Security 中的Filters的顺序

最新推荐文章于 2025-05-29 07:28:37 发布
最新推荐文章于 2025-05-29 07:28:37 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013828625/article/details/72771363

Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序,来自SecurityFilters的枚举

在添加自定义的过滤器的时候,通过设置after/before/position来设置其过滤器对应的order值决定此过滤器在过滤器链中的位置如何

那么如何根据这些属性值进行排序呢?我们来看一下代码

    List<OrderDecorator> buildCustomFilterList(Element element, ParserContext pc) {
        List<Element> customFilterElts = DomUtils.getChildElementsByTagName(element, Elements.CUSTOM_FILTER);
        List<OrderDecorator> customFilters = new ArrayList<OrderDecorator>();

        final String ATT_AFTER = "after";
        final String ATT_BEFORE = "before";
        final String ATT_POSITION = "position";

        for (Element elt: customFilterElts) {
            String after = elt.getAttribute(ATT_AFTER);
            String before = elt.getAttribute(ATT_BEFORE);
            String position = elt.getAttribute(ATT_POSITION);

            String ref = elt.getAttribute(ATT_REF);

            if (!StringUtils.hasText(ref)) {
                pc.getReaderContext().error("The '" + ATT_REF + "' attribute must be supplied", pc.extractSource(elt));
            }

            RuntimeBeanReference bean = new RuntimeBeanReference(ref);

            if(WebConfigUtils.countNonEmpty(new String[] {after, before, position}) != 1) {
                pc.getReaderContext().error("A single '" + ATT_AFTER + "', '" + ATT_BEFORE + "', or '" +
                        ATT_POSITION + "' attribute must be supplied", pc.extractSource(elt));
            }

            if (StringUtils.hasText(position)) {
                //如果设置了position属性值,则替换掉默认的过滤器
               customFilters.add(new OrderDecorator(bean, SecurityFilters.valueOf(position)));
            } else if (StringUtils.hasText(after)) {
                SecurityFilters order = SecurityFilters.valueOf(after);
                if (order == SecurityFilters.LAST) {
                    customFilters.add(new OrderDecorator(bean, SecurityFilters.LAST));
                } else {
                    //如果设置成after,则order值在此基础上加1
                   customFilters.add(new OrderDecorator(bean, order.getOrder() + 1));
                }
            } else if (StringUtils.hasText(before)) {
                SecurityFilters order = SecurityFilters.valueOf(before);
                if (order == SecurityFilters.FIRST) {
                    customFilters.add(new OrderDecorator(bean, SecurityFilters.FIRST));
                } else {

                    //如果设置成after,则order值在此基础上减1
  customFilters.add(new OrderDecorator(bean, order.getOrder() - 1)); } } } return customFilters; } 

最终在调用Collections.sort(unorderedFilterChain, new OrderComparator());时,根据order值进行排序



下面是OrderComparator的compare方法的实现


	public int compare(Object o1, Object o2) {
		boolean p1 = (o1 instanceof PriorityOrdered);
		boolean p2 = (o2 instanceof PriorityOrdered);
		if (p1 && !p2) {
			return -1;
		}
		else if (p2 && !p1) {
			return 1;
		}

		// Direct evaluation instead of Integer.compareTo to avoid unnecessary object creation.
		int i1 = getOrder(o1);
		int i2 = getOrder(o2);
		return (i1 < i2) ? -1 : (i1 > i2) ? 1 : 0;
	}






                

        

    

    
  



    

      

        

            

              
                
                  张Roc
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
SpringSecurity6 | 核心过滤器

				
			

			

				

					分享思想,留下痕迹。
				

				

					11-08
					
					1万+
					
				

			

		

		

			
				
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。

			
		

	



                

            
              



	

		

			

				
					
Spring Security 6.x 系列(11)—— Form表单认证和注销流程

				
			

			

				

					gmHappy
				

				

					12-18
					
					8305
					
				

			

		

		

			
				
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。
② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。
③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。
④ 浏览器请求重定向到的登录页面。
⑤ 呈现默认登录页面。

			
		

	



              


  
              

                


	

		

			

				
					
spring gateway ,spring security集成,webfilter执行两次的问题处理

				
			

			

				

					ufdeen的博客
				

				

					04-28
					
					3096
					
				

			

		

		

			
				
spring gateway ,spring security集成,webfilter执行两次的问题处理,过滤器执行判断

			
		

	





	

		

			

				
					
Security Filters顺序

				
			

			

				

					HHoao的博客
				

				

