Filter在SecurityFilterChain上的的排序规则

最新推荐文章于 2024-07-11 06:15:00 发布
最新推荐文章于 2024-07-11 06:15:00 发布
阅读量720 收藏
点赞数
分类专栏: SpringSecurity 文章标签: spring java 前端 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129465705
版权

为了让系统正常运行,SecurityFilterChain 上的Filter要保持一定的顺序,例如AuthorizationFilter 要放在各类AuthenticationFilter 的后面,不然还没认证就开始校验权限信息,那一定不会通过。

Spring Security为默认的Filter设置了固定的顺序,这些Filter和Filter的子类,都会按照这个顺序执行。

重要限制

所有Filter都要设置顺序值,可以使用HttpSecurity 的 addFilterAfter(Filter filter, Class<? extends Filter> afterFilter) 和addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter) 方法来添加Filter,方法的第二个参数就是下面默认的Filter类型。

Filter默认顺序

Spring Security在FilterOrderRegistration类中设置了Filter类型的默认顺序。然后在添加Filter时,会根据Filter类型获取Order。

设置顺序是在构造函数实现,获取顺序是在getOrder(Class<?> clazz)方法,会根据Filter类型或父类型找到顺序值。

FilterOrderRegistration() {
	// INITIAL_ORDER、ORDER_STEP值默认为100
	Step order = new Step(INITIAL_ORDER, ORDER_STEP);
	// order.next()会返回当前order,并且把order增加step大小
	put(DisableEncodeUrlFilter.class, order.next());
	put(ForceEagerSessionCreationFilter.class, order.next());
	put(ChannelProcessingFilter.class, order.next());
	order.next(); // gh-8105
	put(WebAsyncManagerIntegrationFilter.class, order.next());
	put(SecurityContextHolderFilter.class, order.next());
	put(SecurityContextPersistenceFilter.class, order.next());
	put(HeaderWriterFilter.class, order.next());
	put(CorsFilter.class, order.next());
	put(CsrfFilter.class, order.next());
	put(LogoutFilter.class, order.next());
	this.filterToOrder.put(
			"org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter",
			order.next());
	this.filterToOrder.put(
			"org.springframework.security.saml2.provider.service.web.Saml2WebSsoAuthenticationRequestFilter",
			order.next());
	put(X509AuthenticationFilter.class, order.next());
	put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
	this.filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter", order.next());
	this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter",
			order.next());
	this.filterToOrder.put(
			"org.springframework.security.saml2.provider.service.web.authentication.Saml2WebSsoAuthenticationFilter",
			order.next());
	put(UsernamePasswordAuthenticationFilter.class, order.next());
	order.next(); // gh-8105
	put(DefaultLoginPageGeneratingFilter.class, order.next());
	put(DefaultLogoutPageGeneratingFilter.class, order.next());
	put(ConcurrentSessionFilter.class, order.next());
	put(DigestAuthenticationFilter.class, order.next());
	this.filterToOrder.put(
			"org.springframework.security.oauth2.server.resource.web.authentication.BearerTokenAuthenticationFilter",
			order.next());
	put(BasicAuthenticationFilter.class, order.next());
	put(RequestCacheAwareFilter.class, order.next());
	put(SecurityContextHolderAwareRequestFilter.class, order.next());
	put(JaasApiIntegrationFilter.class, order.next());
	put(RememberMeAuthenticationFilter.class, order.next());
	put(AnonymousAuthenticationFilter.class, order.next());
	this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationCodeGrantFilter",
			order.next());
	put(SessionManagementFilter.class, order.next());
	put(ExceptionTranslationFilter.class, order.next());
	put(FilterSecurityInterceptor.class, order.next());
	put(AuthorizationFilter.class, order.next());
	put(SwitchUserFilter.class, order.next());
}

Integer getOrder(Class<?> clazz) {
	while (clazz != null) {
		Integer result = this.filterToOrder.get(clazz.getName());
		if (result != null) {
			return result;
		}
		clazz = clazz.getSuperclass();
	}
	return null;
}

排序规则

在把Filter添加到SecurityFilterChain之前,会对所有Filter进行排序。排序使用OrderComparator类提供的规则:

  1. Filter是PriorityOrdered的子类,那么排在最前面

  1. Filter的Ordered值越小,排名越靠前

李昂的数字之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Django filter动态过滤与排序实现过程解析
01-19
在虚拟开发环境中安装: pip install django-filter 在Django的项目配置文件中安装并配置django_filters应用: INSTALLED_APPS = [ ... 'django_filters', ] REST_FRAMEWORK = { # 过滤器默认后端 'DEFAULT_...
vuejs通过filterBy、orderBy实现搜索筛选、降序排序数据
10-20
主要为大家详细介绍了vuejs通过filterBy、orderBy实现搜索筛选、降序排序数据实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring security filter顺序
qq_34585332的博客
06-29 353
spring security filter顺序
Security Filters顺序
HHoao的博客
05-04 626
Security Filters顺序 ​ Security Filter通过SecurityFilterChain 被插入到FilterChainProxy中。过滤器的顺序很重要,但通常不需要知道Spring Security过滤器的顺序。然而,有些时候,知道顺序是有益的。 你可以通过FilterOrderRegistration查看过滤器的顺序 FilterOrderRegistration.java FilterOrderRegistration() { Step order = new S
SpringspringSecurity5版本以上中SecurityFilterChain概述
最新发布
wosixiaokeai的博客
07-11 439
定义是Spring Security Web模块中的一个接口,它定义了一组安全过滤器,这些过滤器用于处理HTTP请求,并根据配置执行相应的安全逻辑。作用:当一个HTTP请求到达Spring应用程序时,它会被中配置的过滤器依次处理。每个过滤器根据其职责对请求进行处理,如验证认证信息、检查用户权限等。如果请求在某个过滤器中被认为是合法且符合安全要求的,它将继续传递至下一个过滤器或最终达到控制器;如果请求被某个过滤器拦截(如认证失败),则不再继续传递,而是直接返回响应。
Spring Security3源码分析-Filter排序分析
Dead_Knight的专栏
05-09 258
通过前面Spring Security提供的各种Filter的分析,大体上知道每个Filter具体的用途了。 Spring Security一共提供了20个Filter,我目前只分析了13个(如果http的auto-config="true",那默认的filter列表都包含在这13个里面了),另外7个在后面的源码分析中碰到时会逐个讲解。 在分析http标签时,已经提到filter排序的问题了,...
security解密_filter的执行顺序解密
weixin_39537680的博客
12-13 258
1.引言我们在编写javaweb程序的时候,时常会用filter这个组件,它能将我们一些通用逻辑抽取出来,在servlet执行行业务逻辑之前运行行,达到简化代码和复用的目的.比如最常用的场景全站编码和登录验证功能.servlet3.0以前我们只能通过web.xml的方式配置filter,并且多个filter的执行顺序是根据你web.xml中书写顺序来决定的.servlet3.0以后,提供了注解的方...
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 1550
spring-secrity的Filter顺序+自定义过滤器
Security 中的Filters的顺序
u013828625的博客
05-26 1100
Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序
Android中的Intent Filter匹配规则简介
09-02
总结,理解Intent Filter的匹配规则对于开发Android应用至关重要,因为它是组件间通信的核心机制,尤其是在使用隐式Intent时。通过正确地配置Intent Filter,开发者可以让自己的组件能够响应系统和其他应用发出的...
C语言头文件 FILTER
06-11
C语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC语言头文件 FILTERC...
Kalman Filter卡尔曼滤波 java实现
08-09
KalmanFilter,KalmanFilter3,KalmanFilter5 一共7种,以上三种实现保证可用,其余待调试,调试函数写好,直接运行即可 KalmanFilter KalmanFilter2 KalmanFilter3 KalmanFilter4 KalmanFilter5 KalmanFilter6 Kalman...
FilterFilterChain执行顺序
qq_42946963的博客
12-16 8069
当使用多个Filter时,这些Filter将形成一个Filter链,web服务器在实例化Filter对象时,会将此Filter链传递给doFilterFilterChain参数。当一个Filter执行doFilter方法时,在此方法中执行FilterChain参数的doFilter方法,将会执行下一个Filter(Filter链下一个还是Filter时)或者访问WEB资源(Filter链中没有Filter了),如图所示: 下面是在web.xml中配置多个Filter,通过程序来演示各个Filter的其执行
Filter(五)FilterChain执行顺序
wliang11的专栏
12-25 2430
当使用多个Filter时,这些Filter将形成一个Filter链,web服务器在实例化Filter对象时,会将此Filter链传递给doFilterFilterChain参数。当一个Filter执行doFilter方法时,在此方法中执行FilterChain参数的doFilter方法,将会执行下一个Filter(Filter链下一个还是Filter时)或者访问WEB资源(Filter链中没有F
Spring SecuritySecurityFilterChain的选择与执行流程(五)
欢谷悠扬
07-07 2086
1.FilterChainProxy去找过滤器链去了~ FilterChain 是过滤器链,我好像之前一直说的拦截器链(尴尬) 在上一篇中,我们知道FilterChainProxy 拿到了三条过滤器链,那FilterChainProxy如何根据请求去选择呢? 每个SecurityFilterChain都有一个RequestMatcher 匹配器,这个匹配器中可以放置多个url或者通配符表达式进行匹配,匹配成功就直接返回这个过滤器链的过滤器集合。 所以SecurityFilterChain其实也不是过滤器
spring security每个filter的作用和配置顺序
04-21 1670
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xmlns:s
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
业精于勤荒于嬉
08-25 1804
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
过滤器Filter实现及执行顺序
铃萌的博客
12-08 812
过滤器(Filter)是JavaWeb的一个强大组件,基于servlet规范实现,不依赖任何框架。实现对用户请求的预处理,请求资源包含静态资源,如:js、css、图片等。在请求到达servlet之前进行拦截,决定是否放行到请求的servlet,或在返回客户端之前,对数据进行处理。常用于权限认证、日志记录。
Spring SecuritySpring Security 过滤器链执行顺序(FilterOrderRegistration类)
杜小舟的博客
01-03 1485
我相信有很多同学都对 Spring Security 过滤器链的执行顺序表示疑惑,在框架中 FilterOrderRegistration 担任声明控制过滤器的执行顺序,有时候我们可能会自定义一些过滤器链插入到我们想要的位置,那么这时候就需要明白过滤器链的执行顺序,废话不多说,直接上表格。
Java Filter在项目开发中的角色与应用
"Java-filter过滤器在项目开发中用于实现字符编码统一、权限控制和数据预处理等功能。通过创建自定义过滤器类并配置在web.xml中,可以确保整个项目遵循一致的编码标准,防止乱码问题。" 在Java EE项目开发中,过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值