Spring Security中 默认过滤器链

最新推荐文章于 2025-04-03 15:40:57 发布
最新推荐文章于 2025-04-03 15:40:57 发布
阅读量421 收藏
点赞数 1
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33767353/article/details/133027892
版权

Spring Security中,默认的过滤器链包含了多个过滤器,用于处理身份验证、授权和其他安全相关的任务。以下是Spring Security中常见的一些默认过滤器:

1. ChannelProcessingFilter :处理HTTP和HTTPS之间的通道安全。

2. SecurityContextPersistenceFilter :负责在请求之间持久化 SecurityContext ,以便在处理后续请求时可以访问用户的安全上下文。

3. ConcurrentSessionFilter :处理并发会话控制,以确保用户在同一时间只能拥有一个有效的会话。

4. LogoutFilter :处理登出请求,清除用户的身份验证信息。

5. UsernamePasswordAuthenticationFilter :处理基于用户名和密码的身份验证请求。

6. DefaultLoginPageGeneratingFilter :生成默认的登录页面。

7. DefaultLogoutPageGeneratingFilter :生成默认的登出页面。

8. BasicAuthenticationFilter :处理基本身份验证请求。

9. RequestCacheAwareFilter :处理请求缓存,以便在重定向后恢复原始请求。

10. SecurityContextHolderAwareRequestFilter :将 SecurityContextHolder 设置为 SecurityContext 的请求。

11. AnonymousAuthenticationFilter :处理匿名用户的身份验证。

12. SessionManagementFilter :处理会话管理,例如会话过期和并发控制。

13. ExceptionTranslationFilter :处理异常,将安全异常转换为适当的HTTP响应。

14. FilterSecurityInterceptor :负责对请求进行授权,根据用户的权限决定是否允许访问。 这只是一些常见的默认过滤器,实际上,Spring Security还提供了其他过滤器,可以根据需求进行自定义和配置。默认过滤器链的具体配置和顺序可以通过Spring Security的配置进行调整和扩展。

这个默认的过滤器链顺序是经过精心设计的,以确保在处理身份验证、授权和其他安全相关任务时的正确顺序和逻辑。每个过滤器都有其特定的功能和责任。 如果想改变默认的过滤器执行顺序,可以通过Spring Security的配置进行调整。可以使用 HttpSecurityaddFilterBeforeaddFilterAfter 方法来添加自定义过滤器,并指定其在默认过滤器链中的位置。这样可以影响过滤器的执行顺序。 改变默认过滤器的执行顺序可能会影响登录认证流程,特别是涉及到身份验证和授权的过滤器。因此,在调整过滤器的执行顺序时,需要仔细考虑其影响,并确保新的顺序符合需求和安全要求。

