Spring Security(一) 前言

最新推荐文章于 2025-06-14 00:05:33 发布
原创 最新推荐文章于 2025-06-14 00:05:33 发布 · 348 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

SpringSecurity作为Spring家族的重要成员,凭借其强大的认证和授权能力及与其他Spring项目无缝集成的特点,在微服务安全领域占据重要地位。其架构设计清晰地将认证与授权分离,并通过FilterChainProxy灵活地管理多种过滤器。

Spring Security

Spring Security,作为spring 家族的一员,在和 Spring 家族的其他成员如 Spring Boot Spring Clond等进行整合时,具有其他框架无可比拟的优势,同时对 OAuth2 有着良好的支持,再加上Spring Cloud对 Spring Security的不断加持(如推出 Spring Cloud Security ),让 Spring Securiy 不知不觉中成为微服务项目的首选安全管理方案。所以学习起来是很有必要的。

整体架构

在Spring Security的架构设计之中,认证授权是分开的,也就是说无论采用何种认证方式,都不会影响授权

Spring Security 的过滤链机制

官网上有层层递进的详解,这里就只记述SecurityFilterChain。 SecurityFilterChain是Spring security真正执行认证授权的接口,它只有一个默认实现类DefaultSecurityFilterChain。这个类初始化是从HttpSecurity的build而来。
图片来源官网
Security 通过 FilterChainProxy 注册进 SecurityFilterChain。对于这样注册有几点好处:

  1. 为spring security的Servlet提供了一个起点;比如你想对Servlet做故障排查,可以在FilterChainProxy添加调试点 。
  2. 其次,由于FilterChainProxy是Spring Security使用的中心,它可以执行那些额外的任务。例如,它清除SecurityContext以避免内存泄漏。它还应用了Spring Security的HttpFirewall来保护应用程序免受某些类型的攻击;
  3. FilterChainProxy在确定何时应该调用SecurityFilterChain方面提供了更大的灵活性。在Servlet容器中,仅根据URL调用过滤器。然而,FilterChainProxy可以通过利用RequestMatcher接口来决定基于HttpServletRequest中的任何调用;
    FilterChainProxy可以用来决定使用哪个SecurityFilterChain,这样可以为应用程序的不同部分提供完全独立的配置。

还有多重SecurityFilterChain
图片来源官网

过滤器完整列表(按顺序):

ForceEagerSessionCreationFilter
ChannelProcessingFilter
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CorsFilter
CsrfFilter
LogoutFilter
OAuth2AuthorizationRequestRedirectFilter
Saml2WebSsoAuthenticationRequestFilter
X509AuthenticationFilter
AbstractPreAuthenticatedProcessingFilter
CasAuthenticationFilter
OAuth2LoginAuthenticationFilter
Saml2WebSsoAuthenticationFilter
UsernamePasswordAuthenticationFilter
OpenIDAuthenticationFilter
DefaultLoginPageGeneratingFilter
DefaultLogoutPageGeneratingFilter
ConcurrentSessionFilter
DigestAuthenticationFilter
BearerTokenAuthenticationFilter
BasicAuthenticationFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
JaasApiIntegrationFilter
RememberMeAuthenticationFilter
AnonymousAuthenticationFilter
OAuth2AuthorizationCodeGrantFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor
SwitchUserFilter

