SpringSecurity之基本原理——过滤器链

最新推荐文章于 2025-03-28 18:17:04 发布
最新推荐文章于 2025-03-28 18:17:04 发布
阅读量620 收藏
点赞数
分类专栏: SpringSecurity安全框架 文章标签: ui 前端 java SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ybb_ymm/article/details/130080520
版权

前言

前面我们讲解了入门案例,很多小伙伴看完之后,应该也不知道他是如何实现的拦截。接下来,我们看一下SpringSecurity的基本原理是什么?

本质

其实,SpringSecurity的本质上就是一个过滤器链。在启动时,就可以获取到过滤器链的。(如果对这一块关于过滤器不太熟悉的同学,建议看一下javaWeb的相关内容)

过滤器链:

rg.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil ter org.springframework.security.web.context.SecurityContextPersistenceFilter org.springframework.security.web.header.HeaderWriterFilter org.springframework.security.web.csrf.CsrfFilter org.springframework.security.web.authentication.logout.LogoutFilter org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter org.springframework.security.web.savedrequest.RequestCacheAwareFilter org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter org.springframework.security.web.authentication.AnonymousAuthenticationFilter org.springframework.security.web.session.SessionManagementFilter org.springframework.security.web.access.ExceptionTranslationFilter org.springframework.security.web.access.intercept.FilterSecurityInterceptor

我们从中挑选几个过滤器,通过源码看一下他们的内容:

FilterSecurityInterceptor

他作为一个方法级别的权限过滤器, 基本位于过滤链的最底部。

从过滤骑得doFilter中可以看到他调用了invoke方法,我们接下来看一下他是如何实现的。

 上面这段代码,我们可以清晰地看到

super.beforeInvocation(filterInvocation);这句代码的意思为:调用之前先查看之前的 filter 是否通过。

都通过后则才会调用 fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。

LogoutFilter

登出过滤器,对我们配置的登出接口的过滤器,使其对认证用户的登出后处理操作

ExceptionTranslationFilter

异常过滤器,用来处理在认证授权过程中抛出的异常

 关于过滤器链的内容就先讲解到这里。

欢迎大家点击下方卡片,关注《coder练习生》

Spring Security 6.x 系列(4)—— 基于过滤器的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security 6.x 系列(2)—— 基于过滤器的基础原理(一)
热门推荐
gmHappy
10-31 2万+
`Spring Security` 的 `Servlet` 支持基于 `Servlet` 过滤器,因此首先了解过滤器的作用会很有帮助。
springSecurity(一):认识springSecurity过滤器
qq_43586337的博客
06-11 1396
springSecurity学习笔记
SpringSecurity_过滤器
qq_45907893的博客
05-21 451
SpringSecurity
SpringSecurity】详细核心类与过滤器流程讲解和封装通用组件实战
xiaoxualg的博客
03-20 1332
Spring Security 是一个功能强大且高度可定制的认证和访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证和授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)和授予的权限。表示授予用户的特定权限,通常分为:Spring
Spring Security 过滤器
2401_85480529的博客
09-18 867
Spring Security 使用多个过滤器来确保请求的安全性。
SpringSecurity过滤器
qq_53318060的博客
09-14 2614
SpringSecurity过滤器
SpringSecurity】Spring Security过滤器
来日浅谈的博客
05-14 3275
SpringSecurity】Spring Security过滤器1. SpringSecurity常用过滤器介绍2. SpringSecurity过滤器加载原理2.1 DelegatingFilterProxy2.2 FilterChainProxy2.3 SecurityFilterChain 1. SpringSecurity常用过滤器介绍 接下来我们就来看看常见的过滤器。 1. org.springframework.security.web.context.SecurityContextPe
JAVA——springSecurity——底层原理分析:处理认证请求和非认证请求的流程,主要过滤器的作用
weixin_56039103的博客
07-16 415
在加载时启动一个叫DelegatingFilterProxy的过滤器代理对象,让spring管理这些过滤器的生命周期DelegatingFilterProxy类——doFilter() 2.初始化一个FilterChainProxy过滤器代理对象 初始化一个过滤FilterChainProxy过滤器的代理对象,在这个过滤器代理对象中有一个过滤器集合,每一个过滤器都有一组过滤器来处理不同的请求FilterChainProxy类——doFilter() AbstractAuthenticationP
SpringSecurity(一)——认证实现
weixin_68074170的博客
10-11 1370
修改UsernamePasswordAuthenticationFilter上图最右边的授权部分。@Autowiredreturn R.ok().message("登陆成功").data("token", jwt);return R.error().message("登陆失败");(1)在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在 SecurityConfig中配置把AuthenticationManager注入容器。
spring security——基本介绍(一)
m0_68850571的博客
04-10 2632
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求; 是否包含username
全面解析Spring Security 过滤器的机制和特性
08-18
主要介绍了Spring Security 过滤器的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
springSecurity 过滤器
蔡定努
09-02 398
spring security 过滤器 SpringSecurity常见的过滤器 org.springframework.security.context.SecurityContextPersistenceFilter org.springframework.security.web.context.request.async.WebAsyncManagerInterationFilter org.springframework.security.web.header.HeaderWriterFilte
spring security的过滤器
最新发布
LCY133的博客
03-28 608
请求按过滤器的顺序依次通过每个过滤器,每个过滤器可选择处理请求或传递给下一个过滤器。理解过滤器的组成和执行逻辑,是调试安全问题和实现复杂安全需求的关键。:当某个过滤器处理完请求并直接返回响应时,后续过滤器不再执行。Spring Security 的安全功能通过一系列。捕获异常 → 触发登录页跳转或返回 403。Spring Security 的过滤器通过。最终验证权限 → 若未授权则抛出。提取凭证并认证 → 存储。
三、Spring Security过滤器
付之一笑的专栏
08-22 3128
一、Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不再赘述了。 Spring Security中过滤器的介绍: org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新
Spring (32)Spring Security的过滤器
qq_43012298的博客
06-02 526
Spring Security 的安全模型核心之一是一系列过滤器,这些过滤器组成了一个。这个过滤器负责处理进入应用的每个HTTP请求,实现认证、授权等安全功能。每个过滤器都有其特定的责任,它们按照特定的顺序执行。
Spring Security介绍(三)过滤器(1)过滤器
w_t_y_y的博客
02-06 1045
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
SpringSecurity(十二)过滤器分析(上)
陈橙橙
03-16 2122
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器。因为Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器。那么这些过滤器是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
SpringSecurity过滤器:核心过滤器的执行顺序与职责
程序媛学姐的博客
03-25 806
Spring Security的过滤器是基于Servlet规范的Filter接口实现的,通过DelegatingFilterProxy与Spring的应用上下文集成。在Spring Security 5.4版本之前,过滤器由FilterChainProxy管理,它包含一个或多个SecurityFilterChain,每个SecurityFilterChain包含多个Spring Security过滤器
spring security过滤器注册原理
01-01
### Spring Security 过滤器注册机制和工作原理 #### 过滤器初始化过程 Spring Security 的过滤器是在应用启动时被创建并初始化的。`DelegatingFilterProxy` 是一个特殊的 Servlet 过滤器,它充当了 Spring 容器与实际安全过滤器之间的桥梁[^1]。 ```java public class DelegatingFilterProxy extends OncePerRequestFilter { // ... } ``` 该类实现了 `javax.servlet.Filter` 接口,在 Web 应用程序上下文中代理调用真正的 Spring Security 过滤器。当容器接收到 HTTP 请求时,此代理会委托给名为 `springSecurityFilterChain` 的 Bean 来处理请求流中的各个阶段。 #### 过滤器构建逻辑 在 Spring Boot 环境下,默认情况下,框架自动配置了一个完整的默认过滤器条。开发者也可以自定义扩展或修改这些预设行为来满足项目需求。具体来说: - **Default Filter Order**: 默认顺序下的标准过滤器列表及其职责范围已经预先设定好; - **Custom Filters Registration**: 开发者能够通过继承 `OncePerRequestFilter` 或其他方式编写自己的业务逻辑,并将其注入到指定位置上; 对于后者而言,通常有两种方法可以完成这项操作:一种是利用 Java 配置类的方式显式声明新的过滤组件实例以及它们的位置关系;另一种则是借助 XML 文件来进行描述说明[^2]。 #### 自定义过滤器集成案例 假设要向现有的过滤器中添加一个新的身份验证处理器,则可以通过如下代码片段展示如何实现这一点: ```java @Configuration @EnableWebSecurity public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { MyCustomAuthenticationProcessingFilter myCustomAuthFilter = new MyCustomAuthenticationProcessingFilter(); // 设置认证管理器和其他必要属性... AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class); myCustomAuthFilter.setAuthenticationManager(authenticationManager); // 将新过滤器插入到 UsernamePasswordAuthenticationFilter 之后执行 http.addFilterAfter(myCustomAuthFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 这段示例展示了怎样把一个名为 `MyCustomAuthenticationProcessingFilter` 的对象加入到了原有的过滤器序列里,并指定了其相对于另一个已知类型的相对位置——即紧跟在其后面运行[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ybb_ymm

你的鼓励会是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值