SpringSecurityOauth2中关于Oauth2的过滤器设计和SpringSecurity过滤器的设计以及他们的执行顺序

最新推荐文章于 2025-03-25 06:00:00 发布
最新推荐文章于 2025-03-25 06:00:00 发布
阅读量964 收藏
点赞数
分类专栏: SpringSecurity - 资源服务器 文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_54554770/article/details/128332302
版权
本文详细介绍了SpringSecurityOauth2中Oauth2过滤器与SpringSecurity过滤器的设计和执行顺序。资源服务器的过滤器通过继承ResourceServerConfigurerAdapter并启用@EnableResourceServer来创建过滤器链。SpringSecurity的过滤器则分为configure(WebSecurity web)和configure(HttpSecurity http)两个部分,前者用于设置非业务请求的过滤,后者用于业务过滤器链。执行顺序为:configure(WebSecurity web) -> Oauth2过滤器链 -> SpringSecurity过滤器链。配置不当可能导致无法获取SpringSecurity上下文中的用户信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

简单记录一下吧,他们的执行顺序网上有很多很多的解释,但是哈, 我一直没找到正确的理解,也不知道是不是我搜索方式问题还是我自己理解错了,这表达一下我自己Debug源码的理解

Oauth2的过滤器(资源服务器)

Oauth2的过滤器 其实就是 继承 ResourceServerConfigurerAdapter 这个类后重写其中的 configure(HttpSecurity http)方法 ,代码如下:

@Override
public void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()//得到SpringSecurity接管的请求
            .antMatchers("/api/user/login").permitAll() // 表示 所有请求中 只要匹配了 /system/api/user/login 这个请求 则 放行
            .anyRequest().authenticated()
            .and()
            .csrf().disable();
}

其实只要 ResourceServerConfigurerAdapter 并 加上 @EnableResourceServer 这个注解, 然后重写 configure(HttpSecurity http) 这个方法 就会出现 一个过滤器链 匹配规则是 /** 的 ,

SpringSecurity 过滤器

SpringSecurity 过滤器 , 有两个地方可以设置,代码如下

@Override
public void configure(WebSecurity web) throws Exception {
    // 方便spring boot admin监控
    web.ignoring().antMatchers("/api/test/token");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // oauth的登录页面嵌入到其他frame页面,它们必须是同一个域
    // 关闭csrf
    http.csrf().disable();
    // ResourceServerConfig和WebSecurityConfig都必须配置关于登录页面的配置
    http
            .antMatcher("ssss")
            .authorizeRequests()
            .antMatchers("/sss", "/aaa").permitAll()
            .anyRequest().authenticated();
}

configure(WebSecurity web) 这个地方 我的理解他是一个过滤器连, 但是他没有过滤器, 所以说我不太确定他是不是一个过滤器连, 他这里这样设计时以为有些请求哈 ,比如说 swagger的一些请求,这些请求并不需要去走一些过滤器,因为他不是业务请求,过滤器的设计一般都是业务,这是我的理解,不知道对不对, 当他匹配不到过滤器的时候 就意味着 直接请求资源了,无需进行一些业务上的操作,这个地方实际项目中要设置很多一些跟项目业务无关的Url,都是在这个地方设计的, 而且 这个过滤器链 是放在集合中首个位置,匹配上了直接放行 , 其次 是 Oauht2中的过滤器链,再者 就是SpringSecurity 过滤器链,也就是configure(HttpSecurity http)这个方法设计的过滤器链啦, 具体debug的截图我就不放了 因为已经下班咯 不搞了 有时间再补图

总结一下:
先执行 configure(WebSecurity web) 这个方法对应的过滤器链
然后执行 Oauth2的过滤器链
最后执行 SpringSecurity 过滤器链 configure(HttpSecurity http)

补充一下 举个例子哈 如果把一些需要访问控制的业务资源接口放到第一个过滤器链中 , 那么 你在SpringSecurity上下文中 是获取不到当前用户信息的, 那是因为他匹配不到过滤器 就直接放行了 不走 将认证结果放入SpringSecurity的上下文中,但是放在第二个第三个过滤器链中 是可以访问到的,现在理解了吧,嘿嘿~~

