【SpringSecurity源码】过滤器链加载流程

于 2024-05-10 15:20:44 发布
阅读量929 收藏 26
点赞数 21
文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42323185/article/details/138667668
版权

theme: smartblue
highlight: a11y-dark

一、前言及准备

1.1 SpringSecurity过滤器链简单介绍

在Spring Security中,过滤器链(Filter Chain)是由多个过滤器(Filter)组成的,这些过滤器按照一定的顺序对进入应用的请求进行处理。每个过滤器可以执行不同的安全操作,如身份验证、授权、安全上下文的建立等。

过滤器是一种典型的AOP思想,我们将通过源码分析这些过滤器如何被加载以及组成过滤器链。

1.2 SpringSecurity配置类

该类主要对SpringSecurity进行一系列配置,后续过滤器链的初始化和加载也是基于这个配置类。当前配置类仅供参考。注意里面两个很重要的方法 #configure(WebSecurity web)以及#configure(WebSecurity web),他们对过滤器链的初始化很重要。

@Configuration

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // 自定义登录成功或失败处理器,退出登录处理器
    @Autowired
    private MyAuthenticationService myAuthenticationService;

    // 自定义验证码过滤器
    @Autowired
    private ValidateCodeFilter validateCodeFilter;

    // 自定义权限不足处理
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    // 权限相关Service
    @Autowired
    private PermissionService permissionService;


    @Override
    public void configure(WebSecurity web) throws Exception {
        //解决静态资源被拦截的问题
        web.ignoring().antMatchers("/css/**", "/images/**", "/js/**", "/code/**");
    }

    /**
     * http请求方法
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 加入用户名密码验证过滤器的前面
        http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class);

        // 查询数据库所有权限列表
        List<Permission> list = permissionService.list();
        for (Permission permission : list) {
            // 添加请求权限
            http.authorizeRequests().antMatchers(permission.getPermissionUrl())
                    .hasAuthority(permission.getPermissionTag());
        }

        // 设置权限不足的信息
        http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);

        http.formLogin()// 开启表单认证
                .loginPage("/toLoginPage")// 自定义登录页面
                .loginProcessingUrl("/login")//表单提交的路径
                .usernameParameter("username")
                .passwordParameter("password")//自定义input的name值
                .successForwardUrl("/")//登录成功之后跳转的路径
                .successHandler(myAuthenticationService)
                .failureHandler(myAuthenticationService)//登录成功或者失败的处理
                .and().logout().logoutUrl("/logout")
                .logoutSuccessHandler(myAuthenticationService)
                .and().rememberMe()//开启记住我功能
                .tokenValiditySeconds(1209600)//token失效时间 默认是2周
                .rememberMeParameter("remember-me")//自定义表单input值
                .tokenRepository(getPersistentTokenRepository())
                .and().authorizeRequests().antMatchers("/toLoginPage").permitAll()//放行登录页面
                .anyRequest().authenticated();
                
        //关闭csrf防护
        http.csrf().disable();

        //加载同源域名下iframe页面
        http.headers().frameOptions().sameOrigin();

        // 开启跨域支持
        http.cors().configurationSource(corsConfigurationSource());


    }
  }

1.3 过滤器链加载方法入口

Spring boot启动中会加载spring.factories文件, 在文件中有对应针对Spring Security的过滤器链
的配置信息,所以spring.factories来找过滤器链加载方法入口

image.png

所以我们的过滤器链加载方法入口位于org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration#springSecurityFilterChain()

二、 源码导读

SpringSecurity的过滤器链创建本质就是读取SecurityConfig配置类,并且通过核心配置方法:#configure(WebSecurity web)以及#configure(WebSecurity web)生成一个个配置对象,最终每个配置对象会转换成一个过滤器对象,这些过滤器对象组成过滤器链。

前面已经提到了,配置类中的 #configure(WebSecurity web)以及#configure(WebSecurity web)非常重要。他们将分别加载到一个HttpSecurity对象和一个名为ignoredRequests的ArrayList之中,
并且过滤器链也是由这两部分转换后组成

2.1 SpringSecurity配置信息的加载

由前面的内容我们已经定位到过滤器链加载的方法入口位于:
org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration#springSecurityFilterChain()

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
    boolean hasConfigurers = webSecurityConfigurers != null
          && !webSecurityConfigurers.isEmpty();
    if (!hasConfigurers) {
       WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
             .postProcess(new WebSecurityConfigurerAdapter() {
             });
       webSecurity.apply(adapter);
    }
    // 加载方法
    return webSecurity.build();
}

