spring security 替换默认的filter

最新推荐文章于 2025-09-07 10:55:24 发布
最新推荐文章于 2025-09-07 10:55:24 发布 · 1.4k 阅读 · 2
文章标签:

#Security #Spring #Bean #UI #Servlet

覆盖默认配置的方法:<security:custom-filter position="alias"/>,position为相应filter的别名。

 对应关系:

 

CHANNEL_FILTERChannelProcessingFilter
CONCURRENT_SESSION_FILTERConcurrentSessionFilter
SESSION_CONTEXT_INTEGRATION_FILTERHttpSessionContextIntegrationFilter
LOGOUT_FILTERLogoutFilter
X509_FILTERX509PreAuthenticatedProcessigFilter
PRE_AUTH_FILTERSubclass of AstractPreAuthenticatedProcessingFilter
CAS_PROCESSING_FILTERCasProcessingFilter
AUTHENTICATION_PROCESSING_FILTERAuthenticationProcessingFilter
BASIC_PROCESSING_FILTERBasicProcessingFilter
SERVLET_API_SUPPORT_FILTERclassname
REMEMBER_ME_FILTERRememberMeProcessingFilter
ANONYMOUS_FILTERAnonymousProcessingFilter
EXCEPTION_TRANSLATION_FILTERExceptionTranslationFilter
NTLM_FILTERNtlmProcessingFilter
FILTER_SECURITY_INTERCEPTORFilterSecurityInterceptor
SWITCH_USER_FILTERSwitchUserProcessingFilter

 

比如:

Xml代码 复制代码
  1. <bean id="logoutFilter"  
  2.     class="org.springframework.security.ui.logout.LogoutFilter">  
  3.     <security:custom-filter position="LOGOUT_FILTER" />  
  4.     <!-- 退出后指向的 URL -->  
  5.     <constructor-arg value="${security.logout_success_url}" />  
  6.     <constructor-arg>  
  7.         <list>  
  8.             <bean  
  9.                 class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />\   
  10.         </list>  
  11.     </constructor-arg>  
  12.     <property name="filterProcessesUrl"  
  13.         value="${security.logout_processes_url}" />  
  14. </bean>   
    <bean id="logoutFilter"
        class="org.springframework.security.ui.logout.LogoutFilter">
        <security:custom-filter position="LOGOUT_FILTER" />
        <!-- 退出后指向的 URL -->
        <constructor-arg value="${security.logout_success_url}" />
        <constructor-arg>
            <list>
                <bean
                    class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />\
            </list>
        </constructor-arg>
        <property name="filterProcessesUrl"
            value="${security.logout_processes_url}" />
    </bean>


