SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters

已于 2023-11-20 22:03:23 修改
阅读量1.4k 收藏 5
点赞数 6
分类专栏: SpringSecurity 文章标签: spring 安全 springboot
于 2023-11-20 21:16:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/treewithwater/article/details/134518954
版权
本文详细介绍了SpringSecurity6中的Security Filters,包括它们的作用和原理,重点讲解了15个核心过滤器,如DisableEncoderUrlFilter、BasicAuthenticationFilter等。此外,还回顾了FilterChainProxy在SpringSecurity中的角色以及默认加载的过滤器顺序。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

福利发送:

        1:你想彻底搞明白SpringSecurity么?你想对SpringSecurity6进行源码级别的学习么?

        2:你想彻底掌握Spring的应用和源码,在面试的时候吊打面试官么?

        那欢迎你加入suns 孙哥的企鹅QQ 3群583783824

        在这里你可以找到志同道合的朋友,还有大神孙哥作为你的领路人。在这里,不仅仅是SpringSecurity更让你在Mybatis、Netty、Rpc、Dubbo、SpringCloud、Docker和k8s....等等技术领域发生翻天覆地的变化。

        以上所有,在群里都有我们免费的视频和笔记资料呦~~~

        欢迎进群领取,期待你的加入!

文章目录

前言

1:知识回顾

2:运行图回顾

一: Security Filters

1:概述

2:Spring Security默认过滤器

二:关键BeanFilter

1:DisableEncoderUrlFilter

2:WebAsynManagerIntegrationFilter

3:SecurityContextHolderFilter

4:HeaderWriterFilter

5:CsrfFilter

6:LogoutFilter

7:UsernamePasswordAuthenticationFilter

8:DefaultLoginPageGeneratingFilter

9:DefaultLogoutPageGeneratingFilter

10:BasicAuthenticationFilter

11:RequestCacheAwareFilter

12:SecurityContextHolderAwareRequestFilter

13:AnonymousAuthenticationFilter

14:ExceptionTranslationFilter

15:AuthorizationFilter

前言

1:知识回顾

       DelegatingFilterProxy 它的作用就是:实现把 servlet容器中的 Filter 同 Spring 容器中的 bean 关联起来,DelegatingFilterProxy实现了Filter接口,Servlet容器启动就会加载好这个类。借助他可以实现普通的Filter拦截到的Http请求交由FilterChainProxy

        FilterChainProxy把 SecurityFilterChain 嵌入到 Web项目的原生过滤器链中DelegatingFilterProxy 把 FilterChainProxy 整合到原生的过滤器链中

        FilterChainProxy 是顶层管理者,统一管理 Security Filter和 SecurityFllterChain过滤器链

        当请求到达 FilterChainProxy 时,会根据当前请求匹配SecurityFilterChain,然后将请求依次转发给 SecurityFilterChain 中的 Security Filter

2:运行图回顾

一: Security Filters

1:概述

         Spring Security 中最终对请求进行处理的就是某个 SecurityFilterChain 中的 Security Filter,这些Filter都设置为 Bean并且注入到 Spring容器中,且会按照先后顺序执行。

