Spring Security的过滤器链机制

目录
  • 前言
  • 请求执行链路

推荐阅读

前言

在“码农小胖哥”的文章中提到一个关键的过滤器链SecurityFilterChain,当一个请求 HttpServletRequest 进入 SecurityFilterChain 时,会通过 matches 方法来确定是否满足条件进入过滤器链,进而决定请求应该执行哪些过滤器。下面我们自己来梳理一遍。

请求执行链路

我们以之前的文章为例,使用@Configuration配置了一个SecurityFilterChain Bean,能在Spring Boot 启动的时候创建SecurityFilterChain Bean到Sping。

@Configuration
public class OAuth2LoginConfig
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests(authorize -> authorize
                        .anyRequest().authenticated()
                )
                .oauth2Login(withDefaults());
        return http.build();
    }

这是官网的配置,说明任何请求都可以通过OAuth2来登录。上面说过任何请求都会经过SecurityFilterChain 的matches方法,因此我们可以在SecurityFilterChain 的唯一实现类DefaultSecurityFilterChainmatches方法中打上断点(图1),这样当进入断点的时候,可以直观的从IDE中看到调用栈,这是调式源码的时候一个非常有用的方法。

图1

启动应用,请求一个接口localhost:8080/hello,进入端点后的调用栈如图:

图2

图中箭头所指的DelegatingFilterProxy为Spring提供的一个标准的Servlet Filter代理,在xml的Spring时代,为了能使用Spring Security,需要在web.xml中添加该过滤器,而在Spring Boot中,Spring Boot的自动配置已经帮我们搞定,具体可见SecurityFilterAutoConfiguration

箭头前面一部分是其他的几个Servlet Filter,我们不做了解。

箭头后面的部分,即DelegatingFilterProxy之后,依次执行了FilterChainProxyDefaultSecurityFilterChain

FilterChainProxy是一个过滤器链代理类,内部保存了过滤器链列表,而过滤器链内部又具有各种过滤器,如图3。
DefaultSecurityFilterChain是SecurityFilterChain的默认实现

到此为止,我们的第一个问题“请求执行链路”基本已经清晰了,即DelegatingFilterProxy >> FilterChainProxy >> SecurityFilterChain >> Filter

图3

到此这篇关于Spring Security的过滤器链机制的文章就介绍到这了,更多相关Spring Security过滤器链内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • 全面解析Spring Security 过滤器链的机制和特性

    1. 前言 过滤器作为 Spring Security 的重中之重,我们需要了解其中的机制.这样我们才能根据业务需求的变化进行定制.今天来探讨一下 Spring Security 中的过滤器链机制. 2. Spring Security 过滤器链 客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤器链(Filter)以及最终的具体 Servlet 控制器(Controller). 从上图我们可以看出 Spring Security 以一个单

  • Spring Security过滤器链体系的实例详解

    Spring Security过滤器链体系的实例详解

    以下摘自胖哥分享的 2022开工福利教程. 在学习Spring Security的时候你有没有下面这两个疑问: Spring Security的登录是怎么配置的? Spring Security的访问控制是什么机制? SpringBootWebSecurityConfiguration 上面两个疑问的答案就在配置类SpringBootWebSecurityConfiguration中.你可以按照下面这个思维导图去理解这个自动配置: SpringBootWebSecurityConfigurati

  • Spring Security之默认的过滤器链及自定义Filter操作

    Spring Security之默认的过滤器链及自定义Filter操作

    Spring Security 过滤器链及自定义Filter 别名 类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SESSION_FILTER ConcurrentSessionF

  • Spring Security 核心过滤器链讲解

    Spring Security 核心过滤器链讲解

    目录 一.Filter Chain 图解 二.过滤器逐一解析 2.1.WebAsyncManagerIntegrationFilter 2.2.SecurityContextPersistenceFilter 2.3.HeaderWriterFilter 2.4.CsrfFilter 2.5.LogoutFilter 2.6.RequestCacheAwareFilter 2.7.SecurityContextHolderAwareRequestFilter 2.8.AnonymousAuthe

  • Spring Security过滤器链加载执行流程源码解析

    Spring Security过滤器链加载执行流程源码解析

    目录 Spring Security实现原理 一.Spring Security过滤器链加载 1.注册名为 springSecurityFilterChain的过滤器 2.查看 DelegatingFilterProxy类 3.查看 FilterChainProxy类 3.1 查看 doFilterInternal方法. 3.2 查看 getFilters方法. 4 查看 SecurityFilterChain接口 5 查看 SpringBootWebSecurityConfiguration类

  • Spring Security的过滤器链机制

    Spring Security的过滤器链机制

    目录 前言 请求执行链路 推荐阅读 前言 在“码农小胖哥”的文章中提到一个关键的过滤器链SecurityFilterChain,当一个请求 HttpServletRequest 进入 SecurityFilterChain 时,会通过 matches 方法来确定是否满足条件进入过滤器链,进而决定请求应该执行哪些过滤器.下面我们自己来梳理一遍. 请求执行链路 我们以之前的文章为例,使用@Configuration配置了一个SecurityFilterChain Bean,能在Spring Boot

  • Spring security 自定义过滤器实现Json参数传递并兼容表单参数(实例代码)

    Spring security 自定义过滤器实现Json参数传递并兼容表单参数(实例代码)

    依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId&g

  • Spring Security 多过滤链的使用详解

    Spring Security 多过滤链的使用详解

    目录 一.背景 二.需求 1.给客户端使用的api 2.给网站使用的api 三.实现方案 方案一: 方案二 四.实现 1.app 端 Spring Security 的配置 五.实现效果 1.app 有权限访问 api 2.app 无权限访问 api 3.admin 用户有权限访问 网站 api 4.dev 用户无权限访问 网站 api 六.完整代码 一.背景 在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api 比如: /api/** 这些是给App端使用的,数据的返回都是以JSO

  • Spring Security基于过滤器实现图形验证码功能

    Spring Security基于过滤器实现图形验证码功能

    目录 前言 一. 验证码简介 二. 基于过滤器实现图形验证码 1. 实现概述 2. 创建新模块 3. 添加依赖包 4. 创建Producer对象 5. 创建生成验证码的接口 6. 自定义异常 7. 创建拦截验证码的过滤器 8. 编写SecurityConfig 9. 编写测试页面 10. 代码结构 11. 启动项目测试 前言 在前两个章节中,一一哥 带大家学习了Spring Security内部关于认证授权的核心API,以及认证授权的执行流程和底层原理.掌握了这些之后,对于Spring Secu

  • Spring Security CsrfFilter过滤器用法实例

    Spring Security CsrfFilter过滤器用法实例

    这篇文章主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 spring security框架提供的默认登录页面,会有一个name属性值为_csrf的隐藏域: 这是框架在用户访问登录页面之前就生成的,保存在内存中,当用户提交表单的时候会跟着一起提交:_csrf_formdata 然后会经过spring security框架resources目录下配置文件spring-sec

  • Spring Security常用过滤器实例解析

    Spring Security常见的15个拦截器 1 . org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言. SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一个 SecurityContext,并将SecurityContext给以后的过滤器使用,来

  • Java中的Spring Security配置过滤器

    目录 AbstractAuthenticationFilterConfigurer 改造过程 配置类效果 前言: CaptchaAuthenticationFilter是通过模仿UsernamePasswordAuthenticationFilter实现的.同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthent

随机推荐