Spring Security Web : SecurityFilterChain 安全过滤器概念模型

最新推荐文章于 2025-10-19 20:32:34 发布
原创 最新推荐文章于 2025-10-19 20:32:34 发布 · 7.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

SecurityFilterChain是Spring Security Web中的核心组件,用于抽象建模一组针对特定HTTP请求的安全过滤器。它由FilterChainProxy在配置阶段使用,并在请求到达时决定应用哪个SecurityFilterChain。DefaultSecurityFilterChain是其标准实现,包含请求匹配器和一组过滤器。

SecurityFilterChain,字面意思"安全过滤器链",是Spring Security Web对匹配特定HTTP请求的一组安全过滤器的抽象建模。这样的一个对象在配置阶段用于配置FilterChainProxy,而FilterChainProxy在请求到达时会使用所持有的某个SecurityFilterChain判断该请求是否匹配该SecurityFilterChain,如果匹配的话,该SecurityFilterChain会被应用到该请求上。

FilterChainProxySpring Security Web添加到Servlet容器用于安全控制的一个Filter,换句话讲,从Servlet容器的角度来看,Spring Security Web所提供的安全逻辑就是一个Filter,实现类为FilterChainProxy。而实际上在FilterChainProxy内部,它组合了多个SecurityFilterChain,而每个SecurityFilterChain又组合了一组Filter,这组Filter也实现了Servlet Filter接口,但是它们对于整个Servlet容器来讲是不可见的。在本文中,你可以简单地将FilterChainProxy理解成多个SecurityFilterChain的一个封装。

SecurityFilterChain接口其实就定义了两个方法 :

  • 判断某个请求是否匹配该安全过滤器链 – boolean matches(HttpServletRequest request)
  • 获取该安全过滤器链所对应的安全过滤器 – List<Filter> getFilters()

    这组安全过滤器会最终被应用到所匹配的请求上

SecurityFilterChain接口定义看不到一个SecurityFilterChain对象是如何提供请求匹配的标准的。Spring Security WebSecurityFilterChain提供了缺省的标准实现DefaultSecurityFilterChain,从DefaultSecurityFilterChain的实现,你能全面地看到Spring Security Web在该功能点上的解决方案。

一个DefaultSecurityFilterChain对象定义时需要提供以下信息 :

  • 一个用于匹配特定请求的请求匹配器requestMatcher;
  • 针对所匹配的请求要应用的一组过滤器。

SecurityFilterChain/DefaultSecurityFilterChain代码都不算复杂,但是做到了向使用者Servlet容器屏蔽细节,这也算是软件工程中"关注点分离"这一概念的良好应用。

源代码

源代码版本 : Spring Security Web 5.1.4 RELEASE

1. SecurityFilterChain接口定义

package org.springframework.security.web;

import javax.servlet.Filter;
import javax.servlet.http.HttpServletRequest;
import java.util.*;


public interface SecurityFilterChain {

	boolean matches(HttpServletRequest request);

	List<Filter> getFilters();
}

2. SecurityFilterChain标准实现DefaultSecurityFilterChain

package org.springframework.security.web;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.web.util.matcher.RequestMatcher;

import javax.servlet.Filter;
import javax.servlet.http.HttpServletRequest;
import java.util.*;


public final class DefaultSecurityFilterChain implements SecurityFilterChain {
	private static final Log logger = LogFactory.getLog(DefaultSecurityFilterChain.class);
	private final RequestMatcher requestMatcher;
	private final List<Filter> filters;

	public DefaultSecurityFilterChain(RequestMatcher requestMatcher, Filter... filters) {
		this(requestMatcher, Arrays.asList(filters));
	}

	public DefaultSecurityFilterChain(RequestMatcher requestMatcher, List<Filter> filters) {
		logger.info("Creating filter chain: " + requestMatcher + ", " + filters);
		this.requestMatcher = requestMatcher;
		this.filters = new ArrayList<>(filters);
	}

	public RequestMatcher getRequestMatcher() {
		return requestMatcher;
	}

	public List<Filter> getFilters() {
		return filters;
	}

	public boolean matches(HttpServletRequest request) {
		return requestMatcher.matches(request);
	}

