Spring security ---Filter的使用

最新推荐文章于 2025-05-28 07:28:19 发布
转载 最新推荐文章于 2025-05-28 07:28:19 发布 · 1.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.spring4all.com/article/422

本文深入探讨了Spring Security中各种过滤器的作用与配置方法,包括自定义过滤器的实现及在过滤链中的位置设定,为读者提供了全面的安全框架理解。
类名称Namespace Element or Attribute
ChannelProcessingFilterhttp/intercept-url@requires-channel
SecurityContextPersistenceFilterhttp
ConcurrentSessionFiltersession-management/concurrency-control
HeaderWriterFilterhttp/headers
CsrfFilterhttp/csrf
LogoutFilterhttp/logout
XAuthenticationFilterhttp/X509
AbstractPerAuthenticatedProcessingFilterN/A
CasAuthenticationFilter N/A
UsernamePasswordAuthenticationFilterhttp/from-login
BasicAuthenticationFIlterhttp/from-basic
SecurityContextHolderAwareRequestFilterhttp/@servlet-api-provision
JaasAoilntegrationFilterhttp/@jaas-api-provision
RememberMeAuthenticationFilterhttp/remeber-me

AnonymousAuthenticationFilter

http/anonymous

SessionManagementFiltersession-management
ExceptionTranslationFilterhttp
FilterSecurityInterceptorhttp
SwitchUserFIlter

N/A

*****************过滤器的顺序从上到下

自定义过滤器方法:

public class BeforLoginFilter extends GenericFilterBean{

    public void doFilter(ServletRequest servletRequest,ServletResponse servletResponse,FilterChain filterChain) throws IOException ServletException{
        //调用Filter 链  .....
        filter.doFilter(servletRequest,servletResponse);
    }
            
}

配置自定义过滤器Filter在Spring Security 过滤链中的位置

protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/user/**").hasRole("USER")
                .and()
                .formLogin().loginPage("/login").defaultSuccessUrl("/user")
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login");

        // 在 UsernamePasswordAuthenticationFilter 前添加 BeforeLoginFilter
        http.addFilterBefore(new BeforeLoginFilter(), UsernamePasswordAuthenticationFilter.class);

        // 在 CsrfFilter 后添加 AfterCsrfFilter
        http.addFilterAfter(new AfterCsrfFilter(), CsrfFilter.class);
    }