我们从该方法的webSecurity.build()按照下图一路点击,最终会进入到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()
方法,该方法是加载配置和过滤器链的主要方法

image.png

org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()如下

@Override
protected final O doBuild() throws Exception {
    synchronized (configurers) {
       buildState = BuildState.INITIALIZING;

       beforeInit();
       
       // 【1】.初始化,主要构建HttpSecurity对象以及内部的配置对象
       init();

       buildState = BuildState.CONFIGURING;
       
       
       beforeConfigure();
       
       // 【2】ignoredRequests集合的构建
       configure();

       buildState = BuildState.BUILDING;

       // 【3】组装过滤器链
       O result = performBuild();

       buildState = BuildState.BUILT;

       return result;
    }

可以看到,当前的configurers加载的就是我们自定义的配置类

image.png

2.1.1 构建带有配置信息的HttpSecurity对象

我们从上述的doBuild()方法体中点击init()方法进入其内部

org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#init() 

private void init() throws Exception {

    Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
    
    
    for (SecurityConfigurer<O, B> configurer : configurers) {
    // 构建HttpSecurity对象
       configurer.init((B) this);
    }

    for (SecurityConfigurer<O, B> configurer : configurersAddedInInitializing) {
       configurer.init((B) this);
    }
}

接着点击构建HttpSecurity的对象的方法configurer.init()方法

org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#init(),发现真正构建HttpSecurity的方法其实是 getHttp()

public void init(final WebSecurity web) throws Exception {
    // 真正构建HttpSecurity的方法
    final HttpSecurity http = getHttp();
    
    // 将HttpSecurity对象作为SecurityFilterChainBuilder对象返回
    web.addSecurityFilterChainBuilder(http).postBuildAction(() -> {
       FilterSecurityInterceptor securityInterceptor = http
             .getSharedObject(FilterSecurityInterceptor.class);
       web.securityInterceptor(securityInterceptor);
    });
}

点击进入 getHttp()

protected final HttpSecurity getHttp() throws Exception {
    
    /**
        省略其他
    **/
    
    // 【1】.新建一个HttpSecurity对象
    http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
          sharedObjects);
    if (!disableDefaults) {
       // 【2】.设置HttpSecurity对象中configurers配置对象以及filter过滤器对象
       http
          .csrf().and() 
          .addFilter(new WebAsyncManagerIntegrationFilter()) 
          .exceptionHandling().and()
          .headers().and()
          .sessionManagement().and()
          .securityContext().and()
          .requestCache().and()
          .anonymous().and()
          .servletApi().and()
          .apply(new DefaultLoginPageConfigurer<>()).and()
          .logout();
        /**
            省略
        **/
    }
    
    
    // 【3】.执行SecurityConfig中的configure(HttpSecurity http)方法
    configure(http);

    return http;
}

观察上述代码我们发现,首先通过new HttpSecurity()新建了一个HttpSecurity对象,并且在下方设置HttpSecurity对象中configurers属性以及filter属性。

当执行完下面代码时,即【2】处的代码

        http
          .csrf().and() //【添加CsrfConfigurer】
          .addFilter(new WebAsyncManagerIntegrationFilter())  // 【添加 WebAsyncManagerIntegrationFilter】
          .exceptionHandling().and() // 【添加 ExceptionHandlingConfigurer】
          .headers().and() // 【添加 HeadersConfigurer】
          .sessionManagement().and()// 【添加SessionManagementConfigurer】
          .securityContext().and()// 【添加SecurityContextConfigurer】
          .requestCache().and()// 【添加RequestCacheConfigurer】
          .anonymous().and()// 【添加AnonymousConfigurer】
          .servletApi().and()// 【添加ServletApiConfigurer】
          .apply(new DefaultLoginPageConfigurer<>()).and()//【添加DefaultLoginPageConfigurer】
          .logout(); // 【添加LogoutConfigure】r

HttpSecurity对象中configurers属性以及filter如下,此时size分别为 101

image.png
image.png

执行了【2】的代码后会执行【3】的代码:
configure(http);
该方法会调用SecurityConfig配置类文件的configure()方法,由于此时传入的HttpSecurity对象,所以调用的
SecurityConfig配置类文件中的configure(HttpSecurity http),代码如下(注意该部分为自定义的配置文件中方法,需要伙伴自己去编写,根据自己需求进行配置。当前仅供参考!):

@Override
protected void configure(HttpSecurity http) throws Exception {

    // 加入用户名密码验证过滤器的前  
    【添加ValidateCodeFilter】
    http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class);

