SpringSecurity权限管理框架系列(七)-SpringSecurity自定义配置类中自定义Filter的使用详解

已于 2022-03-26 10:25:23 修改
阅读量4k 收藏 15
点赞数 2
分类专栏: Spring全家桶 Spring Security 文章标签: spring security 权限框架 spring
于 2022-03-26 10:00:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41865652/article/details/123750414
版权

1、Filter请求过滤器

filter请求过滤器可以帮助我们进行HttpServletRequest请求和HttpServletResponse响应的过滤
在自定义的Filter过滤器中我们可以对我们的请求进行过滤, 同时也可以对返回的相应进行处理,在方法中实现我们自定义的业务逻辑处理,这是很常见的需求,下面说说spring security框架中怎么是怎么搭配自定义Filter过滤器来使用的。

2、自定义Spring Security配置类中添加自定义Filter

2.1 自定义Filter类


package com.kkarma.filter;

import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class MyFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        System.out.println("myFilter 被执行了...");
        filterChain.doFilter(request, response);
    }
}

解释下为什么继承自OncePerRequestFilter这个类,OncePerRequestFilter是Spring Boot里面的一个过滤器抽象类,这个类的作用就是用于继承实现并在每次请求时只执行一次过滤,如果想知道详细的实现原理,可以自行翻阅源码, 实现也比较简单, 一看就懂。

2.2 在自定义的spring security配置类中配置myFilter

filter的实现使用了设计模式中的责任链模式,在添加自定义的filter时,可以有很多方时,可以指定将自定义的Filter添加到某个指定的Filter之前或者之后,具体怎么实现看用户自己的选择, 如果对于方法不了解, 可以进入到方法里面,看看方法的注释,说的都比较清楚。
在这里插入图片描述
注入自定义Filter的bean对象
在这里插入图片描述
将自定义Filter的bean对象添加到过滤器链中的用户登录认证校验过滤器之前
在这里插入图片描述
完整配置类代码

package com.kkarma.config;

import com.kkarma.filter.MyFilter;
import com.kkarma.handler.CustomAccessDeniedHandler;
import com.kkarma.web.service.impl.MyUserDetailsServiceImpl;
import org.apache.coyote.Adapter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.WebSecurityConfigurer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.LogoutHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class CustomWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

    /**
     * 自定义Filter
     */
    @Autowired
    private MyFilter myFilter;

    @Autowired
    private CustomAccessDeniedHandler accessDeniedHandler;

    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;


    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        /**
         * 配置csrf开启关闭,默认是开启的
         */
          http.csrf().disable();

        /**
         * 表单登录相关的配置
         */
//        http.formLogin()
                // 前端登录表单用户名别名, 从参数user中获取username参数取值
                // .usernameParameter("user")
                // 前端登录表单密码别名, 从参数passwd中获取password参数取值
                // .passwordParameter("passwd")
                // 当http请求的url是/login时,进行我们自定义的登录逻辑
                // .loginProcessingUrl("/login")
                // 自定义登录的前端控制器
                // .loginPage("/showLogin")
                // 设置登录成功的跳转链接
                // .successForwardUrl("/home");
                // 通过successHandler处理器进行登录成功之后的逻辑处理
                // .successHandler(new AuthenticationSuccessHandler() {
                //    @Override
                //    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                //        System.out.println("登录成功,页面即将跳转...");
                //        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
                //        authorities.forEach(System.out::println);
                //        response.sendRedirect("/home");
                //    }
                // })
                // 设置登录失败的跳转链接
                // .failureForwardUrl("/errPage");
                // 通过failureHandler处理器进行登录失败之后的逻辑处理
                // .failureHandler(new AuthenticationFailureHandler() {
                //    @Override
                //    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                //        e.printStackTrace();
                //        System.out.println("登录失败,页面即将跳转到默认失败页...");
                //        response.sendRedirect("/errPage");
                //    }
                // })
//                .and()