这个filter将覆盖默认的logoutFilter

iteye_18210
关注
Spring Security AuthorizationFilter代替FilterSecurityInterceptor重大变更逻辑
。。。。。。。
02-09 1264
spring security AuthorizationFilter FilterSecurityInterceptor
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 2126
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
Spring Security基本框架之过滤器
大后生大大大的博客
11-12 1203
FilterChain、FilterChainProxy、DelegatingFilterProxy
springsecurity2 自定义filter实现
03-16
NULL 博文链接:https://jiawu.iteye.com/blog/400351
SpringSecurity默认的15个过滤器
最新发布
qq_74736349的博客
09-07 427
SpringSecurity是针对Spring项目安全的一款开源的框架,可以与SpringBoot无缝集成,其注重于身份验证以及权限认证,可以通过少量的配置,从而实现强大的安全管理。避免了之前使用拦截器(比拦截器好玩多了)以及过滤器结合大量的原生代码,这种方式太过臃肿且过于繁琐。SpringSecuriyt包含两部分:认证:判断用户是否是系统合法用户过程;授权:判断系统内用户可以访问或具有访问哪些资源权限。使用方法:在已有的项目pom.xml文件中导入SpringSecurity的依赖。
新版 Spring Security 配置的变化
在计算机领域混战了5年的java开发工程师,正在向全栈奋斗的路上。目前在学习和分享:Java,springboot,spring,vue,系统开发,服务器运维(可做毕业设计)等相关知识。
04-10 6784
现在过滤器链的配置,我们通过提供一个 SecurityFilterChain Bean配置过滤器链,SecurityFilterChain 是一个接口,这个接口只有一个实现类 DefaultSecurityFilterChain,构建 DefaultSecurityFilterChain 的第一个参数是拦截规则,也就是哪些路径需要拦截,第二个参数则是过滤器链,这里我给了一个空集合,也就是我们的 Spring Security 会拦截下所有的请求,然后在一个空集合中走一圈就结束了,相当于不拦截任何请求。
SpringSecurity Filter处理流程
永生只是一场幻梦
03-09 7617
首先,看一下调试的配置 FilterChainProxy的处理过程 这是一个典型的责任链模式,推荐看一下这个博客 http://www.verydemo.com/demo_c143_i2473.html SecurityContextPersistenceFilter 功能:负责从SecurityContextRepository获取或存储
Spring Security(09)——Filter介绍
热门推荐
Elim的博客
06-07 1万+
Spring Security的底层是通过一系列的Filter来管理的,每个Filter都有其自身的功能,而且各个Filter在功能上还有关联关系,本文主要描述Spring Security是如何通过一系列的Filter来实现它的核心功能的,Spring Security中已经定义了哪些内置的Filter,作用是什么,以及如何添加自定义的Filter到已有的Filter链中。
Spring Security
xiaopang2020的博客
05-30 912
这个类中没有多余的逻辑,都是HttpSecurity内部配置类中重写的方法执行,HttypSecurit的内部配置类就是我们通过HttpSecurity点出来的属性配置,比如:CsrfConfigurer,构建的时候,传入的就是上层配置类的HttpSecurity。,保存了各个SecurtiyConfigure初始化构建的HttpSecurity,httpSecurity经过build后返回的DefaultSecurityFilterChain对象,这个对象中包含的匹配路径,对应的过滤器集合。
SpringSecurity安全框架基础Demo
01-02
这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心功能。 **1. 用户认证** 在Spring Security中,用户认证主要由Authentication对象负责。当用户尝试访问受保护的资源时,...
Spring security 自定义密码加密方式的使用范例。
09-15
2. **配置Spring Security**:在Spring Security配置类中,使用自定义的密码编码器替换默认的。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter ...
SpringSecurity里面15个过滤器链(受到版本等影响可能不一样)
weixin_52861960的博客
06-07 379
SpringSecurity里面15个过滤器链(受到版本等影响可能不一样)
四、Spring Security默认过滤器链及自定义Filter
panchang199266的博客
05-26 8870
别名 类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SE...
SpringSecurity默认Filter详解
WayneHu的博客
09-20 1563
SpringSecurity默认Filter详解
spring security 2中使用通过自定义过滤器实现多登录页面
zgmzyr的专栏
05-17 3379
<br />转载于:http://hi.baidu.com/jogcy/blog/item/42a49ef7af6af52f720eeca9.html<br /> <br />最近近在应用Spring Security的时候,积累了一些心得,写出来希望能给需要的人一些启示,毕竟网上对于spring security配置和应用不是很多,大多是一些介绍acegi应用老文章。希望大家提出宝贵意见。此文的相应设置适用于spring security2.x。<br /><br /><br />Spring Secu
SpringSecurity系列 - 11 前后端分离表单认证:自定义过滤器替换 UsernamePasswordAuthenticationFilter
你今天真好看呀
09-16 2902
SpringSecurity系列一:10 传统Web项目表单认证: UsernamePasswordAuthenticationFilter 过滤器在前后端分离的项目中,前端会以 json 格式来传递参数,这就需要我们自定义登录过滤器链来实现。
SpringSecurity使用记录(五)-- 配置
cfeng1718的博客
06-16 498
一直通过默认配置进行设置: namespace(是security 3.0,网上也看到一些兄弟描述的是3.0,但是总是不符合我这里的namespace配置): 按照默认配置的http(这是用来根据namespace设置的基本的security过滤器chain): auto-config=true时,就相当于 也就是使用了默认过滤器。...
spring security标准过滤器以及排序
johnhuster的专栏
08-10 1770
spring security标准过滤器以及排序
9. Spring Security Filter
一个人的人生
11-29 866
Filter 目录 1.1     Filter顺序 1.2     添加FilterFilterChain 1.3     DelegatingFilterProxy 1.4     FilterChainProxy 1.5     Spring Security定义好的核心Filter 1.5.1    FilterSecurityInterceptor 1.5.2    E
springsecurity使用自定义filter拦截Login
05-10
