SpringSecurity过滤器

最新推荐文章于 2025-05-28 07:28:19 发布
原创 最新推荐文章于 2025-05-28 07:28:19 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解读Spring Security中的DelegatingFilterProxy加载过程,重点介绍默认的15个关键过滤器,包括SecurityContextPersistenceFilter、CsrfFilter等,帮助理解Spring Security的认证与权限管理机制。

一、过滤器加载过程

1.DelegatingFilterProxy

在web.xml中配置过滤器
在这里插入图片描述
进入doFilter方法
在这里插入图片描述
invokeDelegate方法执行FilterChainProxy的doFilter
在这里插入图片描述
最终采用遍历的方式执行十五个默认的过滤器
在这里插入图片描述

二、默认的15个过滤器

1.org.springframework.security.web.context.SecurityContextPersistenceFilter

首当其冲的一个过滤器,非常重要
主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文,SecurityContext中存储了当前用户的认证和权限信息。

2.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter

此过滤器用于继承SecurityContext到Spring异步执行机制中的WebAsyncManager,和spring整合必须的。

3.org.springframework.security.web.header.HeaderWriterFilter

向请求的header中添加响应的信息,可以在http标签内部使用security:headers来控制

4.org.springframework.security.web.csrf.CsrfFilter

Csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含则报错,起到防止csrf攻击的效果

5.org.springframework.security.web.authentication.logout.LogoutFilter

匹配URL为/logout的请求,实现用户退出,清楚认证信息

6.org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

认证操作全靠这个过滤器,默认匹配URL为/login且必须为POST请求

7.org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

如果没有在配置文件中指定认证页面,则由该过滤器生成一个默认的认证界面

8.org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter

由此过滤器生成一个默认的退出登录页面

9.org.springframework.security.web.authentication.www.BasicAuthenticationFilter

此过滤器会自动解析HTTP请求中头部名字为Authentication,且以Basic开头的头部信息

10.org.springframework.security.web.savedrequest.RequestCacheAwareFilter
  通过HttpSessionRequestCache内部维护一个RequestCache,用于缓存HttpServletRequest

11.org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

针对ServletRequest进行一次包装,使得request具有更加丰富的API

12.org.springframework.security.web.authentication.AnonymousAuthenticationFilter

当SecurityContextHolder中认证信息为空,则会创建一个匿名用户存储到SecurityContextHolder中,SpringSecurity为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份

