Spring Security过滤链FilterChain

最新推荐文章于 2025-10-19 20:32:34 发布
翻译 最新推荐文章于 2025-10-19 20:32:34 发布 · 9.9k 阅读 · 18 ·
CC 4.0 BY-SA版权
原文链接:https://docs.spring.io/spring-security/site/docs/5.5.3/reference/html5/#servlet-architecture
文章标签:

#java #spring boot #后端

本文深入探讨了SpringSecurity中的过滤链机制,包括FilterChain、DelegatingFilterProxy、FilterChainProxy和SecurityFilterChain等核心组件的功能及工作原理,并列举了常见的安全过滤器。

Spring Security过滤链FilterChain

众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤链机制!

1.Filters概述

在这里插入图片描述
图1 过滤链
当客户端发送一个请求到应用时,容器会创建一个过滤链FilterChain,该过滤链包含了FiltersServlet,其中Servlet会处理HttpServletRequest请求。在Spring MVC应用中,Servlet就是DispatcherServlet的一个实例。在大部分的情况下Servlet只能处理一个简单的HttpServletRequestHttpServletResponse。但是可以有多个过滤器来处理请求,过滤器的作用包括一下两个:

  1. 防止下游过滤器和请求被调用;
  2. 在下游过滤器和请求处理之前修改HttpServletRequestHttpServletResponse

举个例子:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // 在rest应用之前干些事情
    chain.doFilter(request, response); // 调用rest应用
    //在rest应用之后干些事情
}

2.DelegatingFilterProxy

spring security提供DelegatingFilterProxy使Servlet容器生命周期和Spring应用上下文之间产生联系。DelegatingFilterProxy通过标准Servlet容器机制被注册进应用,并且代理了所有实现Filter类的Spring Bean
在这里插入图片描述
图2 DelegatingFilterProxy
以下是DelegatingFilterProxy的伪代码

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // 通过懒加载的方式获得Filter Bean
    // DelegatingFilterProxy代理是一个Filter Bean的实例
    Filter delegate = getFilterBean(someBeanName);
    // 代理所有Spring Bean的工作
    delegate.doFilter(request, response);
}

3.FilterChainProxy

spring security提供FilterChainProxy来代理SecurityFilterChain管理的大量Filter实例。FilterChainProxy是通过DelegatingFilterProxy包装过的Bean
在这里插入图片描述
图3 FilterChainProxy

4.SecurityFilterChain

在这里插入图片描述
图4 多重SecurityFilterChain
Security Filter是通过FilterChainProxy而不是DelegatingFilterProxy注册进SecurityFilterChain的。通过FilterChainProxy注册有很多优势:

  1. spring securityServlet提供了一个起点;比如你想对Servlet做故障排查,可以在FilterChainProxy打断点。
  2. 其次,由于FilterChainProxySpring Security使用的中心,它可以执行那些额外的任务。例如,它清除SecurityContext以避免内存泄漏。它还应用了Spring SecurityHttpFirewall来保护应用程序免受某些类型的攻击;
  3. FilterChainProxy在确定何时应该调用SecurityFilterChain方面提供了更大的灵活性。在Servlet容器中,仅根据URL调用过滤器。然而,FilterChainProxy可以通过利用RequestMatcher接口来决定基于HttpServletRequest中的任何调用;
  4. FilterChainProxy可以用来决定使用哪个SecurityFilterChain,这样可以为应用程序的不同部分提供完全独立的配置。

在多重SecurityFilterChain图中FilterChainProxy决定应该使用哪个SecurityFilterChain。只有第一个匹配的SecurityFilterChain将被调用。如果接收到的URL请求为/api/messages/,它将首先匹配SecurityFilterChain 0的模式/api/**,所以只有SecurityFilterChain 0将被调用,即使它也匹配SecurityFilterChain n。如果URL/messages/,它将不匹配SecurityFilterChain 0的模式/api/**,所以FilterChainProxy将继续尝试每个SecurityFilterChain。假设没有其他匹配的实例,SecurityFilterChain n会被调用。
注意,SecurityFilterChain 0只配置了三个安全过滤器实例。然而,SecurityFilterChain n配置了四个安全过滤器。重要的是要注意,每个SecurityFilterChain都可以是唯一的,并且可以单独配置。事实上,如果应用程序希望Spring security忽略某些请求,SecurityFilterChain可能没有安全过滤器。

