SpringSecurity学习1 SpringSecurity实现的基础Filter

最新推荐文章于 2025-06-23 20:00:00 发布
原创 最新推荐文章于 2025-06-23 20:00:00 发布 · 495 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨SpringSecurity的权限管理机制,介绍其如何利用Filter进行权限校验,使权限与业务逻辑解耦。通过DelegatingFilterProxy和FilterChainProxy,SpringSecurity在容器启动前注册Filter,动态管理权限策略。

参考: Servlet Security: The Big Picture

从源码和文档理解SpringSecurity

从宏观上来看
SpringSecurity是用了一系列Filter,来处理权限的问题
在请求,达到Servlet和Controller之前,就进行权限的校验
让权限和业务逻辑彻底解耦

以下是讲解,SpringSecurity是怎么用Filter的

1. 容器是如何使用Filter的

SpringSecurity是基于Servlet的Filter机制来实现的
所以先了解一下Filter是怎么工作的
下图表示了客户端一个请求,是怎么被Filter拦截的
在这里插入图片描述

  • 当客户端发送一个请求给应用的时候, 容器会创建一个 FilterChain 里面包含了多个Filters和一个处理这个请求的Servlet

  • 在SpringMVC中Servlet就是DispatcherServlet

  • 这种模型就是当一个请求HttpServletRequest过来的时候,对应着一个Servlet和多个Filter

  • 由于一个Filter只会影响下游的Filter和Servlet,所以Filter的顺序非常重要

//标准写法
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    chain.doFilter(request, response); // invoke the rest of the application
    //例如Tomcat使用的ApplicationFilterChain
    //保存了所有的Filter,和要被访问的Servlet的实例
    //详见 org.apache.catalina.core.ApplicationFilterChain#internalDoFilter
}

2. SpringSecurity如何融入容器的拦截器Filter机制? (DelegatingFilterProxy)

  • DelegatingFilterProxy是一个容器直接使用的Filter,文中其他的Filter对容器来说是透明的,不可见的
  • 在容器的标准里,一个Filter想要注册到容器上,必须在容器启动之前就注册好,同时也意味着需要在Spring环境启动之前,就注册到容器上
  • 也就导致了一个问题,当我们在Spring环境中动态创造了一个实现了Filter接口的Bean,实际上是不能直接注册到容器的过滤器链FilterChain上的
  • 为了解决这个问题,Spring使用了代理模式,DelegatingFilterProxy就是一个代理,提前注册到了容器的FilterChain
  • 然后当Spring环境启动好之后,再用DelegatingFilterProxy来调用Spring初始化后生成的各种Bean
  • 在Spring环境中的Filter并没有直接加入到拦截器链上, 而是被一个DelegatingFilterProxy 代理了,相当于那么多的Filter在容器看来只被一个DelegatingFilterProxy处理了

下图表示了 DelegatingFilterProxy 在容器的Filter中的位置:
在这里插入图片描述

3. Spring管理的Filter是怎么执行doFilter的呢? (FilterChainProxy )

  • FilterChainProxy 是个特殊Filter,同时也是一个SpringBean,可以获取到所有的在Spring环境上注册的Bean
  • 实际上DelegatingFilterProxy就是包装了这个FilterChainProxy
  • 而关键就在于SpringSecurity中所有被注册为FilterBean,都被这个FilterChainProxy管理了,但不是直接管理的,是通过一组SecurityFilterChain来管理的

在这里插入图片描述

4. 选择合适的安全策略(SecurityFilterChain)

  • 每个请求根据访问路径的不同,SpringSecurity会选择不同的安全策略
  • 不同的安全策略则需要一套不同功能的Filter来拦截处理
  • 所以FilterChainProxy会先查,哪个SecurityFilterChain能处理这个url
  • 看源码:org.springframework.security.web.FilterChainProxy#getFilters(javax.servlet.http.HttpServletRequest)
  • 如果某个SecurityFilterChain匹配到了这个请求,那么就用它保存的一组Filter来处理
  • 通过这个SecurityFilterChain来获取一组Filter,然后依次调用这些Filter
  • 这组Filterorg.springframework.security.web.FilterChainProxy.VirtualFilterChain连接起来

在这里插入图片描述

那么SecurityFilterChain是如何管理安全策略的呢?

  • FilterChainProxy 中有多个SecurityFilterChain,每一个SecurityFilterChain都代表了一种安全策略
    在这里插入图片描述

  • SecurityFilterChain实例里面包含了一个RequestMatcher用来匹配某个Request,同时这个SecurityFilterChain实例也包含了一组Filter

  • FilterChainProxy在拦截到一个Request的时候,会去看,哪个SecurityFilterChain能匹配上这个Request
    FilterChainProxy

  • 当某个SecurityFilterChain的实例匹配到了这个Request, FilterChainProxy会生成一个VirtualFilterChain,来把SecurityFilterChain中的Filters被串起来,依次执行

  • 可以看看源码: org.springframework.security.web.FilterChainProxy.VirtualFilterChain

  • 详见org.springframework.security.web.FilterChainProxy.VirtualFilterChain#doFilter

