SecurityFilterChain相关的配置和示例说明

最新推荐文章于 2025-05-28 11:53:47 发布
原创 最新推荐文章于 2025-05-28 11:53:47 发布 · 1.4k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #spring security

最近在做技术升级工作,Spring Boot 2.x升级Spring Boot 3.x自然也就涉及到Security(Security5.x升级Security6.x)SecurityFilterChain相关的配置和示例说明。

SecurityFilterChain 是Spring Security 5.4及更高版本中引入的一个关键概念,它取代了之前的WebSecurityConfigurerAdapter作为配置安全性的主要方式。SecurityFilterChain 是Spring Security中用来配置安全过滤器链的主要方式,它提供了丰富的API来定制和管理安全设置。下面详细介绍SecurityFilterChain中可用的一些主要配置选项及其用途。

1. authorizeHttpRequests

authorizeHttpRequests 是用于配置哪些请求需要认证以及哪些请求可以匿名访问的关键方法。它允许你根据请求的URL、HTTP方法等来决定是否需要认证。

示例配置
http
    .authorizeHttpRequests((authorize) -> authorize
        .requestMatchers("/public/**").permitAll() // 公共资源
        .requestMatchers(HttpMethod.POST, "/secure/post/**").hasRole("ADMIN") // POST请求需要管理员权限
        .anyRequest().authenticated() // 其他所有请求都需要认证
    );

2. formLogin

formLogin 用于配置传统的表单登录页面。

示例配置
http
    .formLogin((form) -> form
        .loginPage("/login") // 自定义登录页面
        .loginProcessingUrl("/login") // 处理登录请求的URL
        .defaultSuccessUrl("/welcome", true) // 登录成功后的默认跳转URL
        .failureUrl("/login?error") // 登录失败后的URL
        .permitAll() // 允许任何人访问登录页面
    );

3. httpBasic

httpBasic 用于配置基本的身份验证,通常用于RESTful服务或API。

示例配置
http
    .httpBasic(Customizer.withDefaults()); // 启用HTTP Basic认证

4. logout

logout 用于配置登出逻辑。

示例配置
http
    .logout((logout) -> logout
        .logoutUrl("/logout") // 登出请求的URL
        .logoutSuccessUrl("/login?logout") // 登出成功后的URL
        .permitAll() // 允许任何人访问登出URL
    );

5. sessionManagement

sessionManagement 用于配置会话管理,例如是否自动创建会话、会话超时时间等。

示例配置
http
    .sessionManagement((session) -> session
        .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) // 默认策略,需要时创建会话
        .maximumSessions(1) // 最大会话数
        .maxSessionsPreventsLogin(false) // 是否阻止登录
        .expiredUrl("/session-expired") // 会话过期后的URL
    );

6. cors

cors 用于配置跨域资源共享(CORS),允许你控制哪些源可以访问你的应用程序。

示例配置
http
    .cors((cors) -> cors
        .configurationSource(request -> newCorsConfiguration()) // 自定义CORS配置
    );

7. csrf

csrf 用于配置跨站请求伪造(CSRF)保护。

示例配置
http
    .csrf((csrf) -> csrf
        .disable() // 禁用CSRF保护
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) // 自定义CSRF令牌存储
    );

8. oauth2Login

oauth2Login 用于配置OAuth2登录。

示例配置
http
    .oauth2Login((oauth2) -> oauth2
        .loginPage("/login/oauth2") // OAuth2登录页面
        .userInfoEndpoint((userInfo) -> userInfo
            .userService(oAuth2UserService) // 自定义OAuth2用户服务
        )
    );

9. oauth2ResourceServer

oauth2ResourceServer 用于配置OAuth2资源服务器,保护API端点。

示例配置
http
    .oauth2ResourceServer((oauth2) -> oauth2
        .jwt(Customizer.withDefaults()) // 配置JWT令牌验证
    );

10. rememberMe

rememberMe 用于配置记住我功能,使用户在关闭浏览器后仍能保持登录状态。

示例配置
http
    .rememberMe((rememberMe) -> rememberMe
        .key("uniqueAndSecret") // 密钥
        .tokenValiditySeconds(1209600) // 记住我令牌的有效期(秒)
        .userDetailsService(userDetailsService) // 用户详细信息服务
    );