HttpSecurity有三个常用方法来定义Filter 

  •    addFilterBefore(Filter filter,CLass<? extends Filter> beforeFilter) 在beforeFilter之前添加filter
  • addFilterAfter(Filter filter,Class<? extends Filter> afterFilter) 在 afterFilter 之后添加filter
  • addFilterAt(Filter filter, Class<? extends Filter> atFilter) 在atFilter相同的位置添加FIlter ,此Filter 不覆盖Filter
SpringSecurity实现过滤器
冲出仁川,走出马德里,故事还会再继续
02-24 3489
SpringSecurity实现过滤器1、概述2、Spring Security架构中实现过滤器3、在过滤器链中现有过滤器之前添加过滤器3.1 实现一个自定义过滤器3.2 在身份验证之前配置自定义过滤器3.3 控制器类3.4 测试4、在过滤器链中已有的过滤器之后添加过滤器4.1 定义一个过滤器来记录请求4.2 在过滤器链中的现有过滤器之后添加自定义过滤器4.3 测试5、在过滤器链中另一个过滤器的位置添加一个过滤器5.1 StaticKeyAuthenticationFilter类的定义5.2 将过滤器添加到
Spring Boot+Spring Security:自定义Filter
weixin_45863786的博客
03-16 2135
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 编码思路 怎么在Spring Security中的...
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
SpringSecurity之添加过滤器
xkshihaoren的博客
11-28 4898
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security对过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
SpringSecurity(四)——自定义数据源(Filter
老程的小白博客空间
02-11 1612
本篇笔记记录用户自定义拦截器(Filter),这里仅举一个自定义登录拦截器的栗子。
01-SpringSecurity-Demo.zip
09-18
此外,配合博主的Spring全家桶之SpringSecurity的博文阅读,可以更系统地学习SpringSecurity的配置、使用和最佳实践,从而提升你在安全领域的专业技能。记住,实践是检验理论的最好方式,动手操作这些示例代码,将是...
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2904
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring security-包含官方文档
10-24
3. **拦截器和过滤器链**:Spring Security 的核心是Filter Security Interceptor 和 Channel Security Interceptor。前者处理基于URL的安全控制,后者处理HTTP通道的安全性,如强制HTTPS。 4. **表达式语言**:...
tut-spring-security-and-angular-js:Spring Security 和 Angular JS
06-14
2. **过滤器链**: Spring Security的核心是基于过滤器的Security Filter Chain,它拦截HTTP请求并执行相应的安全逻辑,如身份验证和授权。 3. **配置**: 可通过XML或Java配置来定制Spring Security的行为,包括定义...
Spring Security OAuth2】- spring security - 基本原理
smart_an的专栏
10-07 1099
这里会判定该请求是否能进行访问rest服务;判断的依据是:BrowserSecurityConfig中的配置;如果被拒绝了就会抛出不同的异常(根据具体的原因)。Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示注意的是:绿色的过滤器可以配置是否生效,其他的都不能控制;以上就是security最基本的一个原理,其他的衍生的功能都是基于这个架子进行扩展的。
Spring Security addFilter() 顺序问题
热门推荐
猫吻鱼的博客
11-02 4万+
文章目录1. 分析0. FilterComparator1. HttpSecurity#addFilterAt1.1 `this.comparator.registerAt(filter.getClass(), atFilter);`1.2 `HttpSecurity#addFilter(Filter filter)`2. 总结: 1. 分析 在上面Spring Security + Jwt...
spring security 3 auto-config=“true”
04-21 1189
SecurityContextPersistenceFilter LogoutFilter UsernamePasswordAuthenticationFilter BasicAuthenticationFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter Anonymous
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
WayneHu的博客
12-20 5497
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
SpringSecurity权限管理框架系列(七)-SpringSecurity自定义配置类中自定义Filter使用详解
最爱嫣夜来
03-26 4786
1、Filter请求过滤器 filter请求过滤器可以帮助我们进行HttpServletRequest请求和HttpServletResponse响应的过滤 在自定义的Filter过滤器中我们可以对我们的请求进行过滤, 同时也可以对返回的相应进行处理,在方法中实现我们自定义的业务逻辑处理,这是很常见的需求,下面说说spring security框架中怎么是怎么搭配自定义Filter过滤器来使用的。 2、自定义Spring Security配置类中添加自定义Filter 2.1 自定义Filter类 pac
Spring Security 入门:自定义 Filter
baidu_38116275的博客
04-23 7409
本文解决问题将自定义的 Filter 加入到 Spring Security 中的 Filter 链中的指定位置。Spring Security 默认的过滤器链官网位置:http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters别名类名称Namespace Elem...
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 4781
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
Spring Security
Java—wang的博客
08-04 194
<dependencies> <dependency> <groupId>com.atguigu</groupId> <artifactId>common_utils</artifactId> <version>0.0.1-SNAPSHOT</version> </dependency> <!-...
9. Spring Security Filter
一个人的人生
11-29 867
Filter 目录 1.1     Filter顺序 1.2     添加FilterFilterChain 1.3     DelegatingFilterProxy 1.4     FilterChainProxy 1.5     Spring Security定义好的核心Filter 1.5.1    FilterSecurityInterceptor 1.5.2    E
Spring Security过滤器链中自定义过滤器的实现与应用
最新发布
静水深流
05-28 1417
本文介绍了Spring Security中通过addFilterAt()方法在过滤器链特定位置插入自定义认证过滤器的机制。重点分析了三种典型替代方案:静态头值认证、对称密钥签名认证和动态口令认证,并给出静态密钥认证的完整实现示例。文章详细说明了StaticKeyAuthenticationFilter的核心认证逻辑及安全配置集成方法,强调了生产环境中的密钥安全管理要求。此外,还介绍了框架提供的GenericFilterBean和OncePerRequestFilter等增强基类特性,建议在日志记录等场景优先
哪些maven包 依赖 spring-security-core
03-20
### 查找依赖于 `spring-security-core` 的 Maven 包 为了找到依赖于 `spring-security-core` 的 Maven 包,可以利用 Maven Central Repository 或其他类似的工具来查询这些信息。以下是具体方法: #### 使用 Maven Dependency 插件分析项目中的传递依赖关系 如果已经在本地有一个包含 `spring-security-core` 的项目,则可以通过运行以下命令查看项目的传递依赖项: ```bash mvn dependency:tree ``` 这会显示整个项目的依赖树结构,其中包括哪些库间接引入了 `spring-security-core`[^1]。 #### 利用在线资源查找特定依赖的使用者 Maven 中央仓库提供了反向依赖功能 (Reverse Dependencies),可以直接访问中央存储库页面并输入目标模块名称进行搜索。对于本例来说,可前往地址如下链接寻找相关信息: https://search.maven.org/search?q=tc:spring-security-core 上述 URL 将返回所有声明过直接或者间接依赖该组件的构件列表[^2]。 另外还可以借助像 [ClassGraph](http://classgraph.github.io/) 这样的第三方类扫描器程序来自动生成报告文件;它能够识别出应用程序加载路径下的所有 jar 文件及其内部条目详情表单形式呈现出来供进一步筛选处理之需[^3]。 ```java // Example Code Showing How To Use ClassGraph API In Java Project. import io.github.classgraph.*; try (ScanResult scanResult = new ClassLoaderParser().scan()) { Set<String> jarsDependingOnSpringSecurityCore = scanResult.getAllJars() .stream() .filter(jar -> jar.containsPackage("org.springframework.security.core")) .map(Jar::getPath) .collect(Collectors.toSet()); System.out.println("The following JARs depend on spring-security-core:"); jarsDependingOnSpringSecurityCore.forEach(System.out::println); } catch (IOException e) { throw new RuntimeException(e); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值