目录
一、前言
在写此系列文章的时候,我一直下不去手。是因为,我所学所借鉴的全是别人的文章精华;虽然,现学现用的完成了公司的系统开发。如果不写呢,生怕自己以后会忘记,还是为我自己记录些内容吧。
spring security
大佬把它作为研究对象,用于系列教学。
我把它看成工具,用它编写了一个相对安全的、看上去规范的后台系统。
二、介绍核心过滤器
Spring Security 权限控制的一个核心关键就是过滤器链。内置的过滤器在注册时有前后顺序。如下分别了解:
ChannelProcessingFilter | 通常是用来过滤哪些请求必须用 https 协议, 哪些请求必须用 http 协议, 哪些请求随便用哪个协议都行 |
ConcurrentSessionFilter | 主要用来判断session 是否过期以及更新最新的访问时间 |
WebAsyncManagerIntegrationFilter | 用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager。用来处理异步请求的安全上下文 |
SecurityContextPersistenceFilter | 主要控制 SecurityContext 的在一次请求中的生命周期 。 请求来临时,创建SecurityContext 安全上下文信息,请求结束时清空 SecurityContextHolder |
HeaderWriterFilter | 用来给 你可以通过 |
CorsFilter | 跨域相关的过滤器。这是Spring MVC Java 配置和XML 命名空间 CORS 配置的替代方法, 仅对依赖于spring-web 的应用程序有用(不适用于spring-webmvc )或 要求在javax.servlet.Filter 级别进行CORS检查的安全约束链接 |
CsrfFilter | 用于防止 你可以通过 |
LogoutFilter | 处理注销的过滤器。 你可以通过 |