11. exceptionHandling

exceptionHandling 用于配置异常处理。

示例配置
http
    .exceptionHandling((exceptions) -> exceptions
        .authenticationEntryPoint(new MyAuthenticationEntryPoint()) // 自定义未认证入口点
        .accessDeniedHandler(new MyAccessDeniedHandler()) // 自定义拒绝访问处理器
    );

12. headers

headers 用于配置响应头,如X-Frame-Options等。

示例配置
http
    .headers((headers) -> headers
        .frameOptions(frameOptions -> frameOptions.sameOrigin()) // 配置X-Frame-Options
    );

13. authenticationManager

authenticationManager 用于配置认证管理器。

示例配置
@Bean
public AuthenticationManager authenticationManager(HttpSecurity http) throws Exception {
    return http.getSharedObject(AuthenticationManagerBuilder.class)
        .authenticationProvider(authenticationProvider())
        .and()
        .build();
}

14. authenticationProvider

authenticationProvider 用于配置认证提供者。

示例配置
@Bean
public AuthenticationProvider authenticationProvider() {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setUserDetailsService(userDetailsService);
    provider.setPasswordEncoder(passwordEncoder);
    return provider;
}

15. addFilterBeforeaddFilterAfter

addFilterBeforeaddFilterAfter 用于在安全过滤器链中插入自定义过滤器。

示例配置
http
    .addFilterBefore(myCustomFilter, UsernamePasswordAuthenticationFilter.class); // 在UsernamePasswordAuthenticationFilter之前插入过滤器

总结

SecurityFilterChain 提供了非常强大的功能来定制和管理Spring Security的安全过滤器链。通过上述配置选项,你可以灵活地配置各种安全需求,从简单的表单登录到复杂的OAuth2集成,再到细粒度的URL访问控制。这些配置选项可以组合使用,以满足几乎所有的安全需求。