*小海豚*
关注
Spring Security 6.x 系列(4)—— 基于过滤器的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
SpringSecurity——默认过滤器
weixin_30810583的博客
11-14 225
介绍Spring Security默认过滤器,介绍顺序按照过滤器过滤器中的顺序排序 1、WebAsyncManagerIntegrationFilter 将Security上下文与Spring Web中用于处理异步请求映射的 WebAsyncManager 进行集成。 2、SecurityContextPersistenceFilter 在每次请求处理之前将该请求相关的安全上下文信息...
Spring Security 默认过滤器
u013421749的专栏
11-24 840
官网位置:http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters 转载自:http://www.jianshu.com/p/deb512b41f99
SpringSecurity默认Filter详解
WayneHu的博客
09-20 1453
SpringSecurity默认的Filter详解
spring security框架-系统默认过滤器
qq_26462567的博客
08-24 666
spring security框架-系统默认过滤器
Spring Security 默认的 11 道 Filter
weixin_34342578的博客
10-29 247
如果你有使用过 Spring Security,我相信你对下面的配置肯定不会陌生: @Override protected void configure(final HttpSecurity http) throws Exception { // @formatter:off http .authorizeRequests() ...
SpringSecurity中的过滤器与自定义过滤器
pan_junbiao的博客
12-30 1166
Spring Security 中的过滤器(Filter Chain)是一个核心的概念,它定义了一系列过滤器,这些过滤器按照特定的顺序处理HTTP请求,并负责执行各种安全任务,如身份验证、授权、CSRF 保护等。过滤器是由多个过滤器组成的式结构,请求依次经过每个过滤器,每个过滤器可以决定是否继续传递请求。此外,Spring Security 还允许开发人员自定义过滤器,并将其添加到安全过滤器中。这使得可以根据特定的业务需求,扩展安全过滤器的功能。
springSecurity(一):认识springSecurity过滤器
qq_43586337的博客
06-11 1411
springSecurity学习笔记
Spring Security06 - 过滤器实现
最新发布
qq_43350524的博客
04-03 937
Spring Security06 - 过滤器实现
Spring Security之认证过滤器
Evan_L的博客
03-24 1324
上回我们探讨了关于Spring Security,着实复杂。这次咱们聊的认证过滤器就先聊聊认证功能。涉及到多方协同的功能,咱分开聊。也给小伙伴喘口气,嘻嘻。此外也是因为只有登录认证了,才有后续的更多功能集成的可能。
Spring Security系列教程05--Spring Security默认Filter
qq_38737545的博客
03-28 238
可以看出spring security提供了30多个过滤器默认情况下springboot对spring security进行自动化配置时,会创建一个名为SpringSecurityFilterChain的过滤器,并注入到spring容器中,这个过滤器将负责所有安全管理,包括用户认证、授权、重定向到登陆页等。官网中已经将spring security的所有过滤器全部列出了,我整理成一下表格。具体加载顺序可以debug源码。
spring security 3 auto-config=“true”
04-21 1169
SecurityContextPersistenceFilter LogoutFilter UsernamePasswordAuthenticationFilter BasicAuthenticationFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter Anonymous
SpringSecurity - 启动流程分析(四)- 默认过滤器
业精于勤荒于嬉
08-14 913
SpringSecurity - 启动流程分析(四)
【第五章】Spring Security自动配置之默认拦截策略
单纯的小孩的博客
10-15 1124
上面我们说明了,Spring Security默认给我们配置的是FilterSecurityInterceptor过滤器做最后的是否放行判断,实际使用中我们通常都会自定义配置,且会配置成AuthorizationFilter作为最后是否放行判断的过滤器,现在开始我们开始自己配置了,首先配置拦截策略:创建配置器:看看这个配置器的配置:这里会发现配置器会帮助我们创建过滤器AuthorizationFilter,还记不记得HttpSecurity中配置的过滤器的顺序?
Spring Security 6 系列之三 - Filter过滤器
代码还是得自己扣
12-18 1664
关于Spring Security的底层原理大概讲这么多。Spring Security过滤器有那么多,我们这里主要讲的是几个经常使用到的,其它的过滤器后续遇到需要自定义配置的时候,我们再讲解。Spring Security默认配置显然不能符合一个真正的业务需求,那么下一章我们就要开始做各种自定义配置。
spring securityspring bean组成的过滤器如何初始化的
nobody
09-20 3034
pring securityspring bean组成的过滤器如何初始化的 spring security 框架的安全是基于过滤器的,但此filter是被spring容器托管的. 一般我们会在web.xml文件中配置一个代理过滤器: springSecurityFilterChain org.springframework.web.filter.DelegatingF
Spring Security 的ChannelProcessingFilter 使用https请求
rabbit0708的专栏
05-08 2480
7.4.6  确保一个安全的通道 字母“s”是Internet上最重要的字母。任何一个在Web上冲浪超过五分钟的人都知道绝大多数Web页面均与以“http://”打头的URL相关联。那是因为绝大多数Web页面都通过HTTP协议被请求和发送。 对于绝大多数页面来说,HTTP完全够用,但是当有秘密信息在Internet上四处传输时就不够用了。通过HTTP发送的信息很容易被无法无天的黑客截获和读取,
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2640
这文章主要用来分析Spring Security中的过滤器包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
springsecurity过滤器过滤器顺序
02-24
### Spring Security 过滤器中的各个过滤器执行顺序 在Spring Security框架内,多个过滤器按照预定义的顺序排列并依次调用以完成一系列的安全控制任务。这些过滤器被设计成能够处理诸如身份验证、访问权限检查等功能,并且每一个都有独特的角色。 #### 默认情况下,Spring Security过滤器通常遵循如下顺序: 1. **WebAsyncManagerIntegrationFilter** 此过滤器用于支持异步请求下的安全上下文传播[^2]。 2. **SecurityContextPersistenceFilter** 负责保存和恢复`SecurityContextHolder`中的`SecurityContext`对象,在每次HTTP请求开始时初始化安全上下文,并在结束时清理它。 3. **HeaderWriterFilter** 添加必要的响应头来增强安全性,比如防止点击劫持(X-Frame-Options),设置缓存策略(Cache-Control)等。 4. **CsrfFilter** 实现跨站请求伪造保护机制,通过比较客户端提交的CSRF令牌与服务器端存储的一致性来进行防护。 5. **LogoutFilter** 处理用户的登出逻辑,当接收到匹配路径的POST请求时触发注销过程。 6. **UsernamePasswordAuthenticationFilter** 验证基于用户名/密码的身份凭证,默认绑定到/login URL上。 7. **DefaultLoginPageGeneratingFilter & DefaultLogoutPageGeneratingFilter** 当未提供自定义登录页面或退出页面时自动创建默认版本。 8. **ConcurrentSessionFilter** 控制同一用户的同时在线会话数量,超出限额则拒绝新连接。 9. **OAuth2LoginAuthenticationFilter, Saml2WebSsoAuthenticationFilter**, etc. 支持多种第三方认证方式如OAuth2/SAML SSO协议。 10. **RequestCacheAwareFilter** 如果之前存在重定向,则尝试从缓存中检索原始请求信息以便继续处理。 11. **SecurityContextHolderAwareRequestWrapperFilter** 将当前线程关联的安全上下文封装进HttpServletRequest对象中供后续使用。 12. **RememberMeAuthenticationFilter** 对于启用了记住我的服务,此过滤器会在成功登录后向浏览器发送持久化Cookie。 13. **AnonymousAuthenticationFilter** 若无其他形式的有效认证,则为匿名用户提供临时身份标识。 14. **SessionManagementFilter** 管理会话固定攻击风险以及强制单一会话等问题。 15. **ExceptionTranslationFilter** 捕获所有抛出自定义异常(如AccessDeniedException),并将它们转换成适当类型的HTTP错误状态码返回给客户端;同时也会处理来自下游过滤器未能解决的身份验证需求[^3]。 16. **FilterSecurityInterceptor (FSI)** 作为最后一个核心组件,负责实际执行资源级别的授权决策,即判断已认证主体是否有权访问指定URL模式所代表的目标资源。 以上就是典型的Spring Security过滤器条路及其工作次序描述。值得注意的是,开发者可以根据项目具体需求调整这个列表内的成员构成及位置关系,甚至添加额外定制化的过滤单元。 为了配置上述提到的各种过滤器,可以利用Java Config 或 XML命名空间的方式进行声明式编程。对于大多数现代应用程序而言,推荐采用前者——借助@EnableWebSecurity注解配合SecurityConfig类内部的方法注入实现灵活而强大的安全设定。 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 定义受保护资源规则 .anyRequest().authenticated() // 其他任何请求都需要经过身份验证 .and() .formLogin(); // 开启表单登陆功能 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值