Spring Security 默认的 11 道 Filter

最新推荐文章于 2023-09-20 17:37:37 发布
最新推荐文章于 2023-09-20 17:37:37 发布
阅读量205 收藏
点赞数
文章标签: java
原文链接:https://juejin.im/post/5bd727aa6fb9a05cee1e300a
版权

如果你有使用过 Spring Security,我相信你对下面的配置肯定不会陌生:

 @Override
    protected void configure(final HttpSecurity http) throws Exception {
        // @formatter:off
        http
            .authorizeRequests()
                .antMatchers("/css/**,", "index").permitAll()
                .mvcMatchers("/user/index").hasRole("USERS")
                .anyRequest().authenticated()
        .and()
            .formLogin()
                .loginPage("/login")
                .failureUrl("/login-error")
        .and()
            .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/index");
        // @formatter:on
    }
复制代码

这个配置算是最基础的配置,但如果应用业务不复杂,这样的配置已经可以满足应用的安全需求了,它指定了登陆登出的 url,登陆失败的跳转 url,以及资源的安全配置信息。

为什么这样配置就可以了呢?

这个配置我们一般会写在一个叫做 WebSecurityConfigurerAdapter 的继承类里面:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    ...
}
复制代码

如果我们稍微点进 WebSecurityConfigurerAdapter 看一下,就会知道为什么我们那样简单配置一下就可以了。因为在 WebSecurityConfigurerAdaptergetHttp() 方法中已经帮我们做了 11 道默认的 Filter 的配置。我们上面的配置,只是在 11 道默认的 Filter 的基础上再额外增加了三道 Filter,其中有两道在整个 Spring Security 认证与授权过程中最为重要的 Filter:

FilterSecurityInterceptor

.authorizeRequests()
    .antMatchers("/css/**,", "index").permitAll()
    .mvcMatchers("/user/index").hasRole("USERS")
复制代码

UsernamePasswordAuthenticationFilter

.formLogin()
    .loginPage("/login")
    .failureUrl("/login-error")
复制代码

它们一个完成了认证,一个完成了授权,是 Spring Security 最为核心的两个入口点,要想了解 Spring Security,就必须对它们有一个完整且系统的认识与分析。

默认的 11 道 Filter

WebSecurityConfigurerAdaptergetHttp() 方法中,有这样一段代码:

if (!disableDefaults) {
    // @formatter:off
	http
	    .csrf().and()
		.addFilter(new WebAsyncManagerIntegrationFilter())
		.exceptionHandling().and()
		.headers().and()
		.sessionManagement().and()
		.securityContext().and()
		.requestCache().and()
		.anonymous().and()
		.servletApi().and()
		.apply(new DefaultLoginPageConfigurer<HttpSecurity>()).and()
		.logout();
	// @formatter:on
	ClassLoader classLoader = this.context.getClassLoader();
	List<AbstractHttpConfigurer> defaultHttpConfigurers =
	SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
	for(AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
		http.apply(configurer);
	}
}
复制代码

这个地方便是配置默认 Filter 的地方,默认 Filter 的添加方式有两种:

  • Spring security 自带的 11 道过滤器
  • 用户自定义的过滤器(通过 SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader) 获取)

在 Spring security 的设计中,每一道过滤器都有一个对应的配置器(configurer),http 后面每一个 and 就对应一个配置器的配置。从上面的代码中可以看到,总共有 11 道 Filter 的配置,它们分别为:

  • csrf -> CsrfConfigurer -> CsrfFilter
  • WebAsyncManagerIntegrationFilter
  • exceptionHandling -> ExceptionHandlingConfigurer -> ExceptionTranslationFilter
  • headers -> HeadersConfigurer -> HeaderWriterFilter
  • sessionManagement -> SessionManagementConfigurer -> SessionManagementFilter
  • securityContext -> SecurityContextConfigurer -> SecurityContextPersistenceFilter
  • requestCache -> RequestCacheConfigurer -> RequestCacheFilter
  • anonymous -> AnonymousConfigurer -> AnonymousAuthenticationFilter
  • servletApi -> ServletApiConfigurer -> SecurityContextHolderAwareRequestFilter
  • DefaultLoginPageConfigurer -> DefaultLoginPageGeneratingFilter
  • logout -> LogoutConfigurer -> LogoutFilter

从上面我们也可以看出,当 HttpSecurity 中没有提供我们需要的 Filter 的方法的时候,我们可以模仿 DefaultLoginPageConfigurerWebAsyncManagerIntegrationFilter 的做法添加一个自定义的 Configurer 或者直接添加一个 Filter。通常,Configurer 存在的目的是为了方便用户自定义 Filter 内部的依赖,如果是用户自定义的 Filter 的话,没必要用一个 Configurer 去配置,直接添加一个 Filter 便可。

它们有什么用?

