一个spring security拦截器的配置

最新推荐文章于 2025-06-23 20:00:00 发布
原创 最新推荐文章于 2025-06-23 20:00:00 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Security #Spring #Bean #Servlet #Web

本文介绍了如何在 Spring Security 中配置自定义过滤器 MyFilter,并详细展示了 web.xml 和 applicationContext.xml 的设置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先肯定是要将spring security的包下载并包含在项目当中。

1. web.xml

<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

	<filter>
		<filter-name>filterChainProxy</filter-name>
		<filter-class>
			org.springframework.web.filter.DelegatingFilterProxy
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>filterChainProxy</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

 2. applicationContext.xml

<bean id="filterChainProxy"
		class="org.springframework.security.util.FilterChainProxy">
		<property name="filterInvocationDefinitionSource">
			<value>
				CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
				PATTERN_TYPE_APACHE_ANT
				/**=myFilter
			</value>
		</property>
	</bean>

	<bean id="myFilter" class="com.unews.test.MyFilter"></bean>

 FilterChianProxy表示的是一系列的拦截器,按照在value当中定义的顺序前后执行。

 

3. MyFilter.java

package com.unews.test;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

public class MyFilter implements Filter {
	public void destroy() {
		// TODO Auto-generated method stub

	}

	public void doFilter(ServletRequest arg0, ServletResponse arg1,
			FilterChain arg2) throws IOException, ServletException {
		System.out.println("111");
	}

	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub

	}

}

 