OAuth 2.0 授权服务器配置信息端点过滤器
PcTechpro的博客
09-19 228
在上面的示例代码中,我们创建了一个自定义的授权服务器配置信息端点,并使用 @GetMapping 注解将该端点映射到 “/.well-known/oauth-authorization-server” 路径。在 Spring Security 中,OAuth2AuthorizationServerMetadataEndpointFilter 是一个重要的过滤器,用于公开授权服务器的配置信息端点。通过正确地配置使用该过滤器,我们可以方便地提供授权服务器的配置信息,从而实现安全可靠的身份验证授权机制。
SpringSecurity&Oauth2权限过滤链配置与解析
天然玩家的博客
08-15 1430
1 SpringSecurity权限过滤链 SpringSecurity权限过滤链走向如图1.1所示。 图1.1 SpringSecurity权限过滤链 由图1.1可知SpringSecurity权限过滤链有三部分构成,优先级由高到低分别为: (1)AuthorizationServerConfigurerAdapter (2)ResourceServerConfigurerAdapter (3)WebSecurityConfigurerAdapter 即先从AuthorizationServerCon
spring security oauth 自定义过滤器顺序_spring-security-oauth2官方jwt-demo运行实例解析...
weixin_36278243的博客
01-23 604
简述在开发过程中权限控制必不可少,如何选择一款优秀的权限架构是一份很头疼的事,而shirospring-security则是市面上比较优秀的两款权限开源框架,通过改造对应的定制化源码扩展出自己业务所需的架构。下面主要来运行一下官方spring-security-oauth2权限框架的测试demo,通过运行的效果来初步认识这款权限架构。1、下面是从官方下载[源码地址:https://github....
SpringSecurity过滤器链:核心过滤器执行顺序与职责
最新发布
程序媛学姐的博客
03-25 805
Spring Security的过滤器链是基于Servlet规范的Filter接口实现的,通过DelegatingFilterProxy与Spring的应用上下文集成。在Spring Security 5.4版本之前,过滤器链由FilterChainProxy管理,它包含一个或多个SecurityFilterChain,每个SecurityFilterChain包含多个Spring Security过滤器
SpringSecurity - 启动流程分析(十一)- 过滤器执行顺序
业精于勤荒于嬉
08-25 2143
SpringSecurity - 启动流程分析(十一)- 过滤器执行顺序
SpringSecurity过滤器顺序
海贼懒懒
07-30 1万+
官网地址 官网定义的关键过滤器顺序: 源码里所有的过滤器顺序: 默认情况会启动以下过滤器: (默认设置在:WebSecurityConfigurerAdapter 的 getHttp()方法里) 怎么替换默认的过滤器: http.addFilterAt() 不能替换默认的过滤器,只是在相同的位置放置一个过滤器,原本的过滤器仍然起作用 可以disa...
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 4142
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
学习这门课程,开发者将不仅理解Spring SecurityOAuth2的基本原理,还能掌握如何在实际项目中灵活运用,从而提高企业级应用的安全性可靠性。对于任何希望提升安全技能的Java开发者来说,这是一份不可多得的学习...
sample-gateway-oauth2login:结合了Spring Cloud GatewaySpring Security OAuth2的示例应用程序
01-30
在当今的微服务架构中,Spring Cloud Gateway作为一款强大的API网关,广泛应用于服务路由、过滤器处理安全控制等方面。而Spring Security OAuth2则提供了全面的身份验证授权框架,确保系统安全。本文将深入探讨...
oauth过滤login_Spring Security:OAuth2自定义过滤器,用于验证密码过期错误处理
weixin_34588509的博客
12-23 1073
我一直在尝试实现OAuth2密码到期过滤器,我不确定这样做的正确方法 . 想法如下:用户尝试登录 .如果密码已过期,用户将获得包含令牌的标头的响应 .用户使用该令牌重定向到密码更改页面(即/ password-change /) .他提交了他的旧密码新密码,它会被更改 .某些其他控制器通过该令牌检索用户ID,并执行其余密码更改逻辑 .用户应该被重定向回初始登录页面,在那里他用新密码登录(如果他在...
Spring Security Spring Cloud OAuth2 技术栈对比分析
AI天才研究院
09-14 2535
目前随着互联网应用的发展,安全问题也日益突出。越来越多的人选择前沿的技术框架来构建他们的产品服务。其中,Spring Security是一个开源的基于Java开发的安全框架,它提供身份验证、授权访问控制功能。Spring Cloud则是一个微服务架构下的一站式云端开发平台。本文将从安全架构的角度,探讨Spring SecuritySpring Cloud OAuth2两种不同的安全技术方案。