        // 用户退出登录处理配置
        http
            // 403权限不足异常使用自定义403处理器处理
            .exceptionHandling().accessDeniedHandler(accessDeniedHandler)
            .and()
            // 基于token,所以不需要session
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .logout()
            // 用户退出成功之后的跳转链接
            .logoutSuccessUrl("/showLogin")
            // 设置用户退出的url
            .logoutUrl("/logout")
            // 自定义用户的退出逻辑处理器, 可以处理认证信息、session、cookies等信息
            .addLogoutHandler(new LogoutHandler() {
                @Override
                public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
                    // 这里可以自定义用户退出的处理逻辑
                    System.out.println("退出成功...");
                }
            })
            // 是否清除认证状态,默认为true
            .clearAuthentication(true)
            // 是否销毁HttpSession对象,默认为true
            .invalidateHttpSession(true);


        /**
         * http请求是否要登录认证配置
         */
        http.authorizeRequests()
                // 允许GET请求登录页面匿名访问
                .antMatchers(HttpMethod.GET, "/showLogin", "/errPage", "/captchaImage").anonymous()
                .antMatchers(HttpMethod.POST, "/login").anonymous()
                // 匹配所有名称以demo结尾的js并允许匿名访问
                .regexMatchers(HttpMethod.GET, ".+demo[.]js").anonymous()
                // 用户具有admin角色时允许访问/role
                .antMatchers(HttpMethod.GET, "/role").hasRole("admin")
                // 用户具有system:user权限时允许访问/role
                .antMatchers(HttpMethod.GET, "/role").hasAuthority("system:user")
                // 所有的静态资源允许匿名访问
                .antMatchers(
                        "/css/**",
                        "/js/**",
                        "/images/**",
                        "/fonts/**",
                        "/favicon.ico"
                        ).anonymous()
                // 其他所有的请求都需要登录认证
                .anyRequest().authenticated()
                .and()
                // 意思就是在登录认证校验过滤器执行之前先进行自定义过滤器myFilter的执行
                .addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class)
        ;
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }

    /**
     * 在内存中预置两个演示用户admin和common
     */
//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//
//        auth.inMemoryAuthentication()
//                .withUser("admin")
//                .password(bCryptPasswordEncoder().encode("123456"))
//                .roles("admin", "superAdmin")
//                .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("system,sytem:user,system:user:list"))
//                .and()
//                .withUser("common")
//                .password(bCryptPasswordEncoder().encode("123456"))
//                .roles("common")
//                .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("good,good:cate,good:cate:list"));
//    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }
}

