Spring Security 3.1 的过滤器机制

最新推荐文章于 2025-08-07 23:59:25 发布
最新推荐文章于 2025-08-07 23:59:25 发布
阅读量1.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: filter security spring Spring 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/roadmap001/article/details/8147281
本文基于Spring Security 3.1.3版本,详细分析其Filter实现机理,包括Servlet容器级过滤器、特殊过滤器DelegatingFilterProxy及Spring容器级过滤器链的运作流程,以及配置文件中关键要素的解释。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文分析是基于Spring Security(以后简称SS)3.1.3版本,不同版本可能稍有不同。

 SS设计架构是基于Filter过滤器思想,理解SS Filter实现机制对深度使用好SS大有帮助。整个SS Filter实现机理可用一张图清晰表述出来。

 


 

如图,对于用户的HTTP请求,首先经过Servlet容器定义的Filter过滤器链进行前处理,然后到达真正进行业务请求处理的Servlet,最后沿反方向通过Filter过滤器链完成后处理后,返回给用户。

Servlet容器级的过滤器在web.xml中定义,由图可看出,web.xml定义了一个特殊的过滤器org.springframework.web.filter.DelegatingFilterProxy(在spring-web jar包中定义),由它启动Spring容器级的过滤器。通过指定过滤器名为springSecurityFilterChain,以及SS的配置文件,该过滤器将调用org.springframework.security.web.FilterChainProxyspring-security-web jar包中定义),启动SS定义的Spring容器级负责安全的过滤器链。DelegatingFilterProxyweb.xml的定义通常如下:

 

<filter>

  <filter-name>springSecurityFilterChain</filter-name>

  <filter-class>org.springframework.web.filter.DelegatingFilterProxy<filter-class>

</filter>

 

<filter-mapping>

  <filter-name>springSecurityFilterChain<filter-name>

  <url-pattern>/*<url-pattern>

<filter-mapping>


 

SS最基本配置要素(通常在applicationContext-security.xml)如下

 

<http>

        <form-login />
        <logout/>

<http>

 

该配置定义了form表单username/password验证登录方式,登出机制。此时,SS 3.1将注册11filter形成filter过滤器链来实现系统的安全处理。这11filter的逻辑顺序如下:

 

org.springframework.security.web.context.SecurityContextPersistenceFilter  

org.springframework.security.web.session.ConcurrentSessionFilter

org.springframework.security.web.authentication.logout.LogoutFilter

org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

org.springframework.security.web.savedrequest.RequestCacheAwareFilter

org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

org.springframework.security.web.authentication.AnonymousAuthenticationFilter

org.springframework.security.web.session.SessionManagementFilter

org.springframework.security.web.access.ExceptionTranslationFilter

org.springframework.security.web.access.intercept.FilterSecurityInterceptor

 

每个过滤器都将提供特定的功能,其中比较重要的包括UsernamePasswordAuthenticationFilter 负责表单认证方式登录处理,LogoutFilter负责登出处理,SessionManagementFilterConcurrentSessionFilter负责SS session方面的管理和控制,FilterSecurityInterceptor处理权限验证等。

SS 3.1总共提供了21个filter,这些filter在SS filter过滤器链中的缺省顺序由org.springframework.security.config.http.SecurityFilters枚举类型定义。通过filter机制,SS实现了安全认证和授权等安全相关工作。用户通过配置文件,可以插入、替换或去除已知的filter,搭配自己的SS filter过滤器链,从而实现满足自己特定应用需求的安全处理。

 

