SpringSecurity过滤器顺序

最新推荐文章于 2025-04-16 09:50:16 发布
原创 最新推荐文章于 2025-04-16 09:50:16 发布 · 1.5w 阅读 · 48 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析Spring Security框架中的关键过滤器及其工作流程,包括默认过滤器的启动顺序、自定义过滤器的实现方法,以及各过滤器如ChannelProcessingFilter、SecurityContextPersistenceFilter、HeaderWriterFilter的功能与配置细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

官网地址 

官网定义的关键过滤器顺序:

 

源码里所有的过滤器顺序:

 

默认情况会启动以下过滤器:

(默认设置在:WebSecurityConfigurerAdapter 的  getHttp()方法里)

 

怎么替换默认的过滤器: 

http.addFilterAt() 不能替换默认的过滤器,只是在相同的位置放置一个过滤器,原本的过滤器仍然起作用

可以disable掉默认的过滤器,例如用自定义的登出过滤器

http.logout().disable();

http.addFilterAt(new MyLogoutFilter(), LogoutFilter.class);

 

部分过滤器的含义:

ChannelProcessingFilter:转换协议时使用,例如将http重定向到https

 

ConcurrentSessionFilter:判断session是否过期以及更新最新访问时间

 

SecurityContextPersistenceFilter:将用户信息绑定到线程

这样全局可通过SecurityContextHolder.getContext().getAuthentication()拿到用户信息

注:如果要拿到request/response信息(这个不是过滤器设置的,是框架默认会绑定到线程)

可通过((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest()

 

HeaderWriterFilter:默认增加以下头部信息

X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY

关闭:http.headers().disable();

只保留缓存控制:http.headers().defaultsDisabled().cacheControl()

注:详细描述可查看官网地址

X-Content-Type-Options: nosniff 表示浏览器必须且只能根据Content-Type字段分辨资源类型(浏览器默认会 猜测资源类型)

X-XSS-Protection:防范XSS攻击

  • 0:禁用XSS保护;
  • 1:启用XSS保护;
  • 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

X-Frame-Options:是否允许页面被嵌套

DENY  表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许
SAMEORIGIN  表示该页面可以在相同域名页面的 frame 中展示
ALLOW-FROM uri  表示该页面可以在指定来源的 frame 中展示

Cache-Control/Pragma/Expires:缓存控制(简单描述

 

CorsFilter: 配置跨域

@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			// by default uses a Bean by the name of corsConfigurationSource
			.cors().and()
			...
	}

	@Bean
	CorsConfigurationSource corsConfigurationSource() {
		CorsConfiguration configuration = new CorsConfiguration();
		configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
		configuration.setAllowedMethods(Arrays.asList("GET","POST"));
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", configuration);
		return source;
	}

 

CsrfFilter: 防止Csrf攻击,通过配置与Session绑定的token,每次请求都需要携带最新的token

注:默认是在前后端不分离的情况下,通过jsp/ft等传递到前端。在前后端分离的情况下,可以增加过滤器使其配置在 json/或者头部

 

LogoutFilter配置登出的处理 一般可设置登出成功的处理,删除cookie,使Session无效等

 

 

UsernamePasswordAuthenticationFilter:验证登录,并可以配置登录成功/失败的处理

                http.formLogin() // 表单登录
                // 登录的界面,前后端分离时不需要这个配置。没登录去访问系统资源时会重定向到这个界面
                .loginPage("/login/home")
                // 登录验证,框架自动实现
                .loginProcessingUrl("/login/verify")
                //  如果直接访问的是登录界面login1,返回的URL,否则会返回重定向到原本请求的URL
                .successHandler(myAuthenticationSuccessHandler)
                //  失败返回的URL
                .failureHandler(myAuthenticationFailureHandler)

 

SecurityContextHolderAwareRequestFilter: 包装类,实现HttpServletRequest的getAuthentication getRemoteUser等方法

 

