责任链模式在spring security过滤器链中的应用

最新推荐文章于 2024-12-30 17:31:04 发布
最新推荐文章于 2024-12-30 17:31:04 发布
阅读量1.2k 收藏 6
点赞数 22
CC 4.0 BY-SA版权
分类专栏: java spring securify 设计模式 文章标签: 责任链模式 java springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_38727595/article/details/144064864

责任链模式(Chain of Responsibility Pattern)是一种行为型设计模式,它允许多个对象按照顺序处理请求,并且每个对象可以选择自己是否处理该请求或将其传递给下一个对象。

在Spring Security中,责任链模式得到了广泛应用,特别是在其过滤器链(Filter Chain)机制中。

一、Spring Security过滤器链概述

Spring Security中的过滤器链是保护Web应用程序的核心组件之一。它是一条由多个过滤器组成的序列,这些过滤器按照特定顺序执行,用于处理HTTP请求和响应。每当客户端向应用程序发送请求时,请求首先会经过Spring Security的过滤器链。过滤器链中的过滤器会按顺序执行,每个过滤器都有机会处理请求和响应。如果过滤器允许请求继续,则请求会被转发到下一个过滤器或最终到达应用程序的控制器。

二、责任链模式在过滤器链中的应用 

  • 过滤器链的构成

    • Spring Security的过滤器链包含多种过滤器,如:UsernamePasswordAuthenticationFilter(用于处理基于用户名和密码的身份验证)、AbstractAuthenticationProcessingFilter(抽象类,是大多数身份验证过滤器的基类)、SecurityContextPersistenceFilter(负责加载和保存SecurityContext)、RememberMeAuthenticationFilter(处理基于“记住我”功能的身份验证)、CsrfFilter(处理跨站请求伪造保护)以及FilterSecurityInterceptor(执行访问决策)等。

  • 责任链模式的实现

    • 在Spring Security中,每个过滤器都实现了特定的安全功能,并且它们按照配置的顺序串联在一起,形成了一个过滤器链。
    • 当请求到达时,它首先被传递给链中的第一个过滤器。该过滤器会根据其逻辑判断是否需要处理该请求。如果需要,则进行处理;如果不需要或处理完成后需要继续传递,则将该请求传递给链中的下一个过滤器。
    • 这种机制允许每个过滤器专注于自己的安全功能,而无需关心其他过滤器的实现细节。同时,它也提供了更大的灵活性和可扩展性,因为可以通过添加、删除或重新排序过滤器来轻松地修改安全策略。

  • 关键过滤器的功能

    • UsernamePasswordAuthenticationFilter:用于处理基于用户名和密码的身份验证。它通常处理POST请求到/login端点。
    • SecurityContextPersistenceFilter:负责加载和保存SecurityContext。SecurityContext包含当前用户的安全上下文,如已认证的用户主体。
    • FilterSecurityInterceptor:执行访问决策。它根据配置的AccessDecisionManagerAccessDecisionVoter来决定用户是否有权访问某个资源。

三、自定义过滤器

在Spring Security中,自定义过滤器的实现是责任链模式的一个典型应用。通过创建并注册自定义过滤器,你可以将特定的安全逻辑插入到过滤器链中,从而在请求处理过程中执行额外的操作。

以下是一个简单的示例,展示如何创建自定义过滤器并将其集成到Spring Security的过滤器链中。

假设我们需要创建一个自定义过滤器,用于记录每个请求的URI和HTTP方法。以下是如何实现这个自定义过滤器并将其添加到Spring Security的过滤器链中的步骤。 

创建自定义过滤器

首先,你需要创建一个实现javax.servlet.Filter接口的类。在这个类中,你将覆盖doFilter方法以执行你的自定义逻辑。

import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.Filter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class CustomLoggingFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化逻辑(可选)
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String uri = httpRequest.getRequestURI();
        String method = httpRequest.getMethod();

        // 记录请求的URI和HTTP方法
        System.out.println("Request URI: " + uri + ", Method: " + method);