 

roadmap001
关注
SpringSecurity实现过滤器
冲出仁川,走出马德里,故事还会再继续
02-24 3367
SpringSecurity实现过滤器1、概述2、Spring Security架构中实现过滤器3、在过滤器链中现有过滤器之前添加过滤器3.1 实现一个自定义过滤器3.2 在身份验证之前配置自定义过滤器3.3 控制器类3.4 测试4、在过滤器链中已有的过滤器之后添加过滤器4.1 定义一个过滤器来记录请求4.2 在过滤器链中的现有过滤器之后添加自定义过滤器4.3 测试5、在过滤器链中另一个过滤器的位置添加一个过滤器5.1 StaticKeyAuthenticationFilter类的定义5.2 将过滤器添加到
SpringSecurity6 | 核心过滤器
热门推荐
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security06 - 过滤器实现
qq_43350524的博客
04-03 983
Spring Security06 - 过滤器实现
Spring Security 6 系列之三 - Filter过滤器
代码让AI扣
12-18 1809
关于Spring Security的底层原理大概讲这么多。Spring Security过滤器有那么多,我们这里主要讲的是几个经常使用到的,其它的过滤器后续遇到需要自定义配置的时候,我们再讲解。Spring Security默认配置显然不能符合一个真正的业务需求,那么下一章我们就要开始做各种自定义配置。
Spring Security 3.1
张林强的专栏
09-16 371
原文地址 http://blog.csdn.net/u012367513/article/details/38866465 spring security 是现在比较流行的安全框架了,可以很容易的集成到项目中实现认证与授权的管理。本文基于spring security 3.1.3版本,主要参考了 L-二当家的的分享 LocalFilterSecurityInterceptor.java
Spring Security自定义认证授权过滤器
m0_62943934的博客
03-11 1977
如果对 Spring Security 了解不够请看这篇。SpringSecurity 内置的认证过滤器是基于post请求且为form表单的方式获取认证数据的,那如何接收前端Json异步提交的数据据实现认证操作呢?显然,我们可仿照UsernamePasswordAuthentionFilter类自定义一个过滤器并实现认证过滤逻辑;import com/*** 认证过滤器/*** 自定义构造器,传入登录认证的url地址} /*** 尝试去认证的方法。
SpringSecurity使用过滤器实现图形验证码
pan_junbiao的博客
12-28 1074
图形验证码是一种用于区分用户是人类还是计算机程序的自动化测试。它通常用于防止自动化软件(如机器人或爬虫程序)进行恶意操作,如滥用在线服务、暴力破解密码或进行垃圾邮件发送等。图形验证码的工作原理基于一个假设:计算机程序难以自动识别和处理复杂的图像或模式,而人类则相对容易。因此,图形验证码通常包含扭曲的文字、数字、图像或它们的组合,这些元素对人类来说相对容易辨认,但对计算机程序来说则非常困难。本文将介绍Spring Boot 整合 Spring Security 实现图形验证码功能,
SpringSecurity自定义认证授权过滤器
几许的博客
10-19 970
SpringSecurity内置的认证过滤器是基于post请求且为form表单的方式获取认证数据的,那如何接收前端Json异步提交的数据据实现认证操作呢?​ 显然,我们可仿照UsernamePasswordAuthentionFilter类自定义一个过滤器并实现认证过滤逻辑;/***//*** 设置构造,传入自定义登录url地址*/@Override//判断请求方法必须是post提交,且提交的数据的内容必须是application/json格式的数据。
Spring Security3.1 配置说明
jimmy609的专栏
09-18 1303
原博文地址:http://blog.csdn.net/k10509806/article/details/6369131
使用Spring Security 3.1保护RESTful Web服务,第3部分
最佳 Java 编程
05-06 197
1.概述 本教程显示了如何使用Spring和基于Java的Spring Security 3.1来保护REST服务 。 本文将重点介绍如何使用“登录和Cookie”方法专门针对REST API设置安全配置。 2. Spring Security的体系结构完全基于Servlet过滤器,因此,在HTTP请求处理方面,Spring Security早于Spring MVC。 请记住,首先,需...