<think>好的,我需要帮助用户在Spring Security中自定义Filter来拦截登录请求,并且给出一个示例。首先,我需要回忆一下Spring Security的基本架构和相关组件。 根据用户提供的引用内容,特别是引用[1]提到的UsernamePasswordAuthenticationFilter,这个过滤器默认处理/login的POST请求。用户的需求是自定义一个Filter来拦截登录请求,可能需要替换或扩展这个默认过滤器。 首先,我应该考虑如何创建自定义的Filter。通常,自定义Filter需要继承OncePerRequestFilter或者实现Filter接口,并重写doFilterInternal方法。此外,可能需要将自定义的Filter插入到Spring Security过滤器链中的适当位置,通常在UsernamePasswordAuthenticationFilter之前或之后。 接下来,参考引用[4]中的配置示例,用户需要在web.xml配置DelegatingFilterProxy来启用Spring Security过滤器链。不过,现在更常见的是使用Java配置方式,比如通过继承WebSecurityConfigurerAdapter并重写configure方法。 在自定义Filter中,用户可能希望在执行登录认证之前进行一些处理,比如参数校验、日志记录、验证码校验等。例如,在用户提交登录请求时,检查请求中是否包含验证码字段,如果验证码不正确,直接返回错误响应,而不用继续执行后续的认证流程。 然后,如何将自定义的Filter添加到Spring Security过滤器链中呢?根据引用[3]中的说明,Spring Security构建在过滤器和拦截器之上,因此需要确定自定义Filter的位置。通常,可以使用addFilterBefore或addFilterAfter方法将自定义的Filter放置在特定的标准过滤器之前或之后。例如,如果要在UsernamePasswordAuthenticationFilter之前执行自定义逻辑,可以将自定义Filter添加到该过滤器之前。 需要注意的是,如果自定义的Filter处理的是登录请求,可能涉及到修改请求参数,或者在认证成功后添加额外的处理,这时需要确保不影响Spring Security原有的认证流程。例如,在验证码校验通过后,再将请求传递给UsernamePasswordAuthenticationFilter进行用户名和密码的认证。 另外,参考引用[2]中的资料,特别是关于自定义Login方法的部分,可能需要配置HttpSecurity来指定登录处理的URL,并关联自定义的Filter。例如,使用formLogin().loginProcessingUrl("/login")来指定处理登录的URL,并将自定义Filter配置在该URL的请求处理流程中。 最后,需要提供一个具体的代码示例,展示如何创建自定义Filter,并将其集成到Spring Security配置中。这包括自定义Filter的类实现,以及在配置类中添加该Filter过滤器链的步骤。同时,要确保示例代码的正确性,比如使用正确的注解和配置方法。 在示例中,可以展示一个简单的验证码校验过滤器,拦截/login请求,检查请求中的验证码参数是否正确。如果正确,则继续执行过滤器链;如果不正确,则返回401错误。这需要覆盖doFilterInternal方法,并从HttpServletRequest中获取参数,进行校验。同时,在Spring Security配置类中,使用addFilterBefore方法将该自定义Filter添加到UsernamePasswordAuthenticationFilter之前。 需要提醒用户,自定义Filter时要考虑安全性和异常处理,比如在验证码校验失败时,如何正确地终止请求并返回错误信息,避免泄露敏感信息。此外,可能还需要处理跨域、CSRF等安全问题,但根据用户的问题,可能暂时不需要涉及这些。 总结步骤: 1. 创建自定义Filter类,继承OncePerRequestFilter,重写doFilterInternal方法。 2. 在方法中检查请求是否为登录请求,如果是,进行自定义处理(如验证码校验)。 3. 校验通过时,调用filterChain.doFilter继续后续流程;校验失败时,返回错误响应。 4. 创建Security配置类,继承WebSecurityConfigurerAdapter,重写configure方法。 5. 使用HttpSecurity的addFilterBefore方法将自定义Filter添加到UsernamePasswordAuthenticationFilter之前。 6. 配置登录URL和其他安全设置,确保自定义Filter能够正确拦截请求。 可能遇到的问题包括过滤器顺序不正确导致自定义逻辑未执行,或者未正确处理请求导致认证流程中断。因此,在示例中需要明确过滤器的位置和异常处理机制。 另外,用户可能需要了解如何获取请求中的参数,以及如何返回JSON格式的错误响应,这涉及到HttpServletRequest和HttpServletResponse的处理。例如,使用response.getWriter().write()发送错误信息,并设置Content-Type为application/json。 最后,确保示例代码符合Spring Security的最新实践,比如使用Spring Boot和Java配置方式,而不是传统的XML配置。同时,检查是否有遗漏的依赖或配置步骤,比如是否需要启用Web安全,或者配置AuthenticationManager。</think>在Spring Security中实现自定义Filter拦截登录请求可分为四个步骤:创建过滤器配置过滤位置、集成安全配置、测试验证逻辑。以下示例演示如何添加验证码校验过滤器到登录流程: ### 一、创建自定义过滤器类 ```java @Component public class CaptchaFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 仅拦截登录请求 if ("/login".equals(request.getServletPath()) && "POST".equalsIgnoreCase(request.getMethod())) { String captcha = request.getParameter("captcha"); String sessionCaptcha = (String) request.getSession() .getAttribute("CAPTCHA_KEY"); if (StringUtils.isEmpty(captcha) || !captcha.equals(sessionCaptcha)) { response.setStatus(HttpStatus.UNAUTHORIZED.value()); response.setContentType("application/json"); response.getWriter().write("{\"error\":\"验证码错误\"}"); return; // 中断过滤器链 } } filterChain.doFilter(request, response); // 继续执行后续过滤器 } } ``` ### 二、配置安全过滤器链 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CaptchaFilter captchaFilter; @Override protected void configure(HttpSecurity http) throws Exception { http .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .loginProcessingUrl("/login") .defaultSuccessUrl("/home"); } } ``` ### 三、关键配置解析 1. **过滤器定位**:通过`addFilterBefore`将验证码过滤器放置在`UsernamePasswordAuthenticationFilter`之前[^3],确保在Spring Security处理登录认证前执行自定义逻辑 2. **请求识别**:`loginProcessingUrl("/login")`声明登录端点,与过滤器的路径匹配逻辑对应[^1] 3. **响应处理**:验证失败时直接写入JSON响应并终止请求,避免进入后续认证流程 ### 四、执行流程说明 1. 用户提交POST请求到`/login` 2. `CaptchaFilter`优先执行验证码校验 3. 验证通过 → 进入`UsernamePasswordAuthenticationFilter`处理用户名密码 4. 验证失败 → 返回401状态码和错误信息
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值