介绍完了上面的那么多的 Filter,它们都有什么作用呢?分别在 Spring Security 的认证与授权过程中扮演着什么样的角色?了解了这些知识点,对我们将 Spring Security 整合进自己的内部系统有着非常大的帮助,能够让我们更顺手的搭建与业务相关的安全服务。接下来的一系列的文章,便是对这些 Filter 进行介绍与内部实现的深究。

weixin_34342578
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity6 | 默认登录页
分享思想,留下痕迹。
11-19 8662
大家好,我是Leo哥🫣🫣🫣,前面我们学习了有关SpringSecuritySpringBoot项目中是如何给我进行自动的添加鉴权功能,简单复习了一下SpirngBoot的自动配置。接下来我们就接着学习SpringSecurity相关知识点。这一节我们将要学习SpringSecurity默认的登录页面是如何实现的。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
[3天速成Spring Security] - 02 Spring过滤器Filter及过滤器链Filter Chain
Jack汪喆的技术分享栏
10-06 465
本文主要用于快速介绍Spring Filters及Filter Chain的相关概念,因为FilterSpring Security用于实现认证和授权的底层实现方式 Spring Filters Filter介绍 任何Spring Web应用本质上只是一个servlet Security Filter在HTTP请求到达你的Controller之前过滤每一个传入的HTTP请求 Security Filter实现流程 未认证是401 未授权是403 过滤器示例代码 * S ...
Spring Security系列教程05--Spring Security默认Filter
qq_38737545的博客
03-28 174
可以看出spring security提供了30多个过滤器,默认情况下springboot对spring security进行自动化配置时,会创建一个名为SpringSecurityFilterChain的过滤器,并注入到spring容器中,这个过滤器将负责所有安全管理,包括用户认证、授权、重定向到登陆页等。官网中已经将spring security的所有过滤器全部列出了,我整理成一下表格。具体加载顺序可以debug源码。
SpringSecurity默认Filter详解
最新发布
户伟伟的博客
09-20 1040
SpringSecurity默认Filter详解
spring security框架-系统默认过滤器
qq_26462567的博客
08-24 573
spring security框架-系统默认过滤器。
Spring Security默认过滤器链
qq_33767353的博客
09-19 279
这只是一些常见的默认过滤器,实际上,Spring Security还提供了其他过滤器,可以根据需求进行自定义和配置。改变默认过滤器的执行顺序可能会影响登录认证流程,特别是涉及到身份验证和授权的过滤器。因此,在调整过滤器的执行顺序时,需要仔细考虑其影响,并确保新的顺序符合需求和安全要求。这个默认的过滤器链顺序是经过精心设计的,以确保在处理身份验证、授权和其他安全相关任务时的正确顺序和逻辑。Spring Security中,默认的过滤器链包含了多个过滤器,用于处理身份验证、授权和其他安全相关的任务。
Spring Security(09)——Filter介绍
Elim的博客
06-07 1万+
Spring Security的底层是通过一系列的Filter来管理的,每个Filter都有其自身的功能,而且各个Filter在功能上还有关联关系,本文主要描述Spring Security是如何通过一系列的Filter来实现它的核心功能的,Spring Security中已经定义了哪些内置的Filter,作用是什么,以及如何添加自定义的Filter到已有的Filter链中。
springboot+ spring security实现登录认证
05-04
默认情况下,Spring Security提供了一个简单的登录页面,但我们可以创建自己的视图并重定向到它: ```java http.formLogin() .loginPage("/login") // 自定义登录页面路径 .defaultSuccessUrl("/", true); // ...
狂神Spring Security静态资源
12-30
Spring Security默认启用了CSRF防护,如果要关闭,可以在配置中移除对应的过滤器。 总的来说,"狂神Spring Security静态资源"的资料应该涵盖了如何在Spring Boot中配置Spring Security来保护和管理静态资源的知识。...
浅谈Spring Security 对于静态资源的拦截与放行
08-25
Spring Security默认会对所有HTTP请求进行拦截,以确保只有经过验证的用户才能访问受保护的资源。然而,这可能导致静态资源(位于`static`目录下)也被错误地拦截,从而导致页面样式或脚本无法正常加载。 当我们...
spring security 3 auto-config=“true”
04-21 1119
SecurityContextPersistenceFilter LogoutFilter UsernamePasswordAuthenticationFilter BasicAuthenticationFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter Anonymous
spring提供默认过滤器进行post编码
一个人的世界
08-12 226
encoding org.springframework.web.filter.CharacterEncodingFilter encoding UTF-8 encoding *.action
Spring Security Filter详解
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
Spring Security(2):过滤器链(filter chain)的介绍
weixin_30492601的博客
05-28 587
上一节中,主要讲了Spring Security认证和授权的核心组件及核心方法。但是,什么时候调用这些方法呢?答案就是Filter和AOP。Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问。对于基于HttpRequest的方式对端点进行保护,我们使用一个Filter Chain来保护;对于基于方法调用进行保护,我们使用AOP来保护。本篇重点讲...
四、Spring Security默认的过滤器链及自定义Filter
panchang199266的博客
05-26 8698
别名 类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SE...
SpringSecurity: 默认添加的15个Filter是怎么添加进去的?
amadeus_liu2的博客
03-04 668
security
Eclipse使用技巧之代码与注释格式化
oscar999的专栏
08-05 695
Eclipse中代码与注释格式化的设置方式
spring security使用filter
08-15
Spring Security 使用 Filter 来处理身份验证和授权。它提供了一组 Filter,用于拦截和处理请求。 在 Spring Security 中,最重要的 Filter 是 `FilterChainProxy`。它是一个特殊的 Filter,负责管理一组其他 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值