        下面展示 Spring Security 中给我们提供的过滤器,以及默认情况下会被加载的过滤器

2:Spring Security默认过滤器

         FilterOrderRegistration这个在构造函数中按照顺序,put了一个又一个的BeanFilter或者叫Security Filter

    FilterOrderRegistration() {
        Step order = new Step(100, 100);
        this.put(DisableEncodeUrlFilter.class, order.next());
        this.put(ForceEagerSessionCreationFilter.class, order.next());
        this.put(ChannelProcessingFilter.class, order.next());
        order.next();
        this.put(WebAsyncManagerIntegrationFilter.class, order.next());
        this.put(SecurityContextHolderFilter.class, order.next());
        this.put(SecurityContextPersistenceFilter.class, order.next());
        this.put(HeaderWriterFilter.class, order.next());
        this.put(CorsFilter.class, order.next());
        this.put(CsrfFilter.class, order.next());
        this.put(LogoutFilter.class, order.next());
        this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter", order.next());
        this.filterToOrder.put("org.springframework.security.saml2.provider.service.web.Saml2WebSsoAuthenticationRequestFilter", order.next());
        this.put(X509AuthenticationFilter.class, order.next());
        this.put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
        this.filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter", order.next());
        this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter", order.next());
        this.filterToOrder.put("org.springframework.security.saml2.provider.service.web.authentication.Saml2WebSsoAuthenticationFilter", order.next());
        this.put(UsernamePasswordAuthenticationFilter.c
最低0.47元/天 解锁文章
Spring Security 6.x 系列(7)—— SecurityBuilder 继承链源码分析
gmHappy
11-30 1万+
`WebSecurity`、`HttpSecurity`、`AuthenticationManagerBuilder` 都是框架中的构建者,把他们放到一起看看他们的共同特点: 可以看出他们都有这样一条相同的继承链: ```bash |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder
Spring Security 核心配置详解
AI天才研究院
08-06 1207
Spring Security是一个用于认证、授权、加密保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
两万字详解,带你彻底搞懂 Spring Security 6.0 的实现原理
lingqu+wx bjmsb06
12-17 2267
本文重点分析了Spring Security的源码架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
spring security (一) Filter(过滤器)
weixin_54515490的博客
08-09 900
大多数情况下,默认security filter 足以为你的应用程序提供安全。然而,有时你可能想在 security filter chain 中添加一个自定义的 filter。例如,假设你想添加一个 Filter,获得一个租户 id header 并检查当前用户是否有访问该租户的权限。前面的描述已经给了我们一个添加 filter 的线索,因为我们需要知道当前的用户,所以我们需要在认证 filter 之后添加它。
SpringSecurity6登录及其权限验证(一)自定义登录认证
最新发布
m0_74220375的博客
04-15 1138
​​Spring Security 6 模块化登录认证实现​​ 基于SpringBoot 3.4.3+SpringSecurity 6.4.3,采用模块化设计实现邮箱/手机号+密码认证。核心实现: ​​主配置​​:禁用CSRF/会话,集成模块 ​​认证流程​​: 自定义过滤器处理/login请求,验证格式并构建认证令牌 认证提供者校验用户密码,返回完整认证令牌 通过处理器返回标准化响应 ​​优势​​: 独立CORS配置 解耦认证逻辑,便于扩展多方式登录 方案通过分层设计提升维护性,适用于无状态API
Spring Security 6
Elcker
07-21 838
Spring Security6
Spring Security 6 with SpringBoot
2301_81071716的博客
11-11 1847
首先登陆网站start.spring.io,添加web,devtool,security依赖编写完controller代码后进入网址会发现需要填表单,用户默认是user,密码在后端的控制台.springsecurity会有很多过滤器,如图中的f1,f2等request经过filter进入front controller(这个是在controller之前的控制器),且注意这里的后端都是在Servlet Container(即Tomcat)中运行的,关于Servlet:Servlet是Java EE(Java
Spring Security(09)——Filter 很好的文章
BigHanson的博客
10-09 633
Filter 目录 1.1     Filter顺序 1.2     添加Filter到FilterChain 1.3     DelegatingFilterProxy 1.4     FilterChainProxy 1.5     Spring Security定义好的核心Filter 1.5.1    FilterSecurityInterceptor 1.5.
SpringSecurity6.x
qq_45726327的博客
03-23 2156
Spring Security 是一个功能强大且高度可定制的身份验证访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,
【第四篇】SpringSecurity的HttpSecurity详解
筱白爱学习!的博客
06-12 1608
HttpSecurity配置以及结构详解
Spring Security 2.0.x入门与配置详解
该文档主要关注于如何利用Spring框架的安全架构进行Web开发,覆盖了从入门到高级特性的全面指导。 **1. 引言** Spring Security 1.1.x版本之后发展至2.0.x,它是一个强大的、灵活的身份认证授权框架,用于保护...
SpringSecurity 6 快速入门
qq_46216299的博客
02-02 2418
SpringSecurity 6Spring 全家桶中属于安全权限的一类框架产品,同时它对于 Spring 框架的兼容性以及高定制性以及开源等优点,使得有些企业或个人开发者都会使用该框架
Spring Security6
分享专业、有用、有趣的技术、产品、运营和管理知识。
11-28 639
MySQL保存cookie记录虽然方便,但是目前主流应用都是用NoSQL的。之前SpringSecurity并不支持NoSQL,但这个问题对于一个爱钻研的码农来说应该只是个小CASE——毕竟只要有代码,就没有搞不定的问题。
SpringSecurity6安全框架知识初步了解)
2401_86329916的博客
10-30 613
SpringSecurtiy初步认识
Spring Security的Filter
weixin_44263023的博客
07-08 874
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring Security 的 FilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
Spring Security 6 系列之三 - Filter过滤器
代码还是得自己扣
12-18 1661
关于Spring Security的底层原理大概讲这么多。Spring Security的过滤器有那么多,我们这里主要讲的是几个经常使用到的,其它的过滤器后续遇到需要自定义配置的时候,我们再讲解。Spring Security默认配置显然不能符合一个真正的业务需求,那么下一章我们就要开始做各种自定义配置。
SpringSecurity6
zhuge_long的专栏
08-20 1062
​是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入) AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity6入门到实战之SpringSecurity整合自动装配详解(源码级讲解,耐心看完)
helloworld工程师的博客
06-03 1769
这里我先引出问题然后再来一步步进行剖析,SpringSecurity到底是如何实现引入依赖后所有请求都需要进行认证并且会弹出login登录表单页面.接下来会对SpringBoot的自动装配进行详解,SpringSecurity也是通过自动装配实现以上一系列操作的。
认证 (authentication) 授权 (authorization) 的区别
全栈空间
09-14 3134
  以前一直傻傻分不清各种网际应用中 authentication authorization, 其实很简单:   这两个术语通常在安全性方面相互结合使用,尤其是在获得对系统的访问权限时。两者都是非常重要的主题,通常与网络相关联,作为其服务基础架构的关键部分。然而,这两个术语在完全不同的概念上是非常不同的。虽然它们通常使用相同的工具在相同的上下文中使用,但它们彼此完全不同。 身份验...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值