Spring Security 过滤器链
AI天才研究院
11-10 1041
在Servlet规范中,Filter是一种用于拦截请求响应的组件,可在请求到达Servlet之前或响应返回客户端之前执行特定逻辑。请求参数修改(如XSS过滤、字符编码转换);身份验证(如检查用户是否登录);授权(如检查用户是否有权限访问资源);日志记录、性能监控等。Filter// 初始化方法,过滤器创建时调用// 核心拦截方法,处理请求响应// 销毁方法,过滤器销毁时调用doFilterrequestresponse:当前请求响应对象;chain:过滤器链对象,通过。
Spring Security之基于HttpRequest配置权限
Evan_L的博客
03-24 2994
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
深入 Spring Security 6:从底层机制到动态模块化配置
秋雨 De Blog
05-28 1053
摘要:本文深入剖析SpringSecurity 6.x底层架构,重点解析FilterChainProxy与SecurityFilterChain的协作机制,以及"Builder+Configurer"设计模式。通过模块化拆分示例,论证基于多个SecurityConfigurer实现动态配置的优势:1)避免单一配置类臃肿,符合单一职责原则;2)支持@ConditionalOnMissingBean实现零代码功能覆盖;3)通过addFilterBefore精确控制过滤器顺序;4)便于微服务场
Spring security 自定义多条过滤链
qq_23011719的博客
07-31 911
Spirng security 过滤链
Spring Security 的学习1
小熊的博客
10-18 338
Spring Security 概念 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制方法级的授权功能。是一款非常优秀的权限管理框架。 简单入门 构建mvc项目: 导入security 所需的jar 包: Spring Security主要jar包功能介绍 spring-security-core.jar 核心包,任何Spring Security功能都需要此包。 spring-security-web.jar web工程必备,包
Spring Security 中,通过配置 Filter 链来实现安全控制
qq_60458298的博客
03-23 1245
userDetailsService():表示指定自定义的 UserDetailsService 实现类。accessDeniedPage():表示指定访问被拒绝页面的 URL。logoutSuccessUrl():表示退出登录后跳转的 URL。successHandler():表示指定登录成功的处理器。failureHandler():表示指定登录失败的处理器。passwordEncoder():表示指定密码的加密方式。loginPage():表示指定登录页面的 URL。
springboot 前后分离项目 生产环境SecurityFilterChain如何配置CSP
04-10
现在,综合这些信息,我需要构建一个生产环境下的SecurityFilterChain配置示例,包含严格的CSP策略,允许必要的资源,并设置报告URI来收集违规报告。同时,确保配置适用于Spring Boot的最新版本,并处理前后端分离的...
spring的 @Bean 注解的 SecurityFilterChain 初始化后 通过 nacos config 修改SecurityFilterChain 中的配置 是否需要重启 springboot项目 才可以生效
最新发布
11-28
我们正在讨论的问题是:在Spring Boot项目中,使用@Bean注解配置SecurityFilterChain后,如果通过Nacos Config修改了SecurityFilterChain相关配置(例如权限规则),是否需要重启Spring Boot项目才能生效?...
extends WebSecurityConfigurerAdapter SecurityFilterChain的区别
11-13
</think>Spring Security 中 `WebSecurityConfigurerAdapter` 与 `SecurityFilterChain` 的区别主要体现在配置方式演进历史上,它们是实现同一目标(配置应用安全)的不同机制: **核心区别总结:** | 特性 | `...
spring security 使用SecurityFilterChain Bean来配置HTTP安全,使用UserDetailsService Bean来定义用户详情服务,或者自定义AuthenticationProvider。
03-30
以下是一个典型的配置示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http ...
Spring Security 6.x 提供一个完整的配置流程思路代码注释
09-05
### 示例代码补充说明 如果你想配置忽略某些请求路径,例如静态资源,可以添加以下代码: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation....
Spring Security6配置SecurityFilterChain方法理解学习
yuhaowu0422的博客
09-18 2733
当设置了frameOptions(options -> options.sameOrigin())后,如果尝试从不同源(如不同的域名、协议或端口)的页面中加载该页面到iframe内,则浏览器会阻止这种行为,并可能在控制台中记录一个安全错误。这样就确保了只有可信的、同源的页面能够显示该页面的内容。限制只有同源页面可以将此页面嵌入到iframe中意味着只有与当前页面具有相同协议(http或https)、相同域名相同端口号的页面才能够将当前页面嵌入到它们的iframe中。域名:比如都是example.com。
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 2294
Security Filter ChainSpring Security的Web模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequestHttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
SpringSecurity 源码分析之SecurityFilterchain的构建
mingtiandexia的专栏
03-28 4799
基本原理 spring security通过一系列filter来对请求进行拦截 网上一个比较好的图 由于是一个filterChain,因此如果我在FilterSecrutiyInterceptor,即最后一个过滤器上打断点,一定能够通过debug的方式来得到整个过滤器链条 在最后一个filter.doFilter方法上打一个断点, 得到整个filterChain,进一步验证了上面图的正确性。 ...
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
WayneHu的博客
12-20 5546
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
创建Spring Security Filter Chain
m13012606980的专栏
10-09 910
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurerswebSecurity。都是在WebSecurityConfiguration被sp
SpringspringSecurity5版本以上中SecurityFilterChain概述
wosixiaokeai的博客
07-11 920
定义是Spring Security Web模块中的一个接口,它定义了一组安全过滤器,这些过滤器用于处理HTTP请求,并根据配置执行相应的安全逻辑。作用:当一个HTTP请求到达Spring应用程序时,它会被中配置的过滤器依次处理。每个过滤器根据其职责对请求进行处理,如验证认证信息、检查用户权限等。如果请求在某个过滤器中被认为是合法且符合安全要求的,它将继续传递至下一个过滤器或最终达到控制器;如果请求被某个过滤器拦截(如认证失败),则不再继续传递,而是直接返回响应。
Spring SecuritySecurityFilterChain的选择与执行流程(五)
欢谷悠扬
07-07 2375
1.FilterChainProxy去找过滤器链去了~ FilterChain 是过滤器链,我好像之前一直说的拦截器链(尴尬) 在上一篇中,我们知道FilterChainProxy 拿到了三条过滤器链,那FilterChainProxy如何根据请求去选择呢? 每个SecurityFilterChain都有一个RequestMatcher 匹配器,这个匹配器中可以放置多个url或者通配符表达式进行匹配,匹配成功就直接返回这个过滤器链的过滤器集合。 所以SecurityFilterChain其实也不是过滤器
HttpSecurity 是如何组装过滤器链的
江南一点雨的专栏
05-31 1651
有小伙伴们问到这个问题,简单写篇文章大伙聊一下。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

闫小甲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值