    // 查询数据库所有权限列表
    List<Permission> list = permissionService.list();
    
    【添加ExpressionUrlAuthorizationConfigurer】
    for (Permission permission : list) {
        // 添加请求权限
        http.authorizeRequests().antMatchers(permission.getPermissionUrl())
                .hasAuthority(permission.getPermissionTag());
    }

    // 设置权限不足的信息 
    http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);

    http.formLogin()// 开启表单认证 【添加FormLoginConfigurer】
            .loginPage("/toLoginPage")// 自定义登录页面
            .loginProcessingUrl("/login")//表单提交的路径
            .usernameParameter("username")
            .passwordParameter("password")//自定义input的name值
            .successForwardUrl("/")//登录成功之后跳转的路径
            .successHandler(myAuthenticationService)
            .failureHandler(myAuthenticationService)//登录成功或者失败的处理
            .and().logout().logoutUrl("/logout")
            .logoutSuccessHandler(myAuthenticationService)
            .and().rememberMe()//开启记住我功能 【添加 RememberMeConfigurer】
            .tokenValiditySeconds(1209600)//token失效时间 默认是2周
            .rememberMeParameter("remember-me")//自定义表单input值
            .tokenRepository(getPersistentTokenRepository())
            .and().authorizeRequests().antMatchers("/toLoginPage").permitAll()//放行登录页面
            .anyRequest().authenticated();
    //关闭csrf防护
    // 【移除CsrfConfigurer】
    http.csrf().disable();

    //加载同源域名下iframe页面
    http.headers().frameOptions().sameOrigin();

    // 开启跨域支持
    // 【添加CorsConfigurer】
    http.cors().configurationSource(corsConfigurationSource());

}

执行完该方法后,configurers属性以及filter属性如下,size变为132

image.png
image.png

HttpSecurity对象构建完成!,之后configurers中每个Configurer对象最终都会转换为Filter对象

2.1.2 列表集合 ignoredRequests 的创建

当执行完init()后,HttpSecurity对象构建完成,并且存放在一个叫做securityFilterChainBuilders的集合对象中。

image.png

此时我们回到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild(),在执行init()方法之后会有一个configure()方法,点击进去可以看到:

private void configure() throws Exception {
    Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

    for (SecurityConfigurer<O, B> configurer : configurers) {
      // 【加载配置类SecurityConfig中的configure(WebSecurity web)方法】
       configurer.configure((B) this);
    }
}

注意看

configurer.configure((B) this);

这句代码,此时的this是一个WebSecurity对象
image.png

仔细想想,在配置类文件中,不正是有一个#configure(WebSecurity web)配置方法吗?没错,这句代码正是执行了配置文件中的该方法。

#configure(WebSecurity web)方法体:

image.png

执行完这一行代码之后,ignoredRequests变量已经被赋值,而且变量中的值是和上面配置方法中配置对应的。

image.png

OK,此时SpringSecurity配置信息的加载就已经完成,接下来就是将这些配置信息转换成过滤器并组成过滤器链

2.2 过滤器链的加载

加载完配置文件后,我们的配置信息分别被存放在两部分ignoredRequestssecurityFilterBulders之中,下面再来看看这两部分是如何构建成过滤器链的。

2.2.1 ignoredRequests 转换成过滤器链

image.png
此时我们再次回到此时我们回到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()
找到构造过滤器链的方法performBuild()

org.springframework.security.config.annotation.web.builders.WebSecurity#performBuild() 

@Override
protected Filter performBuild() throws Exception {
     /**
         忽略部分代码
       **/
    
    【1】计算过滤器链长度
    int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
    
    
    List<SecurityFilterChain> securityFilterChains = new ArrayList<>(
          chainSize);
  
    【2】将ignoredRequests集合中的对象转为过滤器加入到过滤器链中
    for (RequestMatcher ignoredRequest : ignoredRequests) {
       securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
    }
    
    【3】将securityFilterChainBuilder转为过滤器加入到过滤器链中
    for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
       securityFilterChains.add(securityFilterChainBuilder.build());
    }
   /**
         忽略部分代码
       **/
    }
    /**
         忽略部分代码
       **/
    return result;
}

【1】处代码计算过滤器链长度chainSize,Debug中计算结果如下

image.png

【2】处代码将ignoredRequests集合中的对象转为过滤器加入到过滤器链securityFilterChains
中,执行结果如下

image.png

ignoredRequests转换成过滤器链完成

【3】处的代码就是 securityFilterBulders的的处理。下面接着讲。

2.2.2 securityFilterBulders 转换成过滤器链

在上面的org.springframework.security.config.annotation.web.builders.WebSecurity#performBuild() 方法中通过观察看到,处理securityFilterBulders代码就一句话

securityFilterChains.add(securityFilterChainBuilder.build());