        // 将请求传递给过滤器链中的下一个过滤器
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // 销毁逻辑(可选)
    }
}

注册自定义过滤器到Spring Security

接下来,你需要将自定义过滤器注册到Spring Security的过滤器链中。这通常是通过配置类来实现的。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .addFilterBefore(customLoggingFilter(), UsernamePasswordAuthenticationFilter.class)
            // 其他安全配置...
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin() // 如果使用表单登录,则启用它
            .and()
            .httpBasic(); // 启用HTTP Basic(可选)

        return http.build();
    }

    @Bean
    public CustomLoggingFilter customLoggingFilter() {
        return new CustomLoggingFilter();
    }
}

在这个配置类中,我们使用了HttpSecurity来配置Spring Security。通过调用addFilterBefore方法,我们将自定义过滤器CustomLoggingFilter添加到了UsernamePasswordAuthenticationFilter之前。这意味着在身份验证之前,我们的自定义过滤器将首先执行并记录请求的URI和HTTP方法。

运行应用程序

现在,当你运行应用程序并发送请求时,你应该会在控制台中看到自定义过滤器记录的请求信息。

 

在Spring Security中每个过滤器(包括自定义过滤器)都是链中的一个节点,它们按照配置的顺序依次执行。每个过滤器都有机会处理请求,并且可以选择将请求传递给链中的下一个过滤器或执行其他操作(如拒绝访问、重定向等)。这种机制使得Spring Security能够灵活地处理各种安全需求,同时保持了代码的清晰和可维护性。

 