13.org.springframework.security.web.session.SessionManagementFilter

SecurityContextRepository限制同一个用户开启多个会话的数量

14.org.springframework.security.web.access.ExceptionTranslationFilter

异常转换过滤器位于整个SpringSecurityFilterChain的后方,用来转换整个链路中出现的异常

15.org.springframework.security.web.access.intercept.FilterSecurityInterceptor

获取所有配置资源的访问授权信息,根据SecurityContextHolder中存储的用户信息来决定其是否有权限。

SpringSecurity框架专题》-02常用过滤器
专业的计算机毕业设计指南
08-26 867
文章目录1.常见的过滤器1.1.SecurityContextPersistenceFilter1.2.WebAsyncManagerIntegrationFilter1.3.HeaderWriterFilter1.4.CsrfFilter1.5.LogoutFilter1.6.UsernamePasswordAuthenticationFilter1.6.DefaultLoginPageGeneratingFilter1.8.DefaultLogoutPageGeneratingFilter1.9.Bas
Spring Security介绍(三)过滤器(2)自定义过滤器拦截器
w_t_y_y的博客
04-27 2699
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
Spring Security内置过滤器详解_springsecurity过滤器,2024年最新大数据开发开发入门教程
2401_84166896的博客
04-17 1346
/设置SecurityContextHolderStrategy context。//当前请求是否是logoutSuccessUrl指定的地址。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器。//当前请求是否是failureUrl指定的地址。//生成一个默认的登录页。//否则执行下一个过滤器。//地址是/logout。//获取当前的权限配置。//生成一个登出页面。
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 4336
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
【Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
热门推荐
小威的博客
04-18 1万+
Spring Security过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链机制和特性详解 Spring Security 过滤器链是 Spring Security 框架中的一种核心机制,负责处理 HTTP 请求的安全验证和授权。今天,我们将深入探讨 Spring Security 过滤器链的机制和特性,...
SpringSecurity过滤器链:核心过滤器的执行顺序与职责
程序媛学姐的博客
03-25 1356
Spring Security过滤器链是基于Servlet规范的Filter接口实现的,通过DelegatingFilterProxy与Spring的应用上下文集成。在Spring Security 5.4版本之前,过滤器链由FilterChainProxy管理,它包含一个或多个SecurityFilterChain,每个SecurityFilterChain包含多个Spring Security过滤器
Spring Security过滤器链中自定义过滤器的实现与应用
最新发布
静水深流
05-28 1445
本文介绍了Spring Security中通过addFilterAt()方法在过滤器链特定位置插入自定义认证过滤器的机制。重点分析了三种典型替代方案:静态头值认证、对称密钥签名认证和动态口令认证,并给出静态密钥认证的完整实现示例。文章详细说明了StaticKeyAuthenticationFilter的核心认证逻辑及安全配置集成方法,强调了生产环境中的密钥安全管理要求。此外,还介绍了框架提供的GenericFilterBean和OncePerRequestFilter等增强基类特性,建议在日志记录等场景优先
Spring Security过滤器就该这么配置
欢迎来到我的博客
02-18 827
CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter。
(5)spring security - 过滤器
drsonxu的博客
12-28 1521
本章学习了servlet规范中的一些概念,并尝试在servlet容器中和spring容器中注册自定义的过滤器,了解了servlet容器是通过DelegatingFilterProxy 代理调用spring容器中管理的过滤器Bean。也了解了如何配置过滤器的执行顺序,怎样在安全过滤器链中添加安全过滤器
Spring Security 6 系列之三 - Filter过滤器
代码让AI扣
12-18 2080
关于Spring Security的底层原理大概讲这么多。Spring Security过滤器有那么多,我们这里主要讲的是几个经常使用到的,其它的过滤器后续遇到需要自定义配置的时候,我们再讲解。Spring Security默认配置显然不能符合一个真正的业务需求,那么下一章我们就要开始做各种自定义配置。
SpringSecurity常用过滤器介绍
波波烤鸭的博客
12-05 4969
  本文我们来介绍下SpringSecurity中常用的过滤器及其加载的过程。 一、常用的过滤器   常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter   首当其冲的一个过滤器,非常重要 主要是使用SecurityContextRepository在session...
Spring Security(常见过滤器介绍)
weixin_46619605的博客
10-10 1374
Spring Security的常见过滤器梳理
spring security (一) Filter(过滤器
weixin_54515490的博客
08-09 988
大多数情况下,默认的 security filter 足以为你的应用程序提供安全。然而,有时你可能想在 security filter chain 中添加一个自定义的 filter。例如,假设你想添加一个 Filter,获得一个租户 id header 并检查当前用户是否有访问该租户的权限。前面的描述已经给了我们一个添加 filter 的线索,因为我们需要知道当前的用户,所以我们需要在认证 filter 之后添加它。
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7607
这章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
SpringSecurity(十三)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2462
在Spring Security中,HTTP过滤器会委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器会负责授权配置等等。通常HTTP过滤器会管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器会接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器
Spring Security常见过滤器
王林的博客
09-19 640
这里主要介绍 SpringSecurity 常见的过滤器的作用,方便以后查阅!!!
图解Spring Security默认使用的过滤器
xyz20003的专栏
06-15 503
第 9 章 图解过滤器 图 9.1. auto-config='true'时的过滤器列表 9.1. HttpSessionContextIntegrationFilter 图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...
springSecurity过滤器
09-20
Spring Security过滤器是一系列用于处理认证和授权的过滤器链。在Spring Security中,这些过滤器被组成一个FilterChainProxy对象,并且被称为SpringSecurityFilterChain。 异常转换过滤器(ExceptionTranslationFilter)是Spring Security过滤器链中的一个重要组成部分,用于处理整个链路中出现的异常。它负责将Spring Security的异常转换为适当的HTTP响应码,以及提供相应的错误信息。 除了异常转换过滤器,还有其他一些常用的Spring Security过滤器,例如认证过滤器(AuthenticationFilter)、授权过滤器(AuthorizationFilter)和访问控制过滤器(AccessControlFilter)。这些过滤器协同工作,保护应用程序并确保只有经过身份验证和授权的用户可以访问受限资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值