客
09-01 827
实现了自定义用户动态登录后,不同的用户必定有不同的用户权限和资源,我们需要根据不同的用户的角色以及资源,来给用于对应的权限控制。在查看本文章之前,需要实现了解RBAC权限设计思想和概念,以便更好的理解用户资源权限动态控制。...
spring security——学习笔记(day06)-实现授权认证-FilterSecurityInterceptor、SecurityMetadataSource、AccessDecisionM
键上艺术家
01-11 4285
复制 demo02 ,拷贝一个 demo03,IDEA复制项目可以看 day04 。 6.1 授权认证 之前学了身份认证,就是认证当前登录的用户是否是存在并真实的,身份认证成功后就可以访问认证后的接口(资源)了,但即便是已认证的用户也有能访问不能访问的接口(资源),那么就需要通过授权认证来判断。 今天学习授权认证,也就是认证当前登录用户都有哪些权限,并确定当前用户的权限是否能访问当前请求的接口。 之前在spring security——学习笔记(day03)-UserDetailsSe...
SpringSecurity学习之自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
top-spring-security-architecture:Spring安全架构
05-13
标签专案安全Spring安全了解Spring安全性目录本指南是Spring Security的入门,它提供了对该框架的设计和基本构建块的见解。 我们仅介绍应用程序安全性的最基础知识。 但是,这样做可以消除使用Spring Security的开发...
Java-Spring-Row-And-Column-ACL-Security:过滤和保护 Hibernate 实体
05-31
行列ACL安全简短摘要:筛选和保护Hibernate实体有关更多信息,请参阅 Java Spring.pdf 中带有 ACL 过滤的完整 pdf 行和列安全性总体概述带有 ACL 过滤的行安全性已经在 J​​ava spring 中使用 @PostFilter 和 @...
带验证码的登录功能-基于自定义过滤器-demo
11-21
基于Springboot+SpringSecurity+Mybatis+MySQL+Vue实现的登录功能(带验证码)的demo
SpringsecurityFilterSecurityInterceptor
weixin_34244102的博客
09-05 1333
2019独角兽企业重金招聘Python工程师标准>>> ...
spring boot spring security 自定义 filter FilterSecurityInterceptor 访问资源 静态资源 和 不需要权限访问都失效了
热门推荐
laokaizzz的专栏
09-06 1万+
问题:spring boot security 中, filters="none"  对应哪个? 自定义AbstractSecurityInterceptor后  静态资源也进入拦截器,登陆页面,permitall 也失效, 还是进入了filter 参考:http://blog.51cto.com/winters1224/2052034 调试源代码发现,采用默认的 FilterSecurit...
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 3836
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
Spring Security API: FilterSecurityInterceptor
dengdeying的博客
12-27 220
FilterSecurityInterceptor Declare package org.springframework.security.web.access.intercept; public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter Class Jdoc ...
SpringSecurity过滤FilterSecurityInterceptor
江黎
01-07 705
// 添加JWT filter httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Autowired private TokenS...
Spring Security默认过滤FilterSecurityInterceptor(十四)
欢谷悠扬
07-15 839
1.作用 这个主要是针对http请求进行权限校验 权限校验需要注意的几点: 1.用户需要先认证 2.获取资源所需授权 3.获取用户被授权信息 4.授权校验 5.授权成功处理 6.授权失败处理 2.直接开撸 2.1 参数封装 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 先构建了一
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2728
前言: 当用spring security时,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
Spring Security过滤FilterChain
Jianyang_usst的博客
11-17 8965
Spring Security过滤FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤机制! 1.Filters概述 图1 过滤 当客户端发送一个请求到应用时,容器会创建一个过滤FilterChain,该过滤包含了Filt
自定义securityFilter过滤
xiaozhuanhao的专栏
04-24 1万+
spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤,看本文章需要读者对spring security3 有一定程度的了解 先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的
spring security 6 自定义权限过滤
最新发布
11-11
Spring Security 6中自定义权限过滤器的步骤如下: 1.创建一个类并实现`org.springframework.web.filter.OncePerRequestFilter`接口。 2.覆盖`doFilterInternal`方法,该方法接收`HttpServletRequest`和`HttpServletResponse`对象作为参数,并在其中编写自定义过滤器的逻辑。 3.使用`@Component`注释将自定义过滤器类标记为Spring组件。 4.在Spring Security配置类中使用`http.addFilterBefore()`方法将自定义过滤器添加到过滤中。 下面是一个示例代码,演示如何在Spring Security 6中创建自定义权限过滤器: ```java import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import org.springframework.stereotype.Component; import org.springframework.web.filter.OncePerRequestFilter; @Component public class CustomAuthorizationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 在这里编写自定义过滤器的逻辑 // 检查用户是否有足够的权限访问请求的资源 // 如果没有权限,可以返回HTTP 403 Forbidden响应 // 如果有权限,可以继续处理请求 filterChain.doFilter(request, response); } } ``` 在Spring Security配置类中添加以下代码: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthorizationFilter customAuthorizationFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(customAuthorizationFilter, UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在上面的示例中,我们创建了一个名为`CustomAuthorizationFilter`的自定义过滤器,并将其添加到Spring Security过滤中。在Spring Security配置类中,我们使用`http.addFilterBefore()`方法将自定义过滤器添加到过滤中,并使用`authorizeRequests()`方法配置了请求的授权规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值