Spring Security架构中过滤器的实现
静水深流
05-29 983
Spring Security过滤器机制详解:从基础到自定义实现。文章系统梳理了过滤器工作原理,包括Jakarta EE规范变更后的接口路径调整。重点解析了内置过滤器(如BasicAuthenticationFilter、CsrfFilter)的功能与配置方式,以及通过order值控制执行顺序的机制。最后详细演示了自定义过滤器的开发过程,展示如何实现请求头校验等安全逻辑。全文涵盖过滤器的动态特性、典型配置模式及深度定制方法,为构建灵活的安全方案提供实践指导。
Spring Security过滤器中自定义过滤器的实现与应用
最新发布
静水深流
05-28 1222
本文介绍了Spring Security中通过addFilterAt()方法在过滤器特定位置插入自定义认证过滤器的机制。重点分析了三种典型替代方案:静态头值认证、对称密钥签名认证和动态口令认证,并给出静态密钥认证的完整实现示例。文章详细说明了StaticKeyAuthenticationFilter的核心认证逻辑及安全配置集成方法,强调了生产环境中的密钥安全管理要求。此外,还介绍了框架提供的GenericFilterBean和OncePerRequestFilter等增强基类特性,建议在日志记录等场景优先
深入理解Spring Security过滤器责任链模式分析
李永志的博客
05-04 1168
Spirng Security的核心思路就是采用了责任链模式通过一系列的Filter来实现权限控制(关于责任链模式前面有过简单的介绍[责任链模式](https://liyongzhi.blog.youkuaiyun.com/article/details/90741924))。这篇文章主要分析了Spring-Security中怎么生成和使用过滤器的。
揭开Spring Security 责任秘密
曳凡的博客
11-09 1263
前言 Spring Security是一个优秀的安全管理框架,同时他很多地方支持可定制化。基于Spring Security,我们就可以做出供自己业务场景下的安全管理需求,例如在SaaS服务下的多租户权限控制。而Spring Security中最重要的实现方式,最重要的设计模式,那便非责任链模式莫属了。 配置初始化 在配置初始化前,都需要有一个机制来触发配置的初始化,道理很简单,因为我们不是所有场景下都需要用到Spring Security,只是在我们需要用到这个框架的时候,才需要去触发他。Spring S
Spring设计模式-实战篇之责任链模式
qq_53281187的博客
03-25 2027
解耦合:你无需关注你的下一个条是如何实现的,只需要把自己的模块实现好即可,并且条之间的顺序可以随意切换,在构建责任时指定Next即可,无需去各个实现类中进行修改代码;当需要新增加或者修改支付回调处理的步骤时,可以通过添加新的处理器来实现,而无需修改已有的代码。每一个步骤的实现代码都在独立的类中实现,这样可以更容易地理解和调试代码,不像很多业务代码一样,一大堆业务处理逻辑放在一个方法里面调来调去,很容易搞迷糊。
设计模式之责任链模式
后端为主,前端为辅。
12-20 504
java web 中的 FilterChain 就是责任链模式的典型应用spring security 中的 SecurityFilterChain 也是责任链模式的典型应用,其在 FilterOrderRegistration 类中声明了默认内置 filter 的顺序,并在 HttpSecurity 类中声明了内部类 OrderedFilter 来承载 Filter,并对外提供了可以指定顺序的 addFilter 方法,以这些手段来明确 filter 在 filter chain 中的执行顺序。
Spring Security漏洞防护—HTTP 安全响应头
深圳市多克创新科技有限公司
10-24 2605
Spring Security漏洞防护—HTTP 安全响应头
全面解析Spring Security 过滤器的机制和特性
08-18
Spring Security 中,过滤器的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器(Filter)以及最终的具体 Servlet 控制器...
springSecurity(一):认识springSecurity过滤器
qq_43586337的博客
06-11 1414
springSecurity学习笔记
SpringSecurity中的过滤器与自定义过滤器
pan_junbiao的博客
12-30 1184
Spring Security 中的过滤器(Filter Chain)是一个核心的概念,它定义了一系列过滤器,这些过滤器按照特定的顺序处理HTTP请求,并负责执行各种安全任务,如身份验证、授权、CSRF 保护等。过滤器是由多个过滤器组成的式结构,请求依次经过每个过滤器,每个过滤器可以决定是否继续传递请求。此外,Spring Security 还允许开发人员自定义过滤器,并将其添加到安全过滤器中。这使得可以根据特定的业务需求,扩展安全过滤器的功能。
Spring Security 5.7.1安全过滤器配置方法
DDDInJava
05-31 4192
@RequiredArgsConstructor(onConstructor_ = @Autowired) @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfiguration { @NonNull private AuthenticationSuccessHandler authenticationSuccessHandler; @NonNull p.
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 827
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
SpringSecurity原理剖析及其实战(三)
weixin_43934626的博客
11-06 1298
SpringSecurity原理剖析及其实战(三)1、自定义登录页面 1、自定义登录页面 默认登录页面通过DefaultLoginPageGeneratingFilter#generateLoginPageHtml生成 编写登录页面 默认登录页面通过<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> &
模拟JavaWeb过滤器——责任链模式
Jde冻结
08-29 660
