Spring Security Web : 概念模型接口 HttpFirewall

最新推荐文章于 2024-04-29 09:35:05 发布
原创 最新推荐文章于 2024-04-29 09:35:05 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Spring Security中HTTP防火墙接口,它用于拒绝潜在风险请求或包装请求、响应以控制行为。该接口定义两个方法,在过滤器链调用前执行,有风险则抛异常。框架提供两个实现类,缺省使用DefaultHttpFirewall,但建议用StrictHttpFirewall。

概述

功能介绍

HttpFirewallSpring Web提供的一个接口,抽象建模HTTP防火墙这一概念。相应对象用于拒绝存在潜在风险的请求或者包装它们以控制它们的行为。该接口的实现类对象会被注入到FilterChainProxy,在安全过滤器链被调用之前该防火墙逻辑会被调用。如果响应对象的行为需要被限制,该防火墙也可以对响应进行包装再返回给请求方。

HttpFirewall只定义了两个接口方法,分别对请求/响应对象进行包装。这两个方法都在FilterChainProxy对请求调用过滤器链之前被调用。如果HttpFirewall认为请求有风险,会抛出异常RequestRejectedException从而拒绝该请求。而HttpFirewall封装后的响应对象对设置响应头部方法,cookie设置方法(对应头部Set-Cookie),重定向方法(对应头部Location设置)做了安全加强,确保相应值中不包含\r或者\n

HttpFirewall包装后的请求/相应对象分别是:FirewalledRequestFirewalledResponse

继承关系

HttpFirewall

使用介绍

Spring Web框架自身对HttpFirewall提供了两个实现类:DefaultHttpFirewallStrictHttpFirewallFilterChainProxy缺省使用的是StrictHttpFirewallDefaultHttpFirewall是个缺省实现,建议使用StrictHttpFirewall而不是DefaultHttpFirewall

源代码

package org.springframework.security.web.firewall;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public interface HttpFirewall {

	/**
	 * Provides the request object which will be passed through the filter chain.
	 *
	 * @throws RequestRejectedException if the request should be rejected immediately
	 */
	FirewalledRequest getFirewalledRequest(HttpServletRequest request)
			throws RequestRejectedException;

	/**
	 * Provides the response which will be passed through the filter chain.
	 *
	 * @param response the original response
	 * @return either the original response or a replacement/wrapper.
	 */
	HttpServletResponse getFirewalledResponse(HttpServletResponse response);
}

参考文章

Spring Security Web : Web安全过滤器链代理对象 FilterChainProxy
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)
Spring Security Web : DefaultHttpFirewall HTTP防火墙(缺省模式)

