SecurityFilterChain相关的配置和示例说明

最新推荐文章于 2024-09-18 22:39:06 发布
最新推荐文章于 2024-09-18 22:39:06 发布
阅读量552 收藏 9
点赞数 4
文章标签: spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanxiaojia521/article/details/142140755
版权

最近在做技术升级工作,Spring Boot 2.x升级Spring Boot 3.x自然也就涉及到Security(Security5.x升级Security6.x)SecurityFilterChain相关的配置和示例说明。

SecurityFilterChain 是Spring Security 5.4及更高版本中引入的一个关键概念,它取代了之前的WebSecurityConfigurerAdapter作为配置安全性的主要方式。SecurityFilterChain 是Spring Security中用来配置安全过滤器链的主要方式,它提供了丰富的API来定制和管理安全设置。下面详细介绍SecurityFilterChain中可用的一些主要配置选项及其用途。

1. authorizeHttpRequests

authorizeHttpRequests 是用于配置哪些请求需要认证以及哪些请求可以匿名访问的关键方法。它允许你根据请求的URL、HTTP方法等来决定是否需要认证。

示例配置
http
    .authorizeHttpRequests((authorize) -> authorize
        .requestMatchers("/public/**").permitAll() // 公共资源
        .requestMatchers(HttpMethod.POST, "/secure/post/**").hasRole("ADMIN") // POST请求需要管理员权限
        .anyRequest().authenticated() // 其他所有请求都需要认证
    );

2. formLogin

formLogin 用于配置传统的表单登录页面。

示例配置
http
    .formLogin((form) -> form
        .loginPage("/login") // 自定义登录页面
        .loginProcessingUrl("/login") // 处理登录请求的URL
        .defaultSuccessUrl("/welcome", true) // 登录成功后的默认跳转URL
        .failureUrl("/login?error") // 登录失败后的URL
        .permitAll() // 允许任何人访问登录页面
    );

3. httpBasic

httpBasic 用于配置基本的身份验证,通常用于RESTful服务或API。

示例配置
http
    .httpBasic(Customizer.withDefaults()); // 启用HTTP Basic认证

4. logout

logout 用于配置登出逻辑。

示例配置
http
    .logout((logout) -> logout
        .logoutUrl("/logout") // 登出请求的URL
        .logoutSuccessUrl("/login?logout") // 登出成功后的URL
        .permitAll() // 允许任何人访问登出URL
    );

5. sessionManagement

sessionManagement 用于配置会话管理,例如是否自动创建会话、会话超时时间等。

示例配置
http
    .sessionManagement((session) -> session
        .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) // 默认策略,需要时创建会话
        .maximumSessions(1) // 最大会话数
        .maxSessionsPreventsLogin(false) // 是否阻止登录
        .expiredUrl("/session-expired") // 会话过期后的URL
    );

6. cors

cors 用于配置跨域资源共享(CORS),允许你控制哪些源可以访问你的应用程序。

示例配置
http
    .cors((cors) -> cors
        .configurationSource(request -> newCorsConfiguration()) // 自定义CORS配置
    );

7. csrf

csrf 用于配置跨站请求伪造(CSRF)保护。

示例配置
http
    .csrf((csrf) -> csrf
        .disable() // 禁用CSRF保护
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) // 自定义CSRF令牌存储
    );

8. oauth2Login

oauth2Login 用于配置OAuth2登录。

示例配置
http
    .oauth2Login((oauth2) -> oauth2
        .loginPage("/login/oauth2") // OAuth2登录页面
        .userInfoEndpoint((userInfo) -> userInfo
            .userService(oAuth2UserService) // 自定义OAuth2用户服务
        )
    );

9. oauth2ResourceServer

oauth2ResourceServer 用于配置OAuth2资源服务器,保护API端点。

示例配置
http
    .oauth2ResourceServer((oauth2) -> oauth2
        .jwt(Customizer.withDefaults()) // 配置JWT令牌验证
    );

10. rememberMe

rememberMe 用于配置记住我功能,使用户在关闭浏览器后仍能保持登录状态。

示例配置
http
    .rememberMe((rememberMe) -> rememberMe
        .key("uniqueAndSecret") // 密钥
        .tokenValiditySeconds(1209600) // 记住我令牌的有效期(秒)
        .userDetailsService(userDetailsService) // 用户详细信息服务
    );