对request和response里的字符串信息过滤(在这里我们通过过滤器来达到对request和response传入的数据替换一些字和增加一些字的效果), 在过滤器层面上模拟客户端和服务器交互,如下图: 这里我们直接对
HttpSecurity 是如何组装过滤器
江南一点雨的专栏
05-31 1365
有小伙伴们问到这个问题,简单写篇文章和大伙聊一下。
过滤器责任链模式
wx的博客
12-23 1999
过滤器责任链模式Filter责任链模式通过责任对消息进行处理源码结果反思与思考Servlet中的Filter模拟Servlet中Filter的处理模式demo效果 Filter 说起Filter大家应该都不陌生。Filter一般用于Servlet处理之前做一些前置的校验。如果校验通过,那么调用chain.doFilter(request, response)就可以让下一个filter继续执行逻辑。Filter是责任链模式的一种应用。接下来我们将探索、模拟Filter的实现逻辑。 责任链模式 责任链模式
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
热门推荐
markvivv随笔
03-26 2万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
SPRING与设计模式---责任链模式
json20080301的专栏
02-24 7464
SPRING与设计模式---责任链模式 使用场景:当你想让一个以上的对象有机会能够处理某个请求的时候,就使用责任链模式spring框架中的应用spring安全框架security使用责任链模式,框架使用者可以动态地添加删除责任(处理request请求)。UML类图:活动图:源码解析:currentPosition表示责任的要处理请求条节点的位置,使用additionalFilters来依次...
springboot的过滤器算不算责任
02-27
<think>嗯,用户问的是Spring Boot的过滤器是不是责任链模式。好的,首先我得先回忆一下责任链模式的定义。责任链模式是行为型设计模式,允许多个对象处理请求,避免请求发送者和接收者耦合。每个处理者都能处理或传递给下一个。 然后,Spring Boot中的过滤器,主要用来拦截HTTP请求和响应。比如做日志、权限检查、跨域处理之类的。过滤器在Servlet容器中处理,通过FilterChain来调用多个过滤器。用户的问题关键在于这些过滤器是否构成了责任链模式。 接下来,责任链模式的关键点在于处理者,每个处理者可以处理或传递。Spring的FilterChain确实是这样,每个Filter的doFilter方法里调用chain.doFilter()来传给下一个过滤器。这符合责任的结构。不过,责任通常有动态组合的可能,而过滤器的配置是固定的,在web.xml或者配置类里定义好的,可能不够灵活。 另外,责任链模式可能有中止的情况,比如某个处理者处理了就不再传递。但过滤器通常必须调用chain.doFilter()才能继续,除非直接返回响应,这时候确实会中止后续处理。这也符合责任的某些应用场景。 所以,结论应该是Spring Boot的过滤器机制确实符合责任链模式的基本思想,但实现上可能有些差异,比如顺序固定。需要分点说明,举例子,确保用户理解两者的异同。</think>Spring Boot的过滤器(Filter)机制**符合责任链模式的核心思想**,但在具体实现细节上与标准责任链模式存在一定差异。以下分点说明: --- ### 1. **责任链模式核心特征** - **式处理**:多个处理器(Handler)按顺序处理请求 - **解耦**:请求发送者无需知道具体处理者 - **传递控制**:每个处理器可选择是否传递请求给下一个节点 --- ### 2. **Spring Boot过滤器的实现** ```java // 典型过滤器结构 public class LogFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 1. 前置处理(责任中的当前节点处理) System.out.println("Before controller"); // 2. 触发后续处理(关键责任行为) chain.doFilter(request, response); // 3. 后置处理 System.out.println("After controller"); } } ``` --- ### 3. **符合责任的表现** ✅ **式调用**:通过`FilterChain`对象显式调用下一个过滤器 ✅ **顺序控制**:通过`@Order`注解或配置顺序决定执行顺序 ✅ **统一接口**:所有过滤器都实现`javax.servlet.Filter`接口 ✅ **中止机制**:若不调用`chain.doFilter()`可终止式传递(如权限校验失败时) --- ### 4. **与标准责任的差异** ❌ **静态配置**:过滤器顺序通常在应用启动时固定(通过`FilterRegistrationBean`配置) ❌ **双向处理**:过滤器支持前置处理(Before Controller)和后置处理(After Controller) ❌ **强容器依赖**:依赖于Servlet容器实现,而标准责任通常更轻量 --- ### 5. **实际应用场景** - **认证授权**:JWT校验过滤器 - **日志记录**:请求/响应日志采集 - **数据预处理**:参数解密、XSS过滤 - **性能监控**:接口耗时统计 --- ### 6. **对比其他Spring机制** | | 过滤器(Filter) | 拦截器(Interceptor) | AOP | |----------|---------------|--------------------|-----------| | 执行层级 | Servlet层面 | Spring MVC层面 | 方法层面 | | 责任实现| 显式式调用 | 通过HandlerExecutionChain | 通过代理 | --- ### 结论 Spring Boot过滤器**本质上是责任链模式的一种具体实现**,但根据Servlet规范的需求进行了适配和扩展。开发中既可以利用它实现责任的优势(解耦、可扩展),也要注意其与标准责任链模式在实现细节上的差异。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jack_abu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值