RememberMeAuthenticationFilter: 配置rememberMe,比如7天之内不需要登录

当拿不到用户信息时(SecurityContextHolder.getContext()为空),会去找key是remember-me的Cookie配置用户信息

 

AnonymousAuthenticationFilter:没有通过username和remember认证的用户赋予匿名身份

 

SessionManagementFilter:session管理:限制同一用户开启多个会话的数量

 

ExceptionTranslationFilter:一般其只处理两大类异常:

AccessDeniedException访问权限异常

AuthenticationException用户认证异常:包括匿名用户异常

配置自定义的401和403异常处理:

 http.exceptionHandling()
                .accessDeniedHandler(new MyAccessDeniedHandler())
                .authenticationEntryPoint(new MyAuthenticationEntryPoint());

 

FilterSecurityInterceptor :拿到用户的权限(从SecurityContextHolder中获取Authentication对象)和资源所需权限(SecurityMetadataSource),在AccessDecisionManager里对比看用户是否有权限

 

 

注:

CsrfFilter类

@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
					throws ServletException, IOException {
		request.setAttribute(HttpServletResponse.class.getName(), response);
        // 获取与session绑定的csrfToken,没有就新建一个
		CsrfToken csrfToken = this.tokenRepository.loadToken(request);
		final boolean missingToken = csrfToken == null;
		if (missingToken) {
			csrfToken = this.tokenRepository.generateToken(request);
			this.tokenRepository.saveToken(csrfToken, request, response);
		}
        
		request.setAttribute(CsrfToken.class.getName(), csrfToken);
		request.setAttribute(csrfToken.getParameterName(), csrfToken);
        
        // 如果不是与csrf相关的请求就直接跳过
		if (!this.requireCsrfProtectionMatcher.matches(request)) {
			filterChain.doFilter(request, response);
			return;
		}
        // 否则直接比对 头部/表单里的csrfToken 和 session绑定的CsrfToken
		String actualToken = request.getHeader(csrfToken.getHeaderName());
		if (actualToken == null) {
			actualToken = request.getParameter(csrfToken.getParameterName());
		}
		if (!csrfToken.getToken().equals(actualToken)) {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug("Invalid CSRF token found for "
						+ UrlUtils.buildFullRequestUrl(request));
			}
			if (missingToken) {
				this.accessDeniedHandler.handle(request, response,
						new MissingCsrfTokenException(actualToken));
			}
			else {
				this.accessDeniedHandler.handle(request, response,
						new InvalidCsrfTokenException(csrfToken, actualToken));
			}
			return;
		}

		filterChain.doFilter(request, response);
	}

 

 

 

 