spring_security_3.1
09-14
3. **过滤器链**:Spring Security的核心是过滤器链,它拦截HTTP请求并执行安全逻辑。`FilterSecurityInterceptor`是其中的关键组件,它处理授权检查。3.1版中,你可以自定义过滤器顺序和配置,以适应不同的应用需求...
Spring Security3.1实践
04-09
- **Filter Security Interceptor(过滤器安全拦截器)**:Spring Security的主要组件,处理HTTP请求并决定是否允许访问。 - **Access Decision Manager(访问决策管理器)**:决定用户是否有权访问资源。 - **...
spring security3.1高级详细开发指南
04-07
在这个例子中,创建了一个Web工程,然后将Spring Security的依赖库添加到项目的WEB-INF\lib目录下,并在`web.xml`中配置了Spring Security过滤器链。`securityConfig.xml`文件用于定义安全策略,包括用户、角色和...
Spring Security 3.1.pdf
01-14
2. **Filter Chain**:Spring Security的核心工作流程是由一系列过滤器Filter)组成的Filter Chain。每个过滤器负责特定的安全任务,如登录验证、权限检查等。开发者可以根据需求自定义过滤器或者调整过滤器顺序。...
spring security3.1 实现验证码自定义登录
03-29
总结来说,Spring Security 3.1的验证码自定义登录涉及验证码生成、自定义AuthenticationProvider、配置Spring Security以及可能的过滤器链扩展。这一过程旨在提升系统安全性,防止恶意登录,同时也需要考虑到用户...
Spring MVC文件上传详解
持续输出Java相关知识
08-07 720
SpringMVC文件上传实现指南 本文详细介绍了使用SpringMVC实现文件上传功能的全过程。首先阐述了文件上传的核心原理,包括multipart/form-data编码方式和MultipartResolver接口的作用。接着讲解了表单配置要求和两种主要实现方式(CommonsMultipartResolver和StandardServletMultipartResolver)的依赖配置与对比。 文章重点展示了单文件和多文件上传的代码实现,并深入探讨了高级功能实现,包括文件大小限制、类型校验、安全加固和
SpringMvc的原理深度剖析及源码解读
gonghua0502的专栏
08-07 538
文章主要讲解了SpringServletContainerInitializer类初始化的过程。拦截器与过滤器区别及应用场景。DispatcherServlet处理流程。控制器初始化涉及文件解析器、本地化解析器等组件配置。适配器模式支持多种handler类型,包括Controller继承、HTTP请求和注解方式。异步实现可通过@Async注解或Callable类,需在配置类中开启异步支持。
MCP协议与Spring AI框架实战
沙门空海
08-06 749
摘要 MCP协议(Model Context Protocol)是Anthropic公司推出的标准化AI交互接口协议,旨在解决大模型与外部工具、数据源之间的交互问题。该协议采用客户端-服务器架构,支持STDIO、SSE和Streamable HTTP三种通信模式,核心要素包括Prompts、Resources和Tools,具有统一接口、动态加载和安全访问等优势。 Spring AI是Spring社区推出的Java AI应用框架,简化了AI技术集成。其特点包括:1) 统一API支持多种AI模型;2) 模块化设
SpringBoot如何固定版本
最新发布
埃泽漫笔
08-07 226
Spring Boot 项目中,固定版本主要是为了确保项目依赖的库版本一致,避免因版本不一致导致的兼容性问题。是最常见的方法之一。这样,所有 Spring Boot 相关的依赖都会使用这个版本中定义的版本号。来管理依赖版本,这样可以减少手动管理版本的工作量,并且更容易保持依赖的一致性。这种方法虽然灵活,但需要手动管理每个依赖的版本,比较繁琐,且容易出错。作为父 POM,或者你的项目已经有了其他的父 POM,你可以使用。如果你希望完全控制所有依赖的版本,可以手动在。
深入学习Spring Security 3.1核心资料下载
- 掌握如何配置和使用Spring Security过滤器链,以及如何通过Spring Security的扩展机制来实现特定的安全需求。 总的来说,Spring Security是一个复杂的框架,需要学习者有一定的Java基础、Spring框架的使用经验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值