Web应用中的 Spring Security 要点笔记

最新推荐文章于 2023-07-25 15:47:15 发布
原创 最新推荐文章于 2023-07-25 15:47:15 发布 · 520 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Spring Security中Filter机制的工作原理,包括Filter的注册、排序及FilterChainProxy的内部结构。阐述了如何通过FilterChainProxy管理多个Filter链,并解释了DelegatingFilterProxy与FilterChainProxy之间的关系。

在一个使用了Spring Security 的 Web 应用中,安全目标的达成基于 Servlet规范的Filter机制 :

  • 客户端对应用发起请求,容器基于请求URI决定应用哪个servlet和哪些filters
  • 每个请求最多由某一个servlet处理 ;
  • 所有要应用的filter按照特定顺序形成一个链;
    • Filter顺序的决定
      • Filter bean定义通过使用注解@Order或者实现接口Ordered
      • FilterRegistrationBean API 本身有顺序属性;
  • 链中的某个filter如果想自己处理请求,甚至可以否决链的其他部分;
  • 某个filter可以修改请求/响应对象;

Web容器角度,整个Spring Security安全机制是封装为一个Filter存在的,而不是多个Filter

  • 该安全filter的实现类为FilterChainProxy;
  • 该安全filter是一个以bean的形式缺省被安装;
  • Web容器角度看,FilterChainProxy是一个filter,但其内部是一个filter chain,有多个filter;
  • 实际上在FilterChainProxy之上还有一层DelegatingFilterProxy
    • DelegatingFilterProxy不一定是一个 bean,FilterChainProxy总是一个bean;
    • DelegatingFilterProxy把实际工作交给FilterChainProxy来做;
  • FilterChainProxy的名字总是叫做springSecurityFilterChain;
  • FilterChainProxy包含了所有的安全逻辑,内部组织为一个filter chain;
    • 所有这些内部的安全filter也都实现了Servlet规范中标准的Filter接口;
  • FilterChainProxy可以管理多个filter chain,这些对容器是透明的;
  • FilterChainProxy发请求派发给第一个匹配的filter chain来处理;

一个使用了Spring SecuritySpring Boot Web应用,其FilterChainProxy filter中通常会有包含若干个filter chain,这里我们假定有n个 :

  • n-1filter chain通常用来忽略静态资源,比如分别对应/css/**,/images/**,error view /error等;
  • 最后一个用来匹配/**,其中包含了认证,授权,异常处理,会话处理,头部写入等等主要安全逻辑。
    • 缺省情况下这个filter chain包含多个filter,一般情况下用户不需要关注它们是什么,什么时候用。

Spring Boot Web应用中,FilterChainProxy bean由安全配置类WebSecurityConfiguration创建 :

  • 整个应用对应一个 WebSecurity 实例,代表整个应用所有的Web安全配置;
  • WebSecurity 实例 对应多个 WebSecurityConfigurer 实例 ;
    • 每个WebSecurityConfigurer 实例对应一个HttpSecurity实例;
  • WebSecurityConfiguration 使用上面的 WebSecurity 创建bean FilterChainProxy springSecurityFilterChain;
    • WebSecurity::build() 创建并返回了类型为 FilterChainProxy 对象;
    • 每个 WebSecurityConfigurer 实例对应生成 FilterChainProxy中的一个filter chain;
    • 每个web.ignoring().antMatchers()调用对应生成 FilterChainProxy中的一个filter chain;