Spring Security 过滤器自定义登录
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 289
SpringSecurity登录之前增加一个过滤器拿到账号密码,然后设置到SpringSecurity的request parameter中:不推荐继承:AbstractAuthenticationProcessingFilter,或者UsernamePasswordAuthenticationFilter,在SecurityConfig中配置如下,这种方式属于替换SpringSecurity默认的登录过滤器:推荐@Resource@Bean@Override。
Spring Security架构中过滤器的实现
最新发布
静水深流
05-29 1059
Spring Security过滤器机制详解:从基础到自定义实现。文章系统梳理了过滤器链工作原理,包括Jakarta EE规范变更后的接口路径调整。重点解析了内置过滤器(如BasicAuthenticationFilter、CsrfFilter)的功能与配置方式,以及通过order值控制执行顺序的机制。最后详细演示了自定义过滤器的开发过程,展示如何实现请求头校验等安全逻辑。全文涵盖过滤器链的动态特性、典型配置模式及深度定制方法,为构建灵活的安全方案提供实践指导。
Spring Security介绍(三)过滤器(2)自定义过滤器拦截器
w_t_y_y的博客
04-27 2459
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
SpringSecurity过滤器链:核心过滤器的执行顺序与职责
程序媛学姐的博客
03-25 1004
Spring Security的过滤器链是基于Servlet规范的Filter接口实现的,通过DelegatingFilterProxy与Spring的应用上下文集成。在Spring Security 5.4版本之前,过滤器链由FilterChainProxy管理,它包含一个或多个SecurityFilterChain,每个SecurityFilterChain包含多个Spring Security过滤器
spring security filter顺序
qq_34585332的博客
06-29 442
spring security filter顺序
Spring Security所有过滤器顺序
a807719447的专栏
09-22 5719
ChannelProcessingFilter 使用https还是http的通过过滤器 WebAsyncManagerIntegrationFilter 此过滤器使得WebAsync异步线程能够获取到当前认证信息 SecurityContextPersistenceFilter 主要控制 SecurityContext 的在一次请求中的生命周期,请求结束时清空,防止内存泄漏 HeaderWriterFilter 请求头过滤器 CorsFilter 跨域过滤器 CsrfFilter c..
Spring Security的内置过滤器是如何维护的
码农小胖哥
02-21 2608
2022年的开工福利已经发布,点击下面按钮获取最新PDF。Spring Security中的内置过滤器顺序是怎么维护的?我想很多开发者都对这个问题感兴趣。本篇我和大家一起探讨下这个问题。H...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链机制和特性详解 Spring Security 过滤器链是 Spring Security 框架中的一种核心机制,负责处理 HTTP 请求的安全验证和授权。今天,我们将深入探讨 Spring Security 过滤器链的机制和特性,...
Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
m0_75236543的博客
04-16 1281
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
Spring Security 4.2.10 过滤器顺序
weixin_34217711的博客
01-21 204
spring security 的版本为4.2.10。文档章节13.3。文档原文 无论是否使用这些过滤器,总的顺序如下: 顺序 名称 功能 1 ChannelProcessingFilter 可根据配置进行协议的重定向(HTTP与HTTPS) 2 SecurityContextPersistenceFilter 针对每个web请求开始时加载SecurityContext,并在w...
【Spring Security】Spring Security 过滤器链执行顺序(FilterOrderRegistration类)
杜小舟的博客
01-03 1998
我相信有很多同学都对 Spring Security 过滤器链的执行顺序表示疑惑,在框架中 FilterOrderRegistration 担任声明控制过滤器的执行顺序,有时候我们可能会自定义一些过滤器链插入到我们想要的位置,那么这时候就需要明白过滤器链的执行顺序,废话不多说,直接上表格。
SpringSecurity Filter顺序
Claroja
03-22 852
Spring Security Filter的顺序: ChannelProcessingFilter WebAsyncManagerIntegrationFilter SecurityContextPersistenceFilter HeaderWriterFilter CorsFilter CsrfFilter LogoutFilter OAuth2AuthorizationRequestRedirectFilter Saml2WebSsoAuthenticationRequestFilter X509A
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 2261
spring-secrity的Filter顺序+自定义过滤器
Spring Security核心Filter执行流程
cristianoxm的博客
04-01 2678
这文章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 一、 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的channel错了,那首先就会在channel之间进行跳转,如http变为https。 SecurityContextPersistenceFilter,请