5.常见Security Filters(按顺序)

Filter用途
ChannelProcessingFilter用于通道处理的
WebAsyncManagerIntegrationFilter异步集成
CorsFilter跨域资源共享
CsrfFilter处理跨域站点伪造
LogoutFilter注销
CorsFilter跨域资源共享
OAuth2AuthorizationRequestRedirectFilterOAuth2认证请求重定向
X509AuthenticationFilterX509证书认证
UsernamePasswordAuthenticationFilter用户名密码认证
ConcurrentSessionFilter并发会话
BearerTokenAuthenticationFilterBearer令牌认证
RememberMeAuthenticationFilter记住我认证
AnonymousAuthenticationFilter匿名认证
ExceptionTranslationFilter异常转移
SwitchUserFilter切换用户
Spring security 自定义多条过滤链
qq_23011719的博客
07-31 893
Spirng security 过滤链
深入 Spring Security 6:从底层机制到动态模块化配置
秋雨 De Blog
05-28 1019
摘要:本文深入剖析SpringSecurity 6.x底层架构,重点解析FilterChainProxy与SecurityFilterChain的协作机制,以及"Builder+Configurer"设计模式。通过模块化拆分示例,论证基于多个SecurityConfigurer实现动态配置的优势:1)避免单一配置类臃肿,符合单一职责原则;2)支持@ConditionalOnMissingBean实现零代码功能覆盖;3)通过addFilterBefore精确控制过滤器顺序;4)便于微服务场
Spring Security】安全过滤链
最新发布
m0_72516377的博客
10-19 573
Spring Security通过安全过滤链实现认证与授权机制,核心是一条Servlet过滤器链。请求进入时,DelegatingFilterProxy将过滤任务转交给FilterChainProxy,后者根据URL匹配对应的SecurityFilterChain并执行15+内置过滤器(如WebAsyncManagerIntegrationFilter处理异步安全上下文,SecurityContextHolderFilter管理认证信息生命周期)。每条链可配置不同安全策略,过滤器依次处理认证、授权、CSRF
Spring Security 的工作原理/总体架构
swadian2008的博客
07-20 1776
这些过滤器的排序是Spring官方提供的,后来Spring可能觉得这样展示的意义不大,删去了这部分内容, 补充了一些从日志查看过滤器加载顺序的说明。//首先说,这里就是 Spring Security 的工作原理,重中之重,非常重要,虽然讲的是一个异常过滤器,但是实际上是一个执行流程。// 在Spring 中,Spring 管理过滤器的生命周期,所以 Filter 实例也是 Spring 中的一个Bean。//见名知意,过滤器链的代理 FilterChainProxy 中会持有过滤器链的对象。
详解SpringSecurity中的Filter Chain
java永无止境!
06-21 1542
Filter Chain即过滤器链,它是一系列过滤器的集合,每个过滤器负责处理不同的安全逻辑。当一个请求到达Spring应用程序时,它会被Filter Chain中配置的一系列过滤器依次处理,每个过滤器执行它特定的任务。你还可以创建自定义的过滤器来扩展Spring Security,以满足特定的安全需求。自定义过滤器可以通过实现接口来创建,然后你需要将这个自定义过滤器注册到Spring Security的Filter Chain中去。@Override// 自定义逻辑。
springsecurityspringSecurityFilterChain
hepei120的专栏
06-03 6821
如果在web项目中增加springsecurity作为你的登录认证授权框架,那么第一步就需要在web.xml 增加如下配置         <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filt...
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 869
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
责任链模式在spring security过滤器链中的应用
github_38727595的博客
11-26 1382
责任链模式在spring security过滤器链中的应用,自定义过滤器的实现
SpringSecurity中的过滤器链与自定义过滤器
pan_junbiao的博客
12-30 1290
Spring Security 中的过滤器链(Filter Chain)是一个核心的概念,它定义了一系列过滤器,这些过滤器按照特定的顺序处理HTTP请求,并负责执行各种安全任务,如身份验证、授权、CSRF 保护等。过滤器链是由多个过滤器组成的链式结构,请求依次经过每个过滤器,每个过滤器可以决定是否继续传递请求。此外,Spring Security 还允许开发人员自定义过滤器,并将其添加到安全过滤器链中。这使得可以根据特定的业务需求,扩展安全过滤器链的功能。
SpringSecurity(十二)过滤器链分析(上)
陈橙橙
03-16 2215