官方参考资料:Spring Security Architecture

csrf漏洞防御方案_SpringSecurity框架下实现CSRF跨站攻击防御
weixin_39867296的博客
12-21 336
一、什么是CSRF很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问。CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。当我们使用Spring Secu...
spring boot 学习笔记 (18)使用 Security 进行安全控制
bihansheng2010的博客
02-15 8188
Spring Security 介绍 Spring Security 是一个能够基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC、DI(控制反转 Inversion of Control,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)...
Spring Security 安全框架概述 与 快速入门
蚩尤后裔-汪茂雄
03-28 9924
目录 Spring Security 概述 Features(特性) 认证 &授权 Web &安全 快速使用 新建 spring boot 应用 新建页面与默认账号访问测试 application.yml 自定义默认账号与密码 内存用户认证与授权 UserControler 控制层访问 认证与授权 Spring Security 概述 1、Java w...
SpringSecurity的简单入手
zhk
06-16 2053
SpringSecurity的简单入手
WebSecurityConfig 设置忽略拦截
nayi_224的博客
08-17 4285
这是官方文档给出的基本配置,默认会拦截所有路径 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.co
SpringSecurity入门学习(1)
Symon的博客
07-21 1926
目录 SpringSecurity简介 SpringSecurity初体验 1.新建项目 2.添加测试内容 3.启动测试 4.配置登录用户 SpringSecurity配置自定义登录页面 1.配置多个登录用户 2.配置自己的登录页面 SpringSecurity前后端分离 1.登陆处理 2.注销处理 3.未登录处理 4.编程测试 SpringSecurity授权 1.给用户添加角色 2.准备测试资源 3.给资源配置访问权限 4.测试 5.权限继承(角色继承) 6.无
SpringSecurity web.ignoring()不起作用分析
c630843901的博客
07-25 1870
虽然在WebSecurity.ignoring().antMatchers()中配置了自己要放行的地址,但是我定义了自定义的过滤器。然而自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。请注意如若只在自己的过滤器中设置白名单还不行,因为请求还会走SpringSecurity的过滤器链,必须两边都配置。如果只想配置一边,可以在自己过滤器放行请求时,直接给本次请求设置一个默认的认证身份。
精选资源
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
深入浅出Spring Security学习要点
Spring Security是Java领域中广泛使用的一个开源安全框架,主要用于为基于Spring应用程序提供安全的访问控制。通过阅读标题《Spring Security笔记.rar》和描述《Spring Security学习笔记》,以及标签“Spring 安全...
尚硅谷Spring Boot课堂笔记要点解析
资源摘要信息:"尚硅谷Spring Boot课堂笔记" 知识点一:Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是简化新Spring应用的初始搭建以及开发过程。它使用了特定的方式来配置Spring,从而使...
深入理解Spring框架笔记要点
- Spring提供了基础的Web开发支持,包括构建Web应用程序的上下文和Web层的MVC框架。 - Spring MVC框架是构建Web应用程序的一个全功能MVC实现,允许将请求映射到控制器方法并返回模型和视图。 8. Spring Boot - ...
Spring 2.0核心要点学习笔记总结分享
- Spring Security(原名Acegi)是为Java应用提供安全解决方案的框架,它已被集成到Spring 2.0中。 - 了解如何配置认证和授权机制,包括用户认证、角色授权和访问控制列表(ACL)。 - 掌握如何使用Spring ...
spring-boot整合spring-security实现简单登录(ajax登录实现)
会飞的老王博客
10-24 1万+
个人技术网站 欢迎关注 平常再做一些项目时,有些项目并不需要复杂的登录权限验证 只需要简单登录权限验证(保证安全可靠的前提下),找来找去只有spring-security最适合不过了,在spring-boot下配置简单 便捷 快速 能满足基本的登录权限控制需求。 第一步:引入spring-security maven依赖 <!-- 整合spring security --> &...
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 2万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
eureka配置踩坑
qq_40874150的博客
04-07 668
eureka配置踩坑 一.注册中心配置 pom.xml文档中jar包的引入 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</artif...
SpringSecurity自定义Filter的ignoring()失效问题源码分析
大张
07-22 2318
忽略SpringBoot启动流程中服务器是如何将Spring的Filter加载进来和过滤的流程。下图简要概括了Secutiry的Filter和SpringFilter的Bean的关系源码太多,流程太复杂繁琐,过了一些主要的代码和主干。遇到了问题发现没有人在源码上分析原因,花了一天时间简要的概括了一下。httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.............................................
Springboot+Springsecurity开启csrf跨站请求防护
Nirvana069的博客
11-16 2326
如果配置了springsecrity,默认是开启的,不过大多是项目为了便利,往往会在配置中将其关闭的, .csrf().disable() 不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。 配置文件中(WebSecurityConfig)将 .csrf().disable()改为 .csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepositor
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4950
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值