java应用中spring自动注入_java-Spring Security会自动过滤注入吗?

最新推荐文章于 2023-05-11 23:29:04 发布
最新推荐文章于 2023-05-11 23:29:04 发布
阅读量176 收藏
点赞数
文章标签: java应用中spring自动注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39524425/article/details/114660742
版权

我有一个使用spring-security core v4.1.1.RELEASE的spring-boot应用程序(spring-boot v1.3.3.RELEASE).

看来,如果我通过扩展OncePerRequestFilter或GenericFilterBean来制作自定义滤镜豆,则无论我是否在自定义中传递给configure()的HttpSecurity对象上调用addFilter(),我的滤镜都会自动添加到滤镜链中WebSecurityConfigurerAdapter类.

这是自定义过滤器代码:

@Component

public class CustomFilter extends GenericFilterBean {

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {

// custom filter code here

}

}

这是缩写的安全配置代码:

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

@Override

public void configure(HttpSecurity http) throws Exception {

// not adding the custom filter here

http.authorizeRequests()

.antMatchers("/api/login/**").permitAll()

.anyRequest().authenticated();

}

}

我观察到的是,即使我没有将其添加到过滤器链中,所有请求,即使是对/ api / login的请求,都将通过CustomFilter.如果我声明的CustomFilter没有任何@Configuration或@Bean批注,则除非将其在SecurityConfiguration类中明确告知,否则不会将其添加到过滤器链中.

我的问题:这是预期的行为吗?如果是这样,为什么?在我看来,由于缺少更好的词,将过滤器自动添加到过滤器链是很危险的-无论我在SecurityConfiguration中指定了什么,每个请求都会通过过滤器.