Spring Security 6.x 系列【60】漏洞防护篇之防火墙
记录知识、锤炼自我
06-25 1025
Firewall防火墙是互联网安全必不可少的一项技术,用以保护系统安全,防止侵入,一般服务器操作系统都会自带防火墙软件。Spring Security也提供了HTTP防火墙,用于拒绝潜在的危险请求,并对请求和响应进行包装以控制其行为。
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3905
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security(学习笔记) --HttpFirewall防火墙!
最新发布
TONGZHOUGONGDU的博客
04-29 2328
我们知道,在Servlet容器规范中,为HttpServletRequest定义了一些属性,如ContextPath.ServletPath等,这些属性我们都可以通过get方法获得,但是,在不同的容器中,对这些属性的值处理方案也不同,有些容器会对属性的值进行预处理,有些则不会,这样就比较混乱了,不同容器的差异,有可能会造成不安全的隐患。因此,Spring Security就提供了HttpFirewall来统一进行管理。//对请求对象进行检验并封装//对返回对象进行封装主要有两个实现类。
使用SpringSecuritySpringMVC来实现安全的RESTFul接口
牵佳一诺的博客
07-10 2730
可以使用SpringSecurity在请求到@RequestMapping之前进行拦截。 题外话:Spring的Interceptor(拦截器)是在@RequestMapping之后进行拦截的。
Spring Security Web : DefaultHttpFirewall HTTP防火墙(缺省模式)
Details Inside Spring
05-24 3442
概述 功能介绍 DefaultHttpFirewallSpring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现。该实现是所谓的缺省实现,但实际上Spring Security Web缺省使用的并不是DefaultHttpFirewall,而是严格模式的StrictHttpFirewall。其原因主要是StrictHttpFirewall对安全...
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)
热门推荐
Details Inside Spring
05-24 1万+
概述 功能介绍 StrictHttpFirewallSpring Security Web提供的一个HTTP防火墙(对应概念模型接口HttpFirewall)实现,该实现采用了严格模式,遇到任何可疑的请求,会通过抛出异常RequestRejectedException拒绝该请求。StrictHttpFirewall也是Spring Security Web在安全过滤器代理FilterChainP...
spring security 参考手册中文版
02-01
Web - spring-security-web.jar 25 配置 - spring-security-config.jar 26 LDAP - spring-security-ldap.jar 26 ACL - spring-security-acl.jar 26 CAS - spring-security-cas.jar 26 OpenID - spring-security-...
深入解析SpringSecurity:企业级安全框架实战
"深入浅出SpringSecurity.pdf" Spring Security 是一个广泛使用的Java企业级开发中的安全管理框架,它提供了全面的身份验证和授权服务,确保应用程序的安全性。这个框架与Spring Boot和Spring Cloud等其他Spring...
[202101][深入浅出 Spring Security][王松][著]
damoluomu的专栏
09-19 1843
[202101][深入浅出 Spring Security][王松][著]https://github.com/lenve/spring-security-book-samples
Spring Security使用记录
chenzeyu110的博客
10-29 638
文章目录**1.概念介绍****1.1权限管理****1.2完成权限管理需要三个对象****1.3Spring Security****1.3.1创建web工程并导入jar包** 1.概念介绍 1.1权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统中,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个重要的名词: 认证:通过用户名和密码成功登陆系统之后,让系统得到当前用户的角色身份 授权:系统根据当前用户的角色,
SpringSecurity如何实现配置单个HttpSecurity
08-18
主要介绍了SpringSecurity如何实现配置单个HttpSecurity,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 自带防火墙!你都不知道自己的系统有多安全!
2301_82242296的博客
04-13 852
设置完成之后,再去访问相同的接口,可以看到,此时虽然还是报错,但是错误是 404 了,而不是一开始那个不允许;的错了。;
Spring Security Web : FirewalledResponse 经过防火墙加强安全的响应
Details Inside Spring
05-26 2640
概述 功能介绍 FirewalledResponseSpring Security Web提供的一个HttpServletResponse实现,是一个带有防火墙增强安全能力的HttpServletResponse实现,被HttpFirewall对象用于对一个HttpServletResponse进行安全增强的包装器。 通过FirewalledResponse的包装,它对HttpServletRe...
Spring Boot Security自带功能齐全的HttpFirewall防火墙
allway2的博客
08-09 3241
在这篇文章中,我将解释 SpringHttpFirewall 是什么,它提供的安全保护类型以及它在 SpringSecurity 中的位置。此功能,因为它被认为具有极高的风险。在讨论 Spring Security 时,通常会非常关注 Spring 的安全过滤器(这是理所当然的),但不明显的是 HttpFirewall 是我们的第一道防线。基本上,Http 防火墙实施的规则会强制增加安全性,以净化和保护我们免受可能有害的精心制作的 URL 的侵害,甚至在它们到达安全过滤器链之前。...
SpringSecurity拦截器链
qq_29860591的博客
05-08 1572
SpringSecurity拦截器链 Spring版本 <!--Spring Security过滤器链,注意过滤器名称必须叫springSecurityFilterChain--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>or...
SpringSecurity(二)- SpringSecurity Web权限方案
及时当勉励,岁月不待人
09-22 1138
SpringSecurity(二)- SpringSecurity Web权限方案
Spring安全方案—针对常见漏洞的保护(HTTP、HttpFirewall)(官方原版)
深圳市多克创新科技有限公司
04-24 724
Spring安全方案—针对常见漏洞的保护(HTTP、HttpFirewall)(官方原版)
Spring Security Web安全性解决方案
HideonHacker的博客
04-11 1072
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
Spring Security_web权限方案_笔记
weixin_43206491的博客
05-18 1443
Spring Security 简介 基于Spring 框架,提供了一套Web 应用安全性的完整解决方案。 关于安全方面的主要两个区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点是 Spirng Security 重要核心功能。 用户认证:**就是系统认为用户是否能登录。**验证某个用户是否为系统中的合法体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统
掌握Spring Security2:自定义Cookie保存时长
2. RememberMeServices接口Spring Security提供了一个记住我认证机制,这是通过`RememberMeServices`接口实现的。该接口的默认实现是`PersistentTokenBasedRememberMeServices`。在配置中指定这个服务,我们可以...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值