5. 有用的Filter

Security Filters

6. Filter的顺序

SpringSecurity起到作用的Filter分三种,排成以下顺序

  1. 普通的各种SpringSecurity提供的Filter,用来进行权限校验等行为
  2. ExceptionTranslationFilter 倒数第二道Filter,主要用来捕获处理权限异常
  3. FilterSecurityInterceptor 最后一道Filter
  • 他们之间是如何配合的呢?
    1. 各种Filter会把权限校验的结果存在某个地方
    1. FilterSecurityInterceptor会检查这个权限校验的结果
    1. 如果权限校验通过,则直接调用Controller或者指定html页面
    1. 如果没有校验通过,则抛出权限相关的异常,把异常信息带出
    1. ExceptionTranslationFilter捕获到权限相关的异常, 则转化为相对应的报错信息,返回给前端
//ExceptionTranslationFilter 伪代码:
try {
    filterChain.doFilter(request, response);  //直接由FilterSecurityInterceptor来处理,等待抛出异常
} catch (AccessDeniedException | AuthenticationException e) {
    if (!authenticated || e instanceof AuthenticationException) {
        startAuthentication();  //如果是非登录状态,则跳转登录逻辑,比如重定向至登录页
    } else {
        accessDenied(); //如果是权限不够,则进行某些处理,比如返回401
    }
}

7.总结 一图流

在这里插入图片描述

spring security (一) Filter(过滤器)
weixin_54515490的博客
08-09 982
大多数情况下,默认的 security filter 足以为你的应用程序提供安全。然而,有时你可能想在 security filter chain 中添加一个自定义的 filter。例如,假设你想添加一个 Filter,获得一个租户 id header 并检查当前用户是否有访问该租户的权限。前面的描述已经给了我们一个添加 filter 的线索,因为我们需要知道当前的用户,所以我们需要在认证 filter 之后添加它。
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1583
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
Spring Security(09)——Filter 很好的文章
BigHanson的博客
10-09 685
Filter 目录 1.1     Filter顺序 1.2     添加FilterFilterChain 1.3     DelegatingFilterProxy 1.4     FilterChainProxy 1.5     Spring Security定义好的核心Filter 1.5.1    FilterSecurityInterceptor 1.5.
SpringSecurity Filter
Claroja
03-22 309
Filter Spring Security’s Servlet 基于 Servlet Filters. 客户端发送一个请求到application,容器(tomcat)创造了FilterChaain(包含Filter和Servlet)来处理请求(HttpServletRequest).在SpringMVC中servlet就是DispatcherServlet. 最多一个Servlet处理一个请求和相应.,而可以有多个filter来: 1)阻止访问下游(downstream)的fitler或servlet
spring security filter
a595077052的专栏
08-02 1071
WebSecurityConfigurerAdapter.init() WebSecurityConfigurerAdapter.getHttp() newHttpSecurity() new FilterComparator() 按优先级顺序放入,前面的优先级比后面的高,关键的filter Step order = new Step(INITIAL_ORDER, ORDER_STEP); put(ChannelProcessingFilter.class, order.next()); put(Con..
精选资源
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity学习之自定义过滤器的实现代码
08-26
"SpringSecurity学习之自定义过滤器的实现代码" Spring Security学习之自定义过滤器的实现代码主要介绍了Spring Security学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有...
精选资源
SpringSecurity笔记,编程不良人笔记
10-28
- **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成了Filter Chain。每个过滤器负责特定的安全任务,如认证、授权等。 - **Authentication**: 表示用户的身份信息,包括用户名、...
【完整源码+数据库】 SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证
11-05
接下来,`SpringSecurity`是用于Web应用程序的安全框架,它可以处理用户认证和授权。在Spring Boot项目中集成Spring Security,我们需要在`pom.xml`中添加对应的依赖。一旦添加,Spring Security会自动配置一些基础...
spring security动态配置url权限的2种实现方法
08-27
虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制。自定义Filter需要自己处理认证、授权等逻辑,增加了代码复杂性和维护成本。但如果你的业务...
Spring SecurityFilter
weixin_44263023的博客
07-08 946
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring SecurityFilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
spring security 11种过滤器介绍
十万小时之旅
03-28 407
1.HttpSessionContextIntegrationFilter   位于过滤器顶端,第一个起作用的过滤器。   用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果...
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
小威的博客
04-18 1万+
Spring Security 的过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
Spring Security 3.2 过滤器
atgoingguoat的专栏
08-14 258
表3.1。标准过滤器假名和顺序 别号 过滤器类 命名空间元素或属性 CHANNEL_FILTER ChannelProcessingFilter HTTP /拦截URL需要通道 SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter HTTP CONCURRENT_SESSION_FILTE...
Spring Security 6 系列之三 - Filter过滤器
代码让AI扣
12-18 2046
关于Spring Security的底层原理大概讲这么多。Spring Security的过滤器有那么多,我们这里主要讲的是几个经常使用到的,其它的过滤器后续遇到需要自定义配置的时候,我们再讲解。Spring Security默认配置显然不能符合一个真正的业务需求,那么下一章我们就要开始做各种自定义配置。
Spring Security filter探究(一)
sinat_33472737的博客
04-28 1238
Spring Security架构 可以看出,Spring Security是通过内部的过滤器链实现认证和授权逻辑的。Spring Security内部的过滤器是有先后顺序的。比如UsernamePasswordAuthenticationFilter如果认证成功,那么AnonymousAuthenticationFilter肯定就不需要设置匿名者了。所以UsernamePasswordAuthenticationFilter在AnonymousAuthenticationFilter之前。具体顺序可看官网
Spring Security 中的过滤器(`Filter`)和拦截器(`HandlerInterceptor`)
最新发布
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
06-23 1281
Spring Security 中的过滤器(`Filter`)和拦截器(`HandlerInterceptor`)
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2909
前言: 当用spring security时,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值