Spring Security 入门(1-6-2)Spring Security - 内置的filter顺序、自定义filter、http元素和对应的filterChain...
weixin_34393428的博客
06-16 354
Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,而且各个 Filter 在功能上还有关联关系,所以它们的顺序也是非常重要的。 1、Spring Security的内置Filter 执行顺序 Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序。 ChannelProces...
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
业精于勤荒于嬉
08-25 2225
SpringSecurity - 启动流程分析(十一)- 过滤器的执行顺序
Spring Security 过滤器
2401_85480529的博客
09-18 907
Spring Security 使用多个过滤器来确保请求的安全性。
spring-security(十七)Filter顺序及简介
高枫的博客
02-22 3753
前言: spring security在web应用中是通过各种各样的filter来做认证和安全控制的,由于filter之间的依赖性,过滤器链中filter的顺序也极其重要,不管实际项目中我们选用了哪些过滤器。 1.filter顺序 [list] [*]ChannelProcessingFilter,访问协议控制过滤器,可能会将我们重新定向到另外一种协议,如从http转换成https ...
springsecurity过滤器链中过滤器顺序
02-24
### Spring Security 过滤器链中的各个过滤器执行顺序 在Spring Security框架内,多个过滤器按照预定义的顺序排列并依次调用以完成一系列的安全控制任务。这些过滤器被设计成能够处理诸如身份验证、访问权限检查等功能,并且每一个都有独特的角色。 #### 默认情况下,Spring Security 的过滤器链通常遵循如下顺序: 1. **WebAsyncManagerIntegrationFilter** 此过滤器用于支持异步请求下的安全上下文传播[^2]。 2. **SecurityContextPersistenceFilter** 负责保存和恢复`SecurityContextHolder`中的`SecurityContext`对象,在每次HTTP请求开始时初始化安全上下文,并在结束时清理它。 3. **HeaderWriterFilter** 添加必要的响应头来增强安全性,比如防止点击劫持(X-Frame-Options),设置缓存策略(Cache-Control)等。 4. **CsrfFilter** 实现跨站请求伪造保护机制,通过比较客户端提交的CSRF令牌与服务器端存储的一致性来进行防护。 5. **LogoutFilter** 处理用户的登出逻辑,当接收到匹配路径的POST请求时触发注销过程。 6. **UsernamePasswordAuthenticationFilter** 验证基于用户名/密码的身份凭证,默认绑定到/login URL上。 7. **DefaultLoginPageGeneratingFilter & DefaultLogoutPageGeneratingFilter** 当未提供自定义登录页面或退出页面时自动创建默认版本。 8. **ConcurrentSessionFilter** 控制同一用户的同时在线会话数量,超出限额则拒绝新连接。 9. **OAuth2LoginAuthenticationFilter, Saml2WebSsoAuthenticationFilter**, etc. 支持多种第三方认证方式如OAuth2/SAML SSO协议。 10. **RequestCacheAwareFilter** 如果之前存在重定向,则尝试从缓存中检索原始请求信息以便继续处理。 11. **SecurityContextHolderAwareRequestWrapperFilter** 将当前线程关联的安全上下文封装进HttpServletRequest对象中供后续使用。 12. **RememberMeAuthenticationFilter** 对于启用了记住我的服务,此过滤器会在成功登录后向浏览器发送持久化Cookie。 13. **AnonymousAuthenticationFilter** 若无其他形式的有效认证,则为匿名用户提供临时身份标识。 14. **SessionManagementFilter** 管理会话固定攻击风险以及强制单一会话等问题。 15. **ExceptionTranslationFilter** 捕获所有抛出自定义异常(如AccessDeniedException),并将它们转换成适当类型的HTTP错误状态码返回给客户端;同时也会处理来自下游过滤器未能解决的身份验证需求[^3]。 16. **FilterSecurityInterceptor (FSI)** 作为最后一个核心组件,负责实际执行资源级别的授权决策,即判断已认证主体是否有权访问指定URL模式所代表的目标资源。 以上就是典型的Spring Security过滤器链条路及其工作次序描述。值得注意的是,开发者可以根据项目具体需求调整这个列表内的成员构成及位置关系,甚至添加额外定制化的过滤单元。 为了配置上述提到的各种过滤器,可以利用Java Config 或 XML命名空间的方式进行声明式编程。对于大多数现代应用程序而言,推荐采用前者——借助@EnableWebSecurity注解配合SecurityConfig类内部的方法注入实现灵活而强大的安全设定。 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 定义受保护资源规则 .anyRequest().authenticated() // 其他任何请求都需要经过身份验证 .and() .formLogin(); // 开启表单登陆功能 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值