Spring框架中的过滤器、拦截器Spring Security:深入比较与应用实践
m0_75236543的博客
04-16 1432
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
Spring Security拦截配置
2301_79108888的博客
08-17 2412
除了基于角色和URL模式的拦截配置Spring Security还支持自定义过滤器链。这允许我们添加自定义过滤器来处理特定的安全需求。创建一个实现了Filter接口的自定义过滤器类,实现doFilter方法来自定义处理逻辑。配置,将自定义过滤器注册到Spring Security中的过滤器链中。// ...省略其他配置...@Bean// ...省略其他配置...在上述示例代码中,我们创建了一个名为CustomFilter的自定义过滤器,并将其注册到URL模式为。
Spring Security 中的过滤器(`Filter`)和拦截器(`HandlerInterceptor`)
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
06-23 1166
Spring Security 中的过滤器(`Filter`)和拦截器(`HandlerInterceptor`)
Spring-security核心拦截器
确实比较男
05-26 851
(一) ExceptionTranslationFilter Spring-security的异常拦截器:这个拦截器只拦截AuthenticationException和AccessDeniedException异常,其他异常直接抛出 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chai...
SpringBoot security 安全认证(二)——登录拦截器
朗朗的博客
02-01 3000
本节内容:实现登录拦截器,除了登录接口之外所有接口访问都要携带Token,并且对Token合法性进行验证,实现登录状态的保持。核心内容:1、要实现登录拦截器,从Request请求中获取token,从缓存中获取Token并验证登录是否过期,若验证通过则放行;2、实现对拦截器配置SpringBoot 安全模块使用HttpSecurity 来完成请求安全管理。
SpringSecurity拦截器入门教程
qq_51586023的博客
07-28 664
SpringSecurity拦截器入门教程,手把手教程
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序(AuthenticationProvider)以适应不同的业务需求。本文将详细介绍...
Spring Security介绍(三)过滤器(2)自定义过滤器拦截器
w_t_y_y的博客
04-27 2476
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
浅谈Spring Security 对于静态资源的拦截与放行
08-25
Spring Security一个强大的安全框架,广泛用于Java Web应用的安全管理,包括身份验证、授权和访问控制等。在本文中,我们将深入探讨如何处理Spring Security对于静态资源(如CSS、JavaScript和图片)的拦截与放行...
Spring Security介绍(三)过滤器(1)过滤器链
w_t_y_y的博客
02-06 1149
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
Spring security 实现前后端分离登录拦截器及用户权限控制
热门推荐
zzq的博客
11-22 1万+
目录 前言 一、准备工作 1.1、设计数据库(我的工程目录中的sql文件夹下有sql文件直接导入即可) 二、代码实现 2.1、数据操作 2.2、自定义登录逻辑 2.2.1、创建自定义UserDetailsService 2.2.2、自定义的密码加密类 2.3、自定义登录验证结果、登出结果、无权访问处理器 2.3.1、自定义登录成功处理器 2.3.2、自定义登录失败处理器 2...
spring Security配置拦截规则
weixin_43575792的博客
03-18 6809
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 7410
Spring Security 自定义拦截器Filter 实现登录认证
Spring-Security-Oauth整合Spring-Security,拦截器
盲目的拾荒者的博客
04-22 1万+
程序的目的主要是,在自己开发的web项目中,即提供前端页面调用访问得接口(带有安全机制),也提供第三方调用的API(基于授权认证的). 在整合的过程中发现SpringSecurity不能到即处理自己的web请求也处理第三方调用请求。所以采用拦截器拦截处理本地的web请求,spring-security-oauth对第三方认证请求进行认证与授权。如果对Oauth2.0不熟悉请参考Oauth2.0介...
权限学习 -- Spring Security拦截器
白玉灬风的博客
11-27 2120
Spring Security权限拦截: Spring Security提供很多的过滤器,它们拦截servlet请求,并将这些请求转交给认证处理过滤器和访问角色过滤器进行处理,并强制安全性,认证用户身份和权限以达到保护web资源的目的。 SecurityContextPersistenceFileter,,改过滤器位于所有过滤器的顶端,是第一个起作用的过滤器,它的第一个用途是在执行其他过滤器之
spring security 自动配置拦截器是怎么初试化的?
关注眼前,享受当下
01-24 2311
springboot中使用 spring security 通常会 创建一个 SecurityConfig类 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(Authentica
springsecurity拦截器详解
最新发布
08-06
<think>首先,用户的问题是:“我想了解Spring Security拦截器的工作原理和使用方法 请问Spring Security 拦截器原理及使用详解”。这要求我详细解释Spring Security拦截器的原理和使用方法。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独成段。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 用户提到的引用: - 引用[1]:讨论了过滤器、拦截器Spring Security的区别。 - 引用[2]:详细描述了Spring Security的过滤器链。 - 引用[3]:列举了Spring Security中的常用过滤器。 关键点:用户询问的是“拦截器”,但在Spring Security中,核心机制是过滤器(Filter),而不是拦截器(Interceptor)。拦截器通常与Spring MVC相关。引用[1]明确指出:过滤器是Java EE标准的一部分,拦截器Spring MVC特有的,而Spring Security构建在过滤器之上。 所以,我需要澄清这个误解。用户可能混淆了“过滤器”和“拦截器”。在Spring Security中,主要使用的是过滤器链来处理安全相关的请求。 我的回答结构: 1. **澄清概念**:解释Spring Security中使用的机制是过滤器,而不是拦截器。 2. **工作原理**:详细描述Spring Security过滤器链的工作原理。 3. **使用方法**:提供如何配置和使用Spring Security过滤器的例子。 4. **生成相关问题**:在末尾添加相关问题。 确保回答真实可靠:基于提供的引用和标准知识。 步骤: 1. **引言**:确认问题并澄清术语。 2. **原理部分**: - 解释过滤器链的概念。 - 描述核心过滤器的作用。 - 参考引用[2]和[3]中的内容。 3. **使用方法部分**: - 提供配置示例。 - 可能使用代码块展示配置。 4. **结论**:总结关键点。 5. **相关问题**:生成3个相关问题。 在回答中自然地添加引用标识,例如:[^1]。 生成相关问题: - 基于主题,如如何自定义过滤器、与拦截器的区别、常见问题等。 最终,回答用中文。</think>### Spring Security 过滤器原理及使用详解 用户询问的是“Spring Security拦截器的工作原理和使用方法”,但需要澄清一个关键点:在Spring Security中,核心安全机制是基于**过滤器(Filter)** 实现的,而不是拦截器(Interceptor)。拦截器(如Spring MVC的`HandlerInterceptor`)主要用于处理控制器层面的请求/响应逻辑(如日志记录或参数验证),而Spring Security的安全处理发生在更底层的Servlet级别,通过过滤器链完成。这是因为过滤器是Java EE标准的一部分,能处理所有HTTP请求,而Spring Security构建在过滤器之上,提供全面的安全功能[^1]。下面我将详细解释Spring Security过滤器的原理和使用方法,确保内容清晰可靠。 --- ### 一、Spring Security 过滤器的工作原理 Spring Security 的核心是一个过滤器链(Filter Chain),它在HTTP请求到达Servlet之前进行拦截和处理。