Spring Security定义多个过滤器链(10)

最新推荐文章于 2024-06-07 10:03:45 发布
最新推荐文章于 2024-06-07 10:03:45 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring java 后端 spring boot web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43831002/article/details/126294280
版权

  在Spring Security中可以同时存在多个过滤器链,一个WebSecurityConfigurerAdapter的实例就可以配置一条过滤器链。

  我们来看如下一个案例:

@Configuration
public class SecurityConfig {
    @Bean
    UserDetailsService us(){
        InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("剑气近").password("{noop}123").roles("admin").build());
        return users;
    }
    @Configuration
    @Order(1)
    static class SecurityConfig01 extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
            users.createUser(User.withUsername("chain1in").password("{noop}123").roles("admin").build());
            http.antMatcher("/bar/**")
                    .authorizeRequests()
                    .anyRequest().authenticated()
                    .and()
                    .formLogin()
                    .loginPage("/mylogin.html")
                    .loginProcessingUrl("/bar/login")
                    .successHandler(((req, resp, auth) -> {
                        resp.setContentType("application/json;charset=UTF-8");
                        String s = new ObjectMapper().writeValueAsString(auth);
                        resp.getWriter().write(s);
                    }))
                    .permitAll()
                    .and()
                    .csrf().disable()
                    .userDetailsService(users);
        }
    }
    @Configuration
    @Order(2)
    static class SecurityConfig02 extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.inMemoryAuthentication().withUser("chain2out").password("{noop}123").roles("admin");
        }
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
            users.createUser(User.withUsername("chain2in").password("{noop}123").roles("admin").build());
            http.antMatcher("/foo/**")
                    .authorizeRequests()
                    .anyRequest().authenticated()
                    .and()
                    .formLogin()
                    .loginPage("/mylogin.html")
                    .loginProcessingUrl("/foo/login")
                    .successHandler(((req, resp, auth) -> {
                        resp.setContentType("application/json;charset=UTF-8");
                        String s = new ObjectMapper().writeValueAsString(auth);
                        resp.getWriter().write(s);
                    }))
                    .permitAll()
                    .and()
                    .csrf().disable()
                    .userDetailsService(users);
        }
    }
}

  在SecurityConfig中分别定义两个静态内部类SecurityConfig01和SecurityConfig02,两个配置类都继承自WebSecurityConfigurerAdapter, 可以分别配置一条过滤器链。

  先来看Security01,在Security01中,我们设置过滤器链的拦截规则是/bar/**,即如果请求路径是/bar/**格式的,则进入到Security01的过滤器链中进行处理。同时我们配置了局部 AuthenticationManager 对应的用户是 chain1in/123 ,由于没有重写 configure(AuthenticationManagerBuilder)方法,所以注册到 Spring 容器中的 UserDetailsService 将作为局部 AuthenticationManager的parent对应的用户,换句话说,如果登录的路径是/bar/login,那么升发者可以使用 chain1in/123和 剑气近/123两个用户进行登录。

  再来看SecurityConfig02。在Security02中,我们设置过滤器链的拦截规则是/foo/**,即如果请求路径是/foo/**格式的,则进入到Secunty02的过滤器链中进行处理,同时我们配置了局部 AuthenticationManager 对应的用户是 chain2in/123 ,由于重写了 configure(Authentication ManagerBuilder)方法,在该方法中定义了局部AuthenticationManager的parent对应的用户,此时注册到Spring容器中的UserDetailsService实例对于/foo/**过滤器链不再生效。换句话说, 如果登录路径是/foo/login,开发者可以使用chain2in/123和 chain2out/123两个用户进行登录,而不可以使用 剑气近/123进行登录。

  需要注意的是,如果配置了多个过滤器链,需要使用@Order注解来标记不同配置的优先级(即不同过滤器链的优先级),数字越大优先级越低,当请求到来时,会按照过滤器链的优先级从高往低,依次进行匹配。

  

  