11. exceptionHandling

exceptionHandling 用于配置异常处理。

示例配置
http
    .exceptionHandling((exceptions) -> exceptions
        .authenticationEntryPoint(new MyAuthenticationEntryPoint()) // 自定义未认证入口点
        .accessDeniedHandler(new MyAccessDeniedHandler()) // 自定义拒绝访问处理器
    );

12. headers

headers 用于配置响应头,如X-Frame-Options等。

示例配置
http
    .headers((headers) -> headers
        .frameOptions(frameOptions -> frameOptions.sameOrigin()) // 配置X-Frame-Options
    );

13. authenticationManager

authenticationManager 用于配置认证管理器。

示例配置
@Bean
public AuthenticationManager authenticationManager(HttpSecurity http) throws Exception {
    return http.getSharedObject(AuthenticationManagerBuilder.class)
        .authenticationProvider(authenticationProvider())
        .and()
        .build();
}

14. authenticationProvider

authenticationProvider 用于配置认证提供者。

示例配置
@Bean
public AuthenticationProvider authenticationProvider() {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setUserDetailsService(userDetailsService);
    provider.setPasswordEncoder(passwordEncoder);
    return provider;
}

15. addFilterBeforeaddFilterAfter

addFilterBeforeaddFilterAfter 用于在安全过滤器链中插入自定义过滤器。

示例配置
http
    .addFilterBefore(myCustomFilter, UsernamePasswordAuthenticationFilter.class); // 在UsernamePasswordAuthenticationFilter之前插入过滤器

总结

SecurityFilterChain 提供了非常强大的功能来定制和管理Spring Security的安全过滤器链。通过上述配置选项,你可以灵活地配置各种安全需求,从简单的表单登录到复杂的OAuth2集成,再到细粒度的URL访问控制。这些配置选项可以组合使用,以满足几乎所有的安全需求。