	@Override
	public String toString() {
		return "[ " + requestMatcher + ", " + filters + "]";
	}
}
Spring Cloud Security:守护微服务的安全防线
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
05-24 1313
Spring Cloud SecuritySpring Cloud 生态系统的重要组成部分,它基于 Spring Security 构建,并扩展了其功能以适应分布式系统的复杂场景。通过集成 OAuth2、JWT、SAML 等认证协议,Spring Cloud Security 为微服务架构提供了强大的身份验证和授权机制,能够有效保护应用程序和服务间通信的安全。Spring Cloud Security 作为守护微服务安全防线的关键力量,为分布式系统提供了全面、灵活且高效的安全解决方案。
SpringBoot集成Spring Security全解:从入门到精通实战指南(亲测可用)
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-10 2326
1.3 Spring Boot的“魔法”:让安全配置“开箱即用” 如果说Spring Security是功能强大的“瑞士军刀”,那么Spring Boot就是那位能帮你把刀用得行云流水的“魔术师”。在没有Spring Boot的时代,配置Spring Security是一件相当繁琐的事情,你需要编写大量的XML或Java配置代码,来定义各种过滤器、处理器和提供者。 Spring Boot的出现彻底改变了这一切。它遵循“约定优于配置”的原则,通过spring-boot-starter-security这个启
SpringspringSecurity5版本以上中SecurityFilterChain概述
wosixiaokeai的博客
07-11 891
定义是Spring Security Web模块中的一个接口,它定义了一组安全过滤器,这些过滤器用于处理HTTP请求,并根据配置执行相应的安全逻辑。作用:当一个HTTP请求到达Spring应用程序时,它会被中配置的过滤器依次处理。每个过滤器根据其职责对请求进行处理,如验证认证信息、检查用户权限等。如果请求在某个过滤器中被认为是合法且符合安全要求的,它将继续传递至下一个过滤器或最终达到控制器;如果请求被某个过滤器拦截(如认证失败),则不再继续传递,而是直接返回响应。
Spring Security过滤链FilterChain
Jianyang_usst的博客
11-17 9945
Spring Security过滤链FilterChain1.Filters概述2.DelegatingFilterProxy3.FilterChainProxy4.SecurityFilterChain5.常见Security Filters(按顺序) 众所周知,spring security是一个集认证,授权和泄露保护于一体的安全框架,让我们来探讨一下它的过滤链机制! 1.Filters概述 图1 过滤链 当客户端发送一个请求到应用时,容器会创建一个过滤链FilterChain,该过滤链包含了Filt
Spring Security】安全过滤链
最新发布
m0_72516377的博客
10-19 581
Spring Security通过安全过滤链实现认证与授权机制,核心是一条Servlet过滤器链。请求进入时,DelegatingFilterProxy将过滤任务转交给FilterChainProxy,后者根据URL匹配对应的SecurityFilterChain并执行15+内置过滤器(如WebAsyncManagerIntegrationFilter处理异步安全上下文,SecurityContextHolderFilter管理认证信息生命周期)。每条链可配置不同安全策略,过滤器依次处理认证、授权、CSRF
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 2263
Security Filter ChainSpring SecurityWeb模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
spring security的过滤器链
LCY133的博客
03-28 1200
请求按过滤器链的顺序依次通过每个过滤器,每个过滤器可选择处理请求或传递给下一个过滤器。理解过滤器链的组成和执行逻辑,是调试安全问题和实现复杂安全需求的关键。:当某个过滤器处理完请求并直接返回响应时,后续过滤器不再执行。Spring Security 的安全功能通过一系列。捕获异常 → 触发登录页跳转或返回 403。Spring Security 的过滤器链通过。最终验证权限 → 若未授权则抛出。提取凭证并认证 → 存储。
SecurityFilterChain
weixin_34247155的博客
04-13 468
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
m0_75236543的博客
04-16 1694
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
SpringSecurity】详细核心类与过滤器流程讲解和封装通用组件实战
xiaoxualg的博客
03-20 1503
Spring Security 是一个功能强大且高度可定制的认证和访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证和授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)和授予的权限。表示授予用户的特定权限,通常分为:Spring
Spring Security:Java 应用的安全框架
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
12-06 1119
Spring Security 是一个专注于认证和授权的安全框架,它为 Java 应用提供了多种安全功能,尤其适用于 Web 应用。认证:验证用户的身份。授权:控制用户的访问权限。防止跨站请求伪造(CSRF)攻击。防止会话固定攻击。支持 OAuth、JWT 等现代身份验证机制。它支持多种认证方式,包括基于表单的认证、HTTP 基本认证、LDAP、OAuth 2.0 等。你可以通过实现。
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
WayneHu的博客
12-20 5497
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
SpringSecurity 源码分析之SecurityFilterchain的构建
mingtiandexia的专栏
03-28 4789
基本原理 spring security通过一系列filter来对请求进行拦截 网上一个比较好的图 由于是一个filterChain,因此如果我在FilterSecrutiyInterceptor,即最后一个过滤器上打断点,一定能够通过debug的方式来得到整个过滤器链条 在最后一个filter.doFilter方法上打一个断点, 得到整个filterChain,进一步验证了上面图的正确性。 ...
Spring Security6配置类SecurityFilterChain方法理解学习
yuhaowu0422的博客
09-18 2664
当设置了frameOptions(options -> options.sameOrigin())后,如果尝试从不同源(如不同的域名、协议或端口)的页面中加载该页面到iframe内,则浏览器会阻止这种行为,并可能在控制台中记录一个安全错误。这样就确保了只有可信的、同源的页面能够显示该页面的内容。限制只有同源页面可以将此页面嵌入到iframe中意味着只有与当前页面具有相同协议(http或https)、相同域名和相同端口号的页面才能够将当前页面嵌入到它们的iframe中。域名:比如都是example.com。
Spring Security:(六)过滤器链SecurityFilterChain
colin2200的博客
03-26 412
Spring Security的功能点入口是FilterChainProxy,在FilterChainProxy中管理着多个过滤器链 SecurityFilterChainSpring Security中是通过调用 HttpSecurity的 build()方法实例化SecurityFilterChain。 过滤器链SecurityFilterChain是多个过滤器的集合...
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 869
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
Spring Security介绍(三)过滤器(1)过滤器链
w_t_y_y的博客
02-06 1229
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
创建Spring Security Filter Chain
m13012606980的专栏
10-09 906
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值