一只只会写bug的兔子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security中的Servlet过滤器体系代码分析
08-18
`SecurityFilterChain` 是Spring Security中用于处理特定请求路径的过滤器链。它根据请求URL和Ant风格的模式来判断请求是否匹配,如果匹配,则执行对应的过滤器链。例如,登录请求可能通过一个包含认证过滤器的链,...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1. **配置Redis**:由于微服务架构中多个服务可能需要共享用户信息,因此使用Redis作为集中式的session存储是常见的选择。这样,用户在任一服务登录后,其认证状态可以在所有服务中同步。 2. **配置Spring Security...
Spring Security 多过滤链的使用
Innocence_0的博客
01-13 917
Spring Security 多过滤链的使用
spirng Security (八)多个过滤器链共存
weixin_43189971的博客
07-19 479
如何配置多条过滤器
SpringSecurity入门(一)
最新发布
qq_27352081的博客
06-07 832
SpringSecurity入门
Spring security定义多条过滤链
qq_23011719的博客
07-31 500
Spirng security 过滤链
SpringSecurity过滤器链汇总
weixin_30702413的博客
01-05 170
SpringSecurity过滤器链 认证过程 转载于:https://www.cnblogs.com/chenny3/p/10226123.html
多个SecurityFilterChain执行顺序问题,/oauth2/authorization报404
姑苏
07-04 742
大概意思就是说如果有多组SecurityFilterChain,只要有一组chain能匹配到,后面的chain中的filter就不会执行了。第二组的chain拦截路径/**其实已经执行过了,第三组中的filter是不会执行的。正常要请求/oauth2/authorization/{regId}跳转到authorization-uri进行认证的,但是搭建好之后,请求这个地址竟然直接报404了,说明oauth2的相关filter并没有生效,直接打到了dispatchServlet。那到底是哪里的问题呢?
浅析Spring Security登录验证流程
08-25
当一个请求到达时按照过滤器链的顺序依次进行处理,通过所有过滤器链的验证,就可以访问API接口了。SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是...
关于ip的过滤器 spring security例子
09-23
Spring Security的配置类中,我们可以通过`http`方法定义过滤器链,并使用`addFilterBefore`或`addFilterAfter`方法添加自定义过滤器。例如: ```java @Configuration @EnableWebSecurity public class Security...
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架...我们可以使用 Spring Security 之 Java 配置篇来保护基于 Java 的 Web 应用程序,包括自定义登陆页面、使用多用户、过滤器顺序等。
Spring Security 竟然可以同时存在多个过滤器链?
CHENFU_ZKK的博客
12-16 1005
首先,http.authorizeRequests() 配置并非总在第一行出现,如果只有一个过滤器链,他总是在第一行出现,表示该过滤器链的拦截规则是 /**(请求只有先被过滤器链拦截下来,接下来才会进入到不同的 Security Filters 中进行处理),如果存在多个过滤器链,就不一定了。我们在该方法中的配置,都是在添加/移除/修改 Spring Security 默认提供的过滤器,所以该方法就是在配置 Spring Security 中的过滤器链。
Spring Security 的学习1
小熊的博客
10-18 237
Spring Security 概念 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 简单入门 构建mvc项目: 导入security 所需的jar 包: Spring Security主要jar包功能介绍 spring-security-core.jar 核心包,任何Spring Security功能都需要此包。 spring-security-web.jar web工程必备,包
SpringSecurity(十三)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2163
Spring Security中,HTTP过滤器会委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器会负责授权配置等等。通常HTTP过滤器会管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器会接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器
Spring Security在web.xml文件中配置了springSecurityFilterChain过滤器链之后报错(已解决)
qq_36770957的博客
03-09 2180
1、问题描述 在web项目的web.xml文件中配置了springSecurity中的关键bean对象springSecurityFilterChain之后,启动服务器运行的时候报错如下: 09-Mar-2022 10:20:39.888 严重 [RMI TCP Connection(3)-127.0.0.1] org.apache.catalina.core.StandardContext.startInternal 一个或多个筛选器启动失败。完整的详细信息将在相应的容器日志文件中找到 09-Mar-20
Spring Security 中,通过配置 Filter 链来实现安全控制
qq_60458298的博客
03-23 940
userDetailsService():表示指定自定义的 UserDetailsService 实现类。accessDeniedPage():表示指定访问被拒绝页面的 URL。logoutSuccessUrl():表示退出登录后跳转的 URL。successHandler():表示指定登录成功的处理器。failureHandler():表示指定登录失败的处理器。passwordEncoder():表示指定密码的加密方式。loginPage():表示指定登录页面的 URL。
SpringSecurity定义多个过滤器
热门推荐
吴名氏的博客
04-19 11万+
SpringSecurity定义多个过滤器
Spring WebFlux下CORS WebFilter与SecurityWebFilterChain的配置
zzy7075的专栏
11-02 3484
需求:前端VUE项目需要在HTTP header添加JWT token发送到Spring后端认证。 尝试:使用Spring官方的配置 @Configuration @EnableWebFlux public class WebConfig implements WebFluxConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMappin
Spring Security 6.0 和多个过滤器
08-25
Spring Security 6.0 引入了一个重要的变化,即支持多个过滤器链。在以前的版本中,我们只能定义一个过滤器链来处理所有的安全相关操作,而现在我们可以根据需要定义多个过滤器链来处理不同的安全需求。 每个过滤器链由一组过滤器组成,用于处理特定的安全操作。例如,我们可以定义一个过滤器链来处理基于表单的认证,另一个过滤器链来处理基于令牌的认证。 要定义多个过滤器链,我们可以使用`HttpSecurity`对象的`requestMatchers()`方法来指定不同的请求匹配规则。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .requestMatchers() .antMatchers("/admin/**") // 匹配以/admin/开头的请求 .and() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 需要 ADMIN 角色才能访问 .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在上面的例子中,我们定义了一个过滤器链来处理以`/admin/`开头的请求。这个过滤器链要求用户具有`ADMIN`角色才能访问。对于其他请求,我们使用默认的过滤器链,要求用户进行身份验证。 通过支持多个过滤器链,Spring Security 6.0 提供了更大的灵活性,使我们能够更好地满足不同的安全需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值