闫小甲
关注
SpringSpring Security 5及以上版本中`SecurityFilterChain`示例
wosixiaokeai的博客
07-11 554
Spring Boot 2.x及更高版本与Spring Security 5.x紧密集成,提供了简化的配置方式。在Spring Boot应用程序中,通常通过配置类来定义。
Spring Cloud Gateway 与OAuth2模式一起使用
new_ord的博客
08-14 3418
Spring Cloud Gateway是一个构建在 Spring 生态之上的 API Gateway。本文我们将使用OpenID Connect 身份验证,Spring Cloud Gateway 将用户身份验证令牌中继到下游服务。
SpringspringSecurity5版本以上中SecurityFilterChain概述
wosixiaokeai的博客
07-11 511
定义是Spring Security Web模块中的一个接口,它定义了一组安全过滤器,这些过滤器用于处理HTTP请求,并根据配置执行相应的安全逻辑。作用:当一个HTTP请求到达Spring应用程序时,它会被中配置的过滤器依次处理。每个过滤器根据其职责对请求进行处理,如验证认证信息、检查用户权限等。如果请求在某个过滤器中被认为是合法且符合安全要求的,它将继续传递至下一个过滤器或最终达到控制器;如果请求被某个过滤器拦截(如认证失败),则不再继续传递,而是直接返回响应。
创建Spring Security Filter Chain
m13012606980的专栏
10-09 743
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
SecurityFilterChain
2401_85480529的博客
09-18 419
Spring Security 中的一个接口,它定义了安全过滤器链(Security Filter Chain)。安全过滤器链是多个安全过滤器的组合,它们用于处理和保护应用的 HTTP 请求。来自定义应用的安全过滤器链。例如,可以根据 URL 模式配置不同的安全规则。中配置的,或者直接通过 Spring Security 的 Java 配置进行设置。定义 URL 访问规则和表单登录。开发者可以通过实现或配置。这个例子展示了如何通过。
Spring Security:(六)过滤器链SecurityFilterChain
colin2200的博客
03-26 272
Spring Security的功能点入口是FilterChainProxy,在FilterChainProxy中管理着多个过滤器链 SecurityFilterChain。 Spring Security中是通过调用 HttpSecurity的 build()方法实例化SecurityFilterChain。 过滤器链SecurityFilterChain是多个过滤器的集合...
SpringSecurityFilterChain
Claroja
03-22 322
Security FilterSecurityFilterChain中是Beans,通过FilterChainProxy代理来注册. 在普通的Servlet container中,Fitler只能通过url来调用.而FilterChainProxy则可以通过RequestMatcher接口,来实现灵活调用. 参考: https://docs.spring.io/spring-security/site/docs/5.4.5/reference/html5/#servlet-securityfilt
Spring Security详解(二)认证之核心配置详解
热门推荐
Jagger的博客
06-22 1万+
文章目录2.核心配置详解2.1 测试用例2.2 @EnableWebSecurityWebSecurityConfigurationSpringWebMvcImportSelectorEnableGlobalAuthentication2.3 @EnableGlobalMethodSecurityGlobalMethodSecuritySelectorGlobalMethodSecurityConfiguration2.4 SecurityBuilderWebSecurityHttpSecurityAu
Spring Boot 中文参考指南(二)-Web
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
03-13 2907
跟其他的静态资源一样,Spring Boot 会在配置的静态内容位置检查,如果存在这样的文件,它会自动用作应用程序的图标。如果要显示一个给定状态码的自定义HTML错误页,可以将文件添加到/error目录。错误页面可以是静态HTML(即,添加到任何静态资源目录下)或者使用模版构建,文件名应该是确切状态代码或序列掩码。src/+- main/+- java/+- public/+- error/src/+- main/+- java/+- error/对于更复杂的映射,可以添加实现。
Spring Security 自定义授权服务器实践
Java_ttcd的博客
08-20 951
还需要多多完善,Spring Security也不例外,不久前我还提了一个PR,把一个持续数个版本的bug给修复了藍(过了,只是文档中的错误罢了,被标记为文档中的bug),看多了外国人的产品,其实也没有太比国内的开源项目好,坑也很多,而我们某些大厂的开源项目其实很好,却被网友门各种喷。另外授权服务器如果发生异常,是不会打印堆栈的,而是把错误信息放入到response中,是打算要在页面上显示,然而demo的默认错误页并不会显示错误详情,只有错误编号400,如图。
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security-部分官方文档翻译以及思考-SecurityFilterChain
渡鸦的博客
07-10 766
Spring Security-部分官方文档翻译以及思考-SecurityFilterChain
Spring Security Web : SecurityFilterChain 安全过滤器概念模型
Details Inside Spring
05-16 6857
SecurityFilterChain,字面意思"安全过滤器链",是Spring Security Web对匹配特定HTTP请求的一组安全过滤器的抽象建模。这样的一个对象在配置阶段用于配置FilterChainProxy,而FilterChainProxy在请求到达时会使用所持有的某个SecurityFilterChain判断该请求是否匹配该SecurityFilterChain,如果匹配的话,该...
Spring Security过滤链FilterChain
Jianyang_usst的博客
11-17 9402
Spring Security过滤链FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤链机制! 1.Filters概述 图1 过滤链 当客户端发送一个请求到应用时,容器会创建一个过滤链FilterChain,该过滤链包含了Filt
Spring Security6配置SecurityFilterChain方法理解学习
最新发布
yuhaowu0422的博客
09-18 942
当设置了frameOptions(options -> options.sameOrigin())后,如果尝试从不同源(如不同的域名、协议或端口)的页面中加载该页面到iframe内,则浏览器会阻止这种行为,并可能在控制台中记录一个安全错误。这样就确保了只有可信的、同源的页面能够显示该页面的内容。限制只有同源页面可以将此页面嵌入到iframe中意味着只有与当前页面具有相同协议(http或https)、相同域名和相同端口号的页面才能够将当前页面嵌入到它们的iframe中。域名:比如都是example.com。
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
户伟伟的博客
12-20 3966
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
http.authorizeHttpRequests().antMatchers.permitall
09-11
`http.authorizeHttpRequests().antMatchers().permitAll()` 是Spring Security框架中的一部分,用于配置HTTP请求的权限控制。这段代码的作用是对特定的HTTP请求路径设置权限规则,允许所有用户无条件访问这些路径。 具体来说,`http` 是一个`HttpSecurity`对象,它用于定制Web安全配置。`authorizeHttpRequests()`方法是一个配置请求授权规则的入口点。`antMatchers()`方法接受一个或多个URL路径模式,并返回一个`RequestMatcher`对象,用于匹配请求。`permitAll()`方法则是一个访问决策,表示允许匹配到的请求通过认证过滤器链。 这是一个典型的配置示例,用于设置特定路径不需要进行认证即可访问: ```java http .authorizeRequests() .antMatchers("/public/**").permitAll() // 允许所有人访问所有以"/public/"开头的路径 // ... 其他配置 ... ``` 在上面的例子中,`"/public/**"`表示所有以`/public/`开头的URL路径,比如`/public/index.html`、`/public/assets/js/script.js`等。这些路径下的HTTP请求不需要任何认证信息,即使用户没有登录也能访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

闫小甲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值