这个链由多个过滤器组成,每个负责特定的安全任务。当请求进入应用时,Spring Security的`FilterChainProxy`(一个特殊的过滤器)会协调这些过滤器的执行顺序。整体流程如下: 1. **过滤器链的初始化**: Spring Security 在启动时注册一个`FilterChainProxy`,它管理多个过滤器链。每个链针对不同的URL模式(如`/**`表示所有请求)。`FilterChainProxy`确保过滤器按顺序执行,处理认证、授权等逻辑。 2. **核心过滤器的作用**: 过滤器链包含多个内置过滤器,每个处理特定安全功能。参考引用[2]和[3],以下是关键过滤器的工作原理: - **SecurityContextPersistenceFilter**:在请求开始时,从HttpSession加载安全上下文(SecurityContext,包含用户认证信息);在请求结束时,保存上下文回Session。这确保了用户状态在多个请求间持久化[^2][^3]。 - 数学表达式示例:安全上下文存储用户身份,如用户ID $u$ 和角色 $r$,满足访问控制条件。 - **UsernamePasswordAuthenticationFilter**:处理表单登录请求(如`/login`)。它提取用户名和密码,调用`AuthenticationManager`进行认证。如果成功,创建一个`Authentication`对象并存储在安全上下文中。 - 数学表达式示例:认证过程可建模为函数 $f: (username, password) \rightarrow Authentication$。 - **LogoutFilter**:拦截登出请求(如`/logout`),清除安全上下文和会话数据。 - **ExceptionTranslationFilter**:捕获认证或授权异常(如`AccessDeniedException`),并重定向到登录页或错误页。 - **FilterSecurityInterceptor**:这是链的最后一个过滤器,负责访问控制决策。它基于配置的规则(如URL权限)检查用户是否有权访问资源。如果拒绝,抛出异常[^2][^3]。 3. **整体工作流程**: - 请求进入时,过滤器按顺序执行:SecurityContextPersistenceFilter → 认证过滤器(如UsernamePasswordAuthenticationFilter)→ ExceptionTranslationFilter → FilterSecurityInterceptor。 - 如果某个过滤器处理了请求(如认证成功),后续过滤器可能被跳过。 - 所有过滤器共享一个`SecurityContextHolder`,它存储当前线程的安全上下文。 - 异常处理:ExceptionTranslationFilter捕获异常,并触发错误响应(如重定向到登录页)。 数学表示整体流程:设请求为 $r$,过滤器链为序列 $F = [f_1, f_2, \dots, f_n]$,则处理结果 $O = f_n \circ \dots \circ f_2 \circ f_1(r)$。每个过滤器 $f_i$ 可能修改请求或响应[^2][^3]。 4. **安全上下文(Security Context)**: 这是核心概念,存储`Authentication`对象(包含用户身份和权限)。过滤器通过`SecurityContextHolder`访问它,确保线程安全[^2]。 --- ### 二、Spring Security 过滤器的使用方法 Spring Security的使用主要通过配置实现,支持XML或Java配置(推荐Spring Boot的自动配置)。以下是详细步骤和示例: #### 1. 基本配置(使用Spring Boot) Spring Boot简化了过滤器链的配置。添加依赖后,在`application.properties`或Java类中定义安全规则。 - **添加依赖**:在`pom.xml`中引入Spring Security。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` - **配置安全规则**:创建一个配置类,继承`WebSecurityConfigurerAdapter`(或使用新式`SecurityFilterChain` Bean)。 ```java import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests(authorize -> authorize .antMatchers("/public/**").permitAll() // 公共资源无需认证 .antMatchers("/admin/**").hasRole("ADMIN") // 管理员角色访问 .anyRequest().authenticated() // 其他请求需认证 ) .formLogin(form -> form .loginPage("/login") // 自定义登录页 .permitAll() ) .logout(logout -> logout .logoutUrl("/logout") // 登出URL .permitAll() ) .addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); // 添加自定义过滤器 return http.build(); } } ``` - 说明:`authorizeRequests`定义URL权限;`formLogin`配置表单登录;`addFilterBefore`添加自定义过滤器(如JWT验证)。 #### 2. 自定义过滤器 开发者可以添加自定义过滤器来处理特定逻辑(如JWT验证或CSRF防护)。步骤如下: - **创建自定义过滤器**:实现`Filter`接口,重写`doFilter`方法。 ```java import javax.servlet.*; import java.io.IOException; public class JwtAuthenticationFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 从请求头提取JWT令牌 String token = extractToken((HttpServletRequest) request); if (token != null && validateToken(token)) { // 验证通过,设置Authentication到SecurityContext SecurityContextHolder.getContext().setAuthentication(createAuthentication(token)); } chain.doFilter(request, response); // 继续过滤器链 } private Authentication createAuthentication(String token) { // 创建Authentication对象(示例) return new UsernamePasswordAuthenticationToken("user", null, List.of(new SimpleGrantedAuthority("ROLE_USER"))); } } ``` - **注册过滤器**:在配置中使用`addFilterBefore`或`addFilterAfter`将其插入链中(见上例)。例如,JWT过滤器通常在UsernamePasswordAuthenticationFilter之前执行。 #### 3. 常见使用场景 - **表单登录**:默认启用,通过UsernamePasswordAuthenticationFilter处理。 - **OAuth2/社交登录**:使用`spring-security-oauth2-client`依赖,自动添加OAuth2相关过滤器。 - **API安全**:为REST API添加JWT过滤器,禁用CSRF(因无状态)。 ```java http.csrf().disable(); // 在配置中禁用CSRF ``` - **性能优化**:通过`@Order`注解控制过滤器链顺序,避免不必要的过滤器执行。 #### 4. 注意事项 - **过滤器顺序**:Spring Security过滤器的执行顺序固定(见原理部分),自定义过滤器需谨慎插入位置。 - **测试方法**:使用`MockMvc`测试过滤器行为,确保安全规则生效。 - **与拦截器的区别**:如果需要请求/响应拦截(如日志),可结合Spring MVC拦截器,但它不处理安全逻辑[^1]。 --- ### 总结 Spring Security 的核心是过滤器链,它通过一系列内置过滤器(如SecurityContextPersistenceFilter和FilterSecurityInterceptor)处理认证、授权和异常。使用上,通过配置`SecurityFilterChain`定义权限规则,并可自定义过滤器扩展功能。记住,拦截器(Interceptor)是Spring MVC的概念,不用于Spring Security的核心安全机制[^1][^2][^3]。如果您有特定需求(如JWT实现),可以提供更多细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值