					05-04
					
					751
					
				

			

		

		

			
				
Security Filters顺序Security Filter通过SecurityFilterChain 被插入到FilterChainProxy中。过滤器顺序很重要,但通常不需要知道Spring Security过滤器顺序。然而,有些时候,知道顺序是有益的。
你可以通过FilterOrderRegistration查看过滤器顺序

FilterOrderRegistration.java

FilterOrderRegistration() {
   Step order = new S

			
		

	



		

			
		



	

		

			

				
					
Filter在SecurityFilterChain上的的排序规则

				
			

			

				

					xsgnzb的专栏
				

				

					03-11
					
					1064
					
				

			

		

		

			
				
为了让系统正常运行,SecurityFilterChain 上的Filter要保持一定的顺序,例如AuthorizationFilter 要放在各类AuthenticationFilter 的后面,不然还没认证就开始校验权限信息,那一定不会通过。Spring Security为默认的Filter设置了固定的顺序,这些Filter和Filter的子类,都会按照这个顺序执行。

			
		

	





	

		

			

				
					
Spring Security3源码分析-Filter链排序分析 

				
			

			

				

					Dead_Knight的专栏
				

				

					05-09
					
					339
					
				

			

		

		

			
				
通过前面Spring Security提供的各种Filter的分析,大体上知道每个Filter具体的用途了。
Spring Security一共提供了20个Filter,我目前只分析了13个(如果http的auto-config="true",那默认的filter列表都包含在这13个里面了),另外7个在后面的源码分析中碰到时会逐个讲解。
在分析http标签时,已经提到filter排序的问题了,...

			
		

	





	

		

			

				
					
spring-secrity的Filter顺序+自定义过滤器

				
			

			

				

					毅香雪海的博客
				

				

					09-05
					
					2262
					
				

			

		

		

			
				
spring-secrity的Filter顺序+自定义过滤器

			
		

	





	

		

			

				
					
Spring Security架构中过滤器的实现

					
最新发布

				
			

			

				

					静水深流
				

				

					05-29
					
					1133
					
				

			

		

		

			
				
Spring Security过滤器机制详解:从基础到自定义实现。文章系统梳理了过滤器链工作原理,包括Jakarta EE规范变更后的接口路径调整。重点解析了内置过滤器(如BasicAuthenticationFilter、CsrfFilter)的功能与配置方式,以及通过order值控制执行顺序的机制。最后详细演示了自定义过滤器的开发过程,展示如何实现请求头校验等安全逻辑。全文涵盖过滤器链的动态特性、典型配置模式及深度定制方法,为构建灵活的安全方案提供实践指导。

			
		

	





	

		

			

				
					
Spring Security 实战内容:图解Spring Security中的Servlet过滤器体系

				
			

			

				

					m0_66876551的博客
				

				

					04-15
					
					361
					
				

			

		

		

			
				
1. 前言
Spring Security真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键。
2. Servlet Filter体系
这里我们以Servlet Web为讨论目标,Reactive Web暂不讨论。我们先来看下最基础的Servlet体系,在Servlet体系中客户端发起一个请求过程是经过0到N个Filter然后交给Servlet处理。

Filter不但可以修改HttpServletRequest和HttpServletResponse,可以让我们在请求响应的

			
		

	





	

		

			

				
					
Spring Security中Servlet过滤器体系详解

				
			

			

				

					
				

			

		

		

			
				
Filter的顺序非常重要,因为每个Filter调用的顺序将影响到下游Filters和Servlet的执行顺序。  三、GenericFilterBean  GenericFilterBean是Spring Security中的一个抽象FilterBean,它提供了一种方式来将Spring Bean...

			
		

	





	

		

			

				
					
Spring SecuritySpring Security 过滤器链执行顺序(FilterOrderRegistration类)

				
			

			

				

					杜小舟的博客
				

				

					01-03
					
					1998
					
				

			

		

		

			
				
我相信有很多同学都对 Spring Security 过滤器链的执行顺序表示疑惑,在框架中 FilterOrderRegistration 担任声明控制过滤器的执行顺序,有时候我们可能会自定义一些过滤器链插入到我们想要的位置,那么这时候就需要明白过滤器链的执行顺序,废话不多说,直接上表格。

			
		

	





	

		

			

				
					
Spring Security filter探究(一)

				
			

			

				

					sinat_33472737的博客
				

				

					04-28
					
					1209
					
				

			

		

		

			
				