启动项目, 看看filter是否生效,随便发送一个请求,看到我们定义的myFilter被执行了,我们可以在这个过滤器里面添加自己的逻辑实现
在这里插入图片描述

嫣夜来
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1092
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
spring security filter
a595077052的专栏
08-02 929
WebSecurityConfigurerAdapter.init() WebSecurityConfigurerAdapter.getHttp() newHttpSecurity() new FilterComparator() 按优先级顺序放入,前面的优先级比后面的高,关键的filter Step order = new Step(INITIAL_ORDER, ORDER_STEP); put(ChannelProcessingFilter.class, order.next()); put(Con..
Spring Security介绍(三)过滤器(2)自定义
最新发布
w_t_y_y的博客
04-27 551
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
如何使用Spring Security控制会话
allway2的博客
11-18 3220
并发会话控制功能用于维护活动会话列表以及关联的经过身份验证的用户的信息。我们在本文前面配置Spring 安全性使用此事件发布来发布会话生命周期中的事件,并且相应地更新了 SessionRegistry。每次登录的客户尝试访问应用程序的安全部分时,都会检查用户的活动会话。以下是安全性中可用的选项,可以帮助我们配置和控制会话创建。会话超时后,如果他们提交具有无效会话 ID 的请求,我们可以将使用重定向到特定页面。在本文中,我们讨论了 Spring 安全会话管理以及如何使用 Spring 安全性控制会话。
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 6059
Spring Security 自定义拦截器Filter 实现登录认证
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2387
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
Spring Security addFilter() 顺序问题
热门推荐
猫吻鱼的博客
11-02 3万+
文章目录1. 分析0. FilterComparator1. HttpSecurity#addFilterAt1.1 `this.comparator.registerAt(filter.getClass(), atFilter);`1.2 `HttpSecurity#addFilter(Filter filter)`2. 总结: 1. 分析 在上面Spring Security + Jwt...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
详解spring security filter的工作原理
08-25
Spring Security Filter 的工作原理是通过 Filter 来对用户的请求进行认证和授权,而 Filter配置使用是通过 XML 文件来实现的。同时,Filter 的生命周期是由容器来管理的,包括初始化、执行和销毁三个阶段。
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 SpringSecurity 基本原理 ---------------...
详解Spring Security认证流程
08-25
Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的认证流程。 一、过滤器链和认证...
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器链(Filter)以及最终的具体 Servlet 控制器...
盘点认证框架 : SpringSecurity Filter
black-ant
08-03 591
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 一 . 前言 上一篇聊了聊 Secutity 的基础 , 这一篇我们聊一聊 S
spring security oauth:自定义异常处理(授权服务)
szw-yunie的博客
02-25 2985
最近使用spring security oauth 来搭建认证服务,计划使用 oauth 的密码模式、以前端页面为客户端。 前后端交互要求统一相应结构,spring security oauth 默认的错误响应不满足要求。 本文对spring security oauth 授权服务对自定义异常处理、自定义异常响应问题提出解决办法。
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4270
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
Spring Security定义多个过滤器链(10)
weixin_43831002的博客
08-11 1776
同时我们配置了局部 AuthenticationManager 对应的用户是 chain1in/123 ,由于没有重写 configure(AuthenticationManagerBuilder)方法,所以注册到 Spring 容器中的 UserDetailsService 将作为局部 AuthenticationManager的parent对应的用户,换句话说,如果登录的路径是/bar/login,那么升发者可以使用 chain1in/123和 剑气近/123两个用户进行登录。...
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 2753
spring6体验
Spring Security 安全认证框架
qq_35930739的博客
05-19 727
一、认证流程 UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录验证,该过滤器默认只有当请求方法为post、请求页面为/login时过滤器才生效,如果想修改默认拦截url,只需在刚才介绍的Spring Security配置类WebSecurityConfig中配置该过滤器的拦截url:.loginProcessingUrl("url")即可; BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证.
springsecurity中anonymous_Spring Security---安全管理框架(三)
06-11
Spring Security是一个功能强大的安全管理框架,提供了多种身份验证和授权机制,可以在Web应用程序中轻松地实现安全保护。 其中,anonymous身份验证是一种简单的身份验证方式,即允许未经身份验证的用户访问某些受保护的资源。使用anonymous身份验证时,Spring Security会自动为未经身份验证的用户分配一个匿名身份,并将其与相应的权限进行绑定。这样,即使用户未经身份验证,也可以根据其所分配的权限来访问受保护的资源。 在Spring Security中,可以通过配置anonymous元素来启用anonymous身份验证。例如: ``` <security:http> <security:intercept-url pattern="/public/**" access="permitAll"/> <security:intercept-url pattern="/admin/**" access="hasRole('ADMIN')"/> <security:anonymous enabled="true"/> <security:http-basic /> </security:http> ``` 在上述配置中,通过设置<security:anonymous enabled="true"/>来启用anonymous身份验证。这样,访问/public/**下的资源时,不需要身份验证;而访问/admin/**下的资源时,则需要具有ADMIN角色的身份验证。 需要注意的是,使用anonymous身份验证时,应该尽可能限制未经身份验证用户可以访问的资源,以保证系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值