weixin_39524425
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring 防御CSRF、XSS和SQL注入攻击
_yuki_
12-15 2138
对每个post请求的参数过滤一些关键字,替换成安全的,例如: ' " \ /  # & 方法是实现一个自定义的HttpServletRequestWrapper,然后在Filter里面调用它,替换掉getParameter函数即可。 首先添加一个XssHttpServletRequestWrapper: package com.ibm.web.beans; import java.u
springboot---防止sql注入,xss攻击,cros恶意访问
西门飘雪的博客
07-25 5637
目录 1.sql注入 2.xss攻击 3.csrf/cros 4.服务端代码处理,以springboot为例 5.几个防止暴力破解的网站 1.sql注入 sql注入解释: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: 1)无论是直接使用数据库还是使用如mybatis组件,使用sq...
springboot配置需求过滤器
qq_37910618的博客
03-06 382
1、设置get接口字符编码过滤器 @Configuration public class FilterConfig { @Bean public FilterRegistrationBean gbkFilter() { FilterRegistrationBean registration = new FilterRegistrationBean(); registration.setDispatcherTypes(DispatcherType.REQUEST);
Spring Security安全实战,
m0_75198698的博客
05-11 106
希望这个详细的 Spring Security 安全实战教程能够帮助您深入了解 Spring Security 并成功实践安全功能。下面是一个详细的 Spring Security 安全实战教程,按照整洁、清晰、有逻辑和顺序进行排版,以帮助您深入了解 Spring Security 并实践安全功能。- 配置 Spring Security 的日志级别。- Spring Security 的主要功能和特点。- 优化 Spring Security 的性能。- 创建一个基本的 Spring Boot 项目。
spring security心得
远行的博客
07-27 232
文章目录入口过滤器认证流程 入口 SECURITY本质就是一堆过滤器,入口是如下类 public class DelegatingFilterProxy extends GenericFilterBean { @Nullable private String contextAttribute; @Nullable private WebApplicationContext webApplicationContext; @Nullable private St
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring SecurityJava 开发的一个强大且全面的安全框架,专为保护基于 Spring应用程序而设计。它提供了一整套的解决方案,包括身份验证、授权、话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造...
springsecurity.zip_Java编程_Java_
08-11
2. **过滤器检查**: Spring Security过滤器开始工作,检查请求是否需要被安全处理。 3. **身份验证**: 如果请求需要认证,Spring Security尝试从请求提取凭证,并通过Authentication Manager进行身份验证。 ...
spring-boot-security
07-16
Spring Boot Security是一个强大的工具,它集成了Spring Security框架,使得在Spring Boot应用实现安全控制变得简单高效。Spring Security是一个全面的、可高度定制的安全框架,适用于Java Web应用程序,包括认证...
Spring Security的Servlet过滤器体系代码分析
08-18
Spring Security是一个强大的安全框架,主要用于Java Web应用的安全管理。它提供了认证、授权和安全防护等功能。在Spring Security,Servlet过滤器体系起着至关重要的作用,它们负责拦截、处理和转发HTTP请求,...
spring-boot与spring-security整合的java代码
08-18
Spring Boot简化了Java应用的开发过程,而Spring Security则是一个功能丰富的安全框架,为Web应用程序提供认证和授权服务。 首先,我们需要理解Spring Boot的核心概念。Spring Boot通过自动配置和起步依赖(Starter...
SpringSecurity------引入方式和配置(一)
豢龙先生
12-07 1613
SpringSecurity的引入方式和配置方式
SpringBoot基础篇(五)过滤器OncePerRequestFilter
热门推荐
u013089490的博客
12-07 8万+
     springbootjavax.servlet.Filter原生接口的实现;而Spring的OncePerRequestFilter类实际上是一个实现了Filter接口的抽象类。spring对Filter进行了一些封装处理。          OncePerRequestFilter,顾名思义,它能够确保在一次请求只通过一次filter,而需要重复的执行。大家常识上都认为,一次请求...
Spring Security 核心过滤器分析
weixin_33725515的博客
12-27 879
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,在运行...
spring boot 的 OncePerRequestFilter
m0_61802230的博客
09-12 1253
javax.servlet.Filter原生接口,Spring的OncePerRequestFilter类实际上是一个实现了Filter接口的抽象类。spring对Filter进行了一些封装处理。 OncePerRequestFilter是在一次外部请求过滤一次。对于服务器内部之间的forward等请求,不再次执行过滤方法。 实现Filter接口,也在一次请求过滤一次, 实际上,OncePerRequestFilter是为了兼容不同的web 容器,也就是说其实不是所有...
springboot自定义过滤器
clonetx的博客
01-04 1024
过滤器是Servlet的规范,是基于函数回调的,需要实现javax.servlet.Filter接口,依赖于Tomcat等容器,一般用于过滤请求的URL。 1自定义过滤器 自定义filter的实现,本质上只有一种方式,就是实现Filter接口。但是在spring我们有时候也通过继承框架提供的XXXFilter,例如OncePerRequestFilter、 AbstractAuthenticationProcessingFilter(Spring Security使用...
8/16Filter自动注入问题
stayh_ungry的博客
08-16 349
SpringBoot之Filter/HandlerInterceptor 注入service为null解决方案 转自https://blog.csdn.net/yali_aini/article/details/83721763 注入service的时候报null,因为 filter不能直接注入 spring容器里面的对象,然后我就自己从spring 容器里面去取了。代码如下 1.Filter...
你还不了解SpringSecurity吗?快来看看SpringSecurity实战总结~
qq_46565258的博客
01-03 2594
SpringSecurity简介: 权限管理的相关概念 主体 principal 使用系统的用户或设备或从其他系统远程登录的用户等等,简单说就是谁使用系统谁就是主体。 认证 authentication 权限管理系统确认一个主体的身份,允许主体进入系统。简单说就是“主体”证明自己是谁。 授权 authorization 将操作系统的“权力”“授予”“主体”,这样主体就具备了操作系统特定功能的能力。 所以简单来说,授权就是给用户分配权限。 SpringSecurity本质是过滤器: 客户端发起一个请求
spring security防止恶意登录
neweastsun的专栏
04-05 4617
spring security防止恶意登录 本文我们使用spring security提供一个基本的解决方案防止恶意登录。 简单地说,我们记录来自同一IP的登录失败次数,如果超过设定的数量,在24小时内被阻止登录。 AuthenticationFailureEventListener 我们定义AuthenticationFailureEventListener,监听Authentica...
spring security怎么注入过滤器
最新发布
05-16
在上面的例子,我们使用 `addFilterBefore` 方法将自定义的过滤器添加到 Spring Security过滤器,并指定了在 `BasicAuthenticationFilter` 之前执行该过滤器。类似地,我们也可以使用 `addFilterAfter` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值