Spring Security架构
可以看出,Spring Security是通过内部的过滤器链实现认证和授权逻辑的。Spring Security内部的过滤器是有先后顺序的。比如UsernamePasswordAuthenticationFilter如果认证成功,那么AnonymousAuthenticationFilter肯定就不需要设置匿名者了。所以UsernamePasswordAuthenticationFilter在AnonymousAuthenticationFilter之前。具体顺序可看官网

			
		

	





	

		

			

				
					
Spring Security源码入门过滤器Filter

				
			

			

				

					szm1160809039的博客
				

				

					09-21
					
					1132
					
				

			

		

		

			
				
Spring Security作为一个安全框架,主要有登录、认证等功能,而要实现这一系列的功能,在一个基于Servlet的应用上,当然会从Filter上入手。这篇博客主要就是根据官网文档讲解Spring Security怎么通过Filter构建这样一个安全拦截的功能的。

首先看看以下这幅图,这个流程用过spring mvc的都很熟悉,这就是filter的一个过滤流程,spring mvc中通常都会有一个Filterchain包含了一个Filter列表,对于每个拦截的请求依次过滤



了解了spring.

			
		

	





	

		

			

				
					
spring-security(十七)Filter顺序及简介

				
			

			

				

					高枫的博客
				

				

					02-22
					
					3753
					
				

			

		

		

			
				
前言:
  spring security在web应用中是通过各种各样的filter来做认证和安全控制的,由于filter之间的依赖性,过滤器链中filter的顺序也极其重要,不管实际项目中我们选用了哪些过滤器。
1.filter顺序
[list]
[*]ChannelProcessingFilter,访问协议控制过滤器,可能会将我们重新定向到另外一种协议,如从http转换成https
...

			
		

	





	

		

			

				
					
SpringSecurity WebFlux 过滤链生成源码分析

				
			

			

				

					qq_39220528的博客
				

				

					11-13
					
					4888
					
				

			

		

		

			
				
概述
SpringSecurity主要采用建造者模式构造过滤器

			
		

	





	

		

			

				
					
spring security中HttpSecurity 是如何组装过滤器链的

				
			

			

				

					weixin_34278711的博客
				

				

					08-30
					
					749
					
				

			

		

		

			
				
**`SecurityContextPersistenceFilter`**:负责将安全上下文从`HttpSession`中加载到当前线程中,确保在请求处理期间有一个有效的安全上下文。- **添加自定义过滤器**:使用`addFilterBefore()`或`addFilterAfter()`方法可以在特定过滤器之前或之后添加自定义的过滤器。- **配置过滤器顺序**:Spring Security会自动调整过滤器顺序,但你也可以手动指定某些过滤器的位置。

			
		

	





	

		

			

				
					
SpringSecurity Filter顺序

				
			

			

				

					Claroja
				

				

					03-22
					
					852
					
				

			

		

		

			
				
Spring Security Filter的顺序:
ChannelProcessingFilter
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CorsFilter
CsrfFilter
LogoutFilter
OAuth2AuthorizationRequestRedirectFilter
Saml2WebSsoAuthenticationRequestFilter
X509A

			
		

	





	

		

			

				
					
Spring Security 入门(1-6-2)Spring Security - 内置的filter顺序、自定义filter、http元素和对应的filterChain...

				
			

			

				

					weixin_34393428的博客
				

				

					06-16
					
					354
					
				

			

		

		

			
				
Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,而且各个 Filter 在功能上还有关联关系,所以它们的顺序也是非常重要的。
1、Spring Security的内置Filter 执行顺序
Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序。

ChannelProces...

			
		

	





	

		

			

				
					
Spring-securitySpringMvc中的使用

				
			

			

				

					lz710117239的博客
				

				

					06-12
					
					5329
					
				

			

		

		

			
				
Spring-securityspring中的校验流程,有SpringMVC配置和SpringFlux配置两种模式,关于使用方式,我们在这里说下1、SpirngMVC中的Security配置在SpirngMVC中的Security配置,我们需要有一个类继承WebSecurityConfigurerAdapter类,在里面可以配置自己需要的bean和拦截属性,更多详细介绍请看官方文档,这里只是简单...

			
		

	





	

		

			

				
					
spring Security 2.0.4中文教程:菜鸟入门指南

				
			

			

				

					
				

			

		

		

			
				
- Spring Security通过一系列过滤器Filters)来实现安全功能。 - 过滤器链是这些过滤器按照一定顺序组合成的链条。  ### Spring Security 2.0.4特性  **1. XML配置** - 早期版本的Spring Security主要依赖于XML...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值