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\application.properties中MySQL的主机配置 修改defender-oauth2-resource\src\main\resources\application.properties中MySQL的主机配置 ##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-authorization模块下AuthorizationApplication类的main方法。 ###启动资源服务器 运行defender-oauth2-resource模块下ResourceApplication类的main方法。 ###启动客户端服务器 运行defender-oauth2-client模块下ClientApplication类的main方法。 ##访问客户端主页面 在浏览器访问:localhost:8882/defender,测试5中不同授权模式。 ##后期工作 支持缓存 添加Spring Security防御功能
Oauth2】五、登陆认证过滤器OAuth2LoginAuthenticationFilter
weixin_43333483的博客
07-23 1184
outh2过滤器的学习记录
oauth过滤login_在Spring Boot 2上实现基于过滤器的JWT身份验证与OAuth2 JWT身份验证
weixin_42113380的博客
12-23 167
As I can understand, OAuth2 framework needs a custom JWT authentication server and I have to create a custom security filter with JWT utility class for the filter-based JWT implementation.However my q...
spring oauth2 OAuth2AuthenticationProcessingFilter 校验token过滤器
weixin_34399060的博客
11-20 1703
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security Oauth2 添加自定义过滤器oauth2认证后API权限控制
热门推荐
Little_fxc的博客
06-18 2万+
Spring Security Oauth2 添加自定义过滤器oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户他的权限。 auth 系统的主要功能是授权认证鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
SpringSecurity OAuth2过滤器源码解读。
weixin_45111933的博客
07-31 2528
chain.doFilter源码。2,当用户访问时,比如(/oauth/token)uri时,第一个拦截的filter是ClientCredentialsTokenEndpointFilter,而拦截的方法,在其父类AbstractAuthenticationProcessingFilter的doFilter方法中。3,requiresAuthentication(request,response)方法,该方法主要是进行uri路径的匹配,只有当访问的uri是/oauth/token时,才会返回true。..
Spring Security原理学习--核心过滤器Filter(二)
井底之蛙
10-14 7487
在上一篇博客Spring Security原理学习--简介与示例(一)中已经简单介绍了Spring Security相关的东西, 这篇博客我们介绍一下Spring Security相关的实现机制  。首先Spring Security的认证功能是依赖Filter实现的,当然在认证功能基础上还提供了一些安全的验证等都是依赖Filter来实现完成的,如下截图Spring Security提供了13个功...
通过过滤器链了解spring security + oauth2实现单点登录的过程
a595077052的专栏
08-04 804
一、系统 注意部署在同一机器(localhost)上的三个应用,为了防止存放在cookie中的JSESSIONID不被覆盖,需要设置不同的path,可以在配置文件中指定不同的上下文路径,如:servlet: context-path: /crm、servlet: context-path: /oa 认证中心系统OAUTHSERVERhttp://localhost:8888 客户端系统1CRMhttp://localhost:8090/crm 客户端系统2OAhttp://localhost...
oauth过滤login_spring cloud OAuth2资源服务器过滤器链路浅析
weixin_35064481的博客
12-23 956
1. 导语在Spring cloud体系中设计OAuth2应用时,当我们使用@EnableResourceServer注解把某个spring boot应用声明为一个OAuth2的资源服务器时,spring cloud将会创建一系列的web安全过滤器链。接下来,我将带大家一起将分析spring cloud的源码,分析过滤器链路的工作原理。2. spring cloud的web安全配置spring b...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值