我们从securityFilterChainBuilder.build(),按照下面顺序一路点击:

image.png

我们将会定位到
org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#configure()

private void configure() throws Exception {
    【1】获取配置对象
    Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();

    for (SecurityConfigurer<O, B> configurer : configurers) {
      【2】将配置对象加入到过滤器链
       configurer.configure((B) this);
    }
}

在【1】处,我们将得到从securityFilterChainBuilder中得到configurers配置列表

image.png

在【2】处,会循环配置列表对每个配置对象处理并且最终加入到过滤器链中。
比如当前是ExceptionHandlingConfigurer
那么就会执行
org.springframework.security.config.annotation.web.configurers.ExceptionHandlingConfigurer#configure()

@Override
public void configure(H http) {
    AuthenticationEntryPoint entryPoint = getAuthenticationEntryPoint(http);
    // 【1】创建 ExceptionTranslationFilter
    ExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(
          entryPoint, getRequestCache(http));
    AccessDeniedHandler deniedHandler = getAccessDeniedHandler(http);
    exceptionTranslationFilter.setAccessDeniedHandler(deniedHandler);
    exceptionTranslationFilter = postProcess(exceptionTranslationFilter);
    
    //【2】 ExceptionTranslationFilter加入到过滤器链
    http.addFilter(exceptionTranslationFilter);
}

再比如当前是HeaderConfigurer,那么会执行org.springframework.security.config.annotation.web.configurers.HeadersConfigurer#configure()

@Override
public void configure(H http) {
    【1】创建 HeaderWriterFilter
    HeaderWriterFilter headersFilter = createHeaderWriterFilter();
    
    【2】加入到过滤器链
    http.addFilter(headersFilter);
}

也就是说,具体是什么类型的Filter,是根据当前Configurer而决定的

当我们执行完所有的configure()方法,再次回到org.springframework.security.config.annotation.AbstractConfiguredSecurityBuilder#doBuild()

可以看到filter已经被加载出来

image.png

但是,过滤器是有一定顺序的,此时加载出来的过滤器并没有处理顺序。
当方法执行到 performBuild()内部时,会进行排序
org.springframework.security.config.annotation.web.builders.HttpSecurity#performBuild()

@Override
protected DefaultSecurityFilterChain performBuild() {
    【对过滤器进行排序】
    filters.sort(comparator);
    return new DefaultSecurityFilterChain(requestMatcher, filters);
}

排序后的过滤器链:

image.png

到这里,拦截器链加载结束!