Spring Boot 安全性:使用 Spring Security 实现用户认证与权限管理!
**My Coding Family**
04-27 1349
🏆 本文精选收录于《滚雪球学SpringBoot》专栏,专为零基础学习者量身打造。从Spring基础到项目实战,手把手带你掌握核心技术,助力你快速提升,迈向职场巅峰,开启财富自由之路🚀!无论你是刚入门的小白,还是已有基础的开发者,都能在这里找到适合自己的学习路径!    🌟 关注、收藏、订阅,持续更新中!和我们起高速成长,突破自我!💡
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 7063
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
Spring Security 多过滤链的使用
huan的学习记录
07-14 1084
、背景 在我们实际的开发过程中,有些时候可能存在这么些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/** 这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。 二、需求 1、给客户端使用的api 拦截 /api/**所有的请求。 /api/**的所有请求都需要ROLE_ADMIN的角色。 从请求头中获取 token,只要获取到token的值,就
【坚如磐石】文带你理解Spring Security认证环节
不堪提
09-26 3690
本文介绍了Spring Security框架的核心功能与工作原理。作为Spring家族的安全框架,Spring Security提供认证、授权和漏洞保护三大功能,通过系列过滤器链实现安全控制。文章重点解析了DelegatingFilterProxy作为连接原生过滤器与Spring Security过滤器的"胶水"角色,以及FilterChainProxy如何通过SecurityFilterChain调用具体安全过滤器。作者通过源码分析揭示了Spring Security的底层实现机制,
SpringSecurity 源码分析之SecurityFilterchain的构建
mingtiandexia的专栏
03-28 4800
基本原理 spring security通过系列filter来对请求进行拦截 网上个比较好的图 由于是filterChain,因此如果我在FilterSecrutiyInterceptor,即最后个过滤器上打断点,定能够通过debug的方式来得到整个过滤器链条 在最后个filter.doFilter方法上打个断点, 得到整个filterChain,进步验证了上面图的正确性。 ...
Springboot +spring security,使用过滤器方式实现验证码功能
weixin_40991408的博客
05-23 889
Springboot +spring security,使用过滤器方式实现验证码功能
深入浅出SpringSecurity和OAuth2()—— 初识SpringSecurity
你要悄悄的拔尖,然后惊艳所有人
07-27 3344
文章目录前言正文1. 初识SpringSecurity2. Spring Security项目核心jar包介绍3. SpringSecurity核心注解3.1 @EnableWebSecurity3.2 @EnableGlobalMethodSecurity总结参考 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是知半解,也仅仅是实现了某些功能、某些效果而已,
【读源码】SpringSecurity为什么要这么配置?SpringSecurity判断登录源码解读
就很有趣的博客
05-10 1051
SpringSecurity判断登陆状态源码解读!
滚雪球学SpringCloud[8.1讲]:OAuth2与Spring Security详解
**My Coding Family**
09-22 1301
在上期【7.3 分布式事务管理】中,我们讨论了微服务架构下的数据致性问题,重点介绍了如何通过Saga模式、TCC模式等方式来保证分布式系统中的事务管理。而在分布式系统中,安全性同样是关键问题之。随着系统的扩展,如何保证用户和服务的安全认证、如何确保用户访问受保护资源的合法性成为重要挑战。本期【8.1 OAuth2与Spring Security】将聚焦于如何使用OAuth2协议和Spring Security框架,来确保微服务系统的安全。
SecurityFilterChain相关的配置和示例说明
闫小甲的专栏
09-11 1488
最近在做技术升级工作,Spring Boot 2.x升级Spring Boot 3.x自然也就涉及到SecuritySecurity5.x升级Security6.x)`SecurityFilterChain`相关的配置和示例说明。
SpringBoot Security使用
qq_31665193的博客
04-11 1616
文章目录Spring Boot Security 介绍、pandas是什么?二、使用步骤1.引入库2.读入数据总结 Spring Boot Security 介绍 Spring Security 是通过层层 Filter 来处理 web 请求的 在 Filter 组成的链条中,逐步完成认证和授权,发现异常则抛给异常处理器处理 过滤器链中的核心概念 springSecurityFilterChain Spring Security 的核心过滤器叫 springSecurityFilterCha
Spring Security 中的 SecurityFilterChain 深度解析
最新发布
csdn_tom_168的博客
06-14 1786
Spring Security 6中,SecurityFilterChain取代了传统的WebSecurityConfigurerAdapter,成为安全配置的核心接口。它作为安全规则容器,定义HTTP请求的授权规则、认证方式及安全过滤器链,支持多条链共存并通过order排序。相比5.x版本,6.x采用定义Bean方式配置,新增requestMatchers方法,支持HTTP方法级权限控制。配置示例展示了多链协同工作场景,包括公开接口、管理后台和全局配置。迁移时需注意移除@EnableWebSecurity
Spring SecuritySecurityFilterChain的选择与执行流程()
欢谷悠扬
07-07 2375
1.FilterChainProxy去找过滤器链去了~ FilterChain 是过滤器链,我好像之前直说的拦截器链(尴尬) 在上篇中,我们知道FilterChainProxy 拿到了三条过滤器链,那FilterChainProxy如何根据请求去选择呢? 每个SecurityFilterChain都有个RequestMatcher 匹配器,这个匹配器中可以放置多个url或者通配符表达式进行匹配,匹配成功就直接返回这个过滤器链的过滤器集合。 所以SecurityFilterChain其实也不是过滤器
SpringSecurity 是如何使用Filter的
qq_29597223的博客
10-24 379
有了前文 SpringWeb Filter演变基础, 我们再来分析SpringSecurity的实现。在比较低版本的 Spring 开发中使用 SpringSecurity 肯定见到过 web.xml 中的这段配置 Servlet 3.0 虽然看不到上面这段配置,但是它是通过web容器启动时动态配置的,主要代码摘录: onStartup 在容器启动时被调用,然后调用 insertSpringSecurityFilterChain 方法,在调用 registerFilters 方法实现了与xml配置相同的效
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
WayneHu的博客
12-20 5547
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
Spring Security框架全面解析与应用实践
静水深流
05-25 1033
摘要: Spring Security的核心架构基于Servlet过滤器链,通过DelegatingFilterProxy和FilterChainProxy实现安全处理。它支持多种客户端类型,提供CSRF防护、基础认证等内置功能,并允许细粒度安全配置。Spring Boot集成后自动配置默认安全规则,包括随机密码生成和BCrypt加密。核心过滤器如CsrfFilter、BasicAuthenticationFilter和AuthorizationFilter分别处理跨站防护、认证与授权流程。开发者可通过Ht
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 2294
Security Filter ChainSpring Security的Web模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从个web客户端或者是ajax应用发出的。Spring Secur
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值