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器链。因为Spring Security中的所有功能都是通过过滤器链来实现的,这些过滤器组成一个完整的过滤器链。那么这些过滤器链是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
Spring Security架构中过滤器的实现
静水深流
05-29 1289
Spring Security过滤器机制详解:从基础到自定义实现。文章系统梳理了过滤器链工作原理,包括Jakarta EE规范变更后的接口路径调整。重点解析了内置过滤器(如BasicAuthenticationFilter、CsrfFilter)的功能与配置方式,以及通过order值控制执行顺序的机制。最后详细演示了自定义过滤器的开发过程,展示如何实现请求头校验等安全逻辑。全文涵盖过滤器链的动态特性、典型配置模式及深度定制方法,为构建灵活的安全方案提供实践指导。
Spring Security过滤链的使用
xy5489的博客
12-24 299
在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api/api/**这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/**这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
WayneHu的博客
12-20 5496
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
spring security的过滤器链
LCY133的博客
03-28 1199
请求按过滤器链的顺序依次通过每个过滤器,每个过滤器可选择处理请求或传递给下一个过滤器。理解过滤器链的组成和执行逻辑,是调试安全问题和实现复杂安全需求的关键。:当某个过滤器处理完请求并直接返回响应时,后续过滤器不再执行。Spring Security 的安全功能通过一系列。捕获异常 → 触发登录页跳转或返回 403。Spring Security 的过滤器链通过。最终验证权限 → 若未授权则抛出。提取凭证并认证 → 存储。
Spring Security(六)—SpringSecurityFilterChain加载流程深度解析
热门推荐
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤器链,前文《Spring Security(四)–核心过滤器源码分析》 中我们分析了 SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
创建Spring Security Filter Chain
m13012606980的专栏
10-09 906
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
SpringSecurityFilterChain
Claroja
03-22 388
Security Filter 在SecurityFilterChain中是Beans,通过FilterChainProxy代理来注册. 在普通的Servlet container中,Fitler只能通过url来调用.而FilterChainProxy则可以通过RequestMatcher接口,来实现灵活调用. 参考: https://docs.spring.io/spring-security/site/docs/5.4.5/reference/html5/#servlet-securityfilt
Spring Security-部分官方文档翻译以及思考-SecurityFilterChain
渡鸦的博客
07-10 928
Spring Security-部分官方文档翻译以及思考-SecurityFilterChain
spring security filterchain
07-27
Spring SecurityFilterChain是一个过滤器链,用于处理请求并进行安全验证。它由多个过滤器组成,每个过滤器负责不同的安全功能。\[1\] 在Spring Security中,FilterChainProxy是一个关键的类,它负责管理和调度整个过滤器链。它的bean名称通常是springSecurityFilterChain。\[2\] FilterChainProxy包含了多个filterChains,每个filterChain都是一个SecurityFilterChain对象,它包含了一组过滤器。\[3\] 通过配置和定制filterChains,我们可以实现不同的安全策略和访问控制规则。默认情况下,Spring Security提供了一组常见的安全过滤器,按照特定的顺序进行处理。这些过滤器包括身份验证过滤器、授权过滤器、会话管理过滤器等。\[1\] 总之,Spring SecurityFilterChain是一个关键的组件,它通过FilterChainProxy来管理和调度一组过滤器链,用于处理请求并进行安全验证。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Spring Security过滤链FilterChain](https://blog.youkuaiyun.com/Jianyang_usst/article/details/121381839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Spring Security原理之springSecurityFilterChain](https://blog.youkuaiyun.com/agonie201218/article/details/109620161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值