爱喝咖啡的咸鱼
关注
  • 21
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity_过滤器
qq_45907893的博客
05-21 276
SpringSecurity
Spring Security码解析(四)—— 过滤器
demon7552003的小本本
07-15 721
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
SpringSecurity框架原理浅谈之 SpringSecurityFilterChain
黄先生的博客
02-10 333
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。
Spring Security(六)—SpringSecurityFilterChain流程深度解析
热门推荐
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤器链,前文《Spring Security(四)–核心过滤器码分析》 中我们分析了 SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
Spring Security码(一)springSecurityFilterChain的创建与运行
Instanceztt的博客
11-30 1905
整个框架的核心就是构建一个名字为的过滤器Bean,它的类型是。底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用完成认证 ,通过调用完成授权。
JAVA上百实例码以及开项目
01-03
笔者当初为了学习JAVA,收集了很多经典码,码难易程度分为初级、中级、高级等,详情看码列表,需要的可以直接下! 这些码反映了那时那景笔者对未来的盲目,对代码的热情、执着,对IT的憧憬、向往!此时此...
JAVA上百实例码以及开项目代码
09-17
Java 码包 Applet钢琴模拟程序java码 2个目标文件,提供基本的音乐编辑功能。编辑音乐软件的朋友,这款实例会对你有所帮助。 Calendar万年历 1个目标文件 EJB 模拟银行ATM流程及操作代码 6个目标文件,EJB来...
Spring攻略(第二版 中文高清版).part1
03-16
6.2 在你的Servlet和过滤器中使用Spring 214 6.2.1 问题 214 6.2.2 解决方案 215 6.2.3 工作原理 215 6.3 将Spring与Struts 1.x集成 220 6.3.1 问题 220 6.3.2 解决方案 220 6.3.3 工作原理 220 6.4...
Spring攻略(第二版 中文高清版).part2
03-16
6.2 在你的Servlet和过滤器中使用Spring 214 6.2.1 问题 214 6.2.2 解决方案 215 6.2.3 工作原理 215 6.3 将Spring与Struts 1.x集成 220 6.3.1 问题 220 6.3.2 解决方案 220 6.3.3 工作原理 220 6.4...
springsecurityspringSecurityFilterChain
hepei120的专栏
06-03 6609
如果在web项目中增springsecurity作为你的登录认证授权框架,那么第一步就需要在web.xml 增如下配置         &lt;filter&gt; &lt;filter-name&gt;springSecurityFilterChain&lt;/filter-name&gt; &lt;filter-class&gt;org.springframework.web.filt...
Spring Security 码分析(一):过滤器
ywb201314的专栏
03-22 468
实例 调用apply方法获取中的配置,并调用buildinit();/*** 内部配置初始化*//*** 配置逻辑*/可以看到构建操作为将通过apply方法应用进来的配置分别初始化和构建,链条为。中的(认证管理器生成配置)、(过滤器管理器生成配置)、(过滤器生成配置) 都是继承通过这个链条生成目标对象,这 3 个配置也是的配置核心。
Spring Security(2):过滤器链(filter chain)的介绍
weixin_30492601的博客
05-28 563
上一节中,主要讲了Spring Security认证和授权的核心组件及核心方法。但是,什么时候调用这些方法呢?答案就是Filter和AOP。Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问。对于基于HttpRequest的方式对端点进行保护,我们使用一个Filter Chain来保护;对于基于方法调用进行保护,我们使用AOP来保护。本篇重点讲...
Spring Security介绍(三)过滤器(1)过滤器
最新发布
w_t_y_y的博客
02-06 420
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
创建Spring Security Filter Chain
m13012606980的专栏
10-09 686
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
spring security WebFlux 动态权限
Frinday的博客
05-28 1638
权限校验会调用 DelegatingReactiveAuthorizationManager -> check方法。DelegatingReactiveAuthorizationManager 里的mappings保存的是pathMatcher和对应的权限。 思路是拿到mappings,替换之前的权限。 把ServerHttpSecurity里的authorizeExchangeSpec替换为自定义的,authorizeExchangeSpec的configure方法里创建Authorizati.
Spring Security-部分官方文档翻译以及思考-SecurityFilterChain
渡鸦的博客
07-10 732
Spring Security-部分官方文档翻译以及思考-SecurityFilterChain
4.Spring security过滤器链分析
EdSheeran的博客
02-24 1149
文章目录*过滤器链分析**4.1初始化流程分析**4.1.1`ObjectPostProcessor`**4.1.2`SecurityFilterChain`**4.1.3`SecurityBuilder`**`SecurityBuilder`**`HttpSecurityBuilder`**`AbstractSecurityBuilder`**`AbstractConfiguredSecurityBuilder`**`ProviderManagerBuilder`**`AuthenticationMana
spring security 过滤器
chigan8065的博客
08-01 1946
SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManag...
详细说明spring security的过滤器组成链
04-22
Spring Security的过滤器组成链是由多个过滤器组成的,每个过滤器都有不同的功能。以下是Spring Security的过滤器组成链: 1. WebAsyncManagerIntegrationFilter:用于将SecurityContext与Servlet Request绑定。 2. SecurityContextPersistenceFilter:用于将SecurityContext在请求之间持久化。 3. HeaderWriterFilter:用于向响应添安全标头。 4. CsrfFilter:用于防止跨站请求伪造。 5. LogoutFilter:用于处理注销请求。 6. UsernamePasswordAuthenticationFilter:用于处理基于用户名和密码的身份验证。 7. DefaultLoginPageGeneratingFilter:用于自动生成登录页面。 8. DefaultLogoutPageGeneratingFilter:用于自动生成注销页面。 9. BasicAuthenticationFilter:用于处理基本身份验证。 10. RequestCacheAwareFilter:用于缓存HTTP请求以进行后续处理。 11. SecurityContextHolderAwareRequestFilter:用于在HTTP请求处理期间利用SecurityContextHolder中的SecurityContext。 12. AnonymousAuthenticationFilter:用于在没有身份验证的情况下记录用户。 13. SessionManagementFilter:用于处理会话管理。 14. ExceptionTranslationFilter:处理Spring Security抛出的异常并将它们转换成适当的HTTP响应。 15. FilterSecurityInterceptor:用于在安全过滤器链中执行访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值