springSecurity过滤web请求

最新推荐文章于 2025-08-13 21:05:35 发布
原创 最新推荐文章于 2025-08-13 21:05:35 发布 · 383 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

Spring Security 是一个功能强大的安全框架,提供了全面的 Web 安全功能。它的核心之一是过滤器链,用于拦截和处理 Web 请求。本文将详细介绍如何在 Spring Security 中配置和使用过滤器来管理 Web 请求的安全性。

一、Spring Security 过滤器链

Spring Security 使用过滤器链来处理所有进入应用程序的 HTTP 请求。这些过滤器按顺序执行,每个过滤器负责特定的安全功能,如身份验证、授权、会话管理、跨站点请求伪造(CSRF)保护等。

  1. 核心过滤器

    • SecurityContextPersistenceFilter:从存储中加载 SecurityContext 到 SecurityContextHolder
    • UsernamePasswordAuthenticationFilter:处理基于表单登录的身份验证。
    • BasicAuthenticationFilter:处理 HTTP Basic 验证。
    • ExceptionTranslationFilter:处理安全异常,如访问被拒绝和身份验证失败。
    • FilterSecurityInterceptor:执行访问决策。
二、配置 Spring Security 过滤器链

要配置 Spring Security 的过滤器链,可以通过扩展 WebSecurityConfigurerAdapter 类并重写 configure 方法来实现。以下是一个示例配置:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable() // 禁用 CSRF 保护
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // 允许所有用户访问 /public 路径
                .antMatchers("/admin/**").hasRole("ADMIN") // 仅允许具有 ADMIN 角色的用户访问 /admin 路径
                .anyRequest().authenticated() // 其他请求需要认证
                .and()
            .formLogin()
                .loginPage("/login") // 自定义登录页面
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
}
​
三、常见的过滤器配置

  1. 身份验证

    • 通过 UsernamePasswordAuthenticationFilter 实现表单登录身份验证。
    • 通过 BasicAuthenticationFilter 实现 HTTP Basic 验证。

  2. 授权

    • 通过 FilterSecurityInterceptor 配置 URL 级别的访问控制。
    • 使用 @PreAuthorize 和 @Secured 注解进行方法级别的访问控制。

  3. 会话管理

    • 通过 SessionManagementFilter 管理会话策略,如会话并发控制和会话固定攻击防护。

  4. 跨站点请求伪造(CSRF)保护

    • 默认情况下启用,通过 CsrfFilter 实现。可以通过 http.csrf().disable() 禁用 CSRF 保护。
四、示例代码解析

下面是一个完整的示例,展示了如何配置 Spring Security 来管理 Web 请求的安全性:

配置类

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
            .and()
            .withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
​

说明

  • authorizeRequests:配置 URL 级别的访问控制。/home 和 / 路径允许所有用户访问,/admin/** 路径仅允许 ADMIN 角色访问,其他路径需要认证。
  • formLogin:配置基于表单的登录,指定自定义登录页面。
  • logout:配置登出功能,允许所有用户访问。
  • configure(AuthenticationManagerBuilder auth):配置内存中的用户存储,定义两个用户:user 和 admin。
feifeigo123
关注
三、Spring Boot集成Spring Security过滤器链详解
JavaEE技术进阶之路
10-09 1473
Spring Security过滤器链详解
Spring Security06 - 过滤器实现
qq_43350524的博客
04-03 986
Spring Security06 - 过滤器实现
springSecurity学习之springSecurity过滤web请求
Lxn2zh的博客
07-20 653
的方式来配置DelegatingFilterProxy,其会自动为每个url注册springSecurityFilterChain过滤器(也就是DelegatingFilterProxy),添加一个ContextLoaderListener来载入WebSecurityConfig。使用@EnableWebSecurity注解来启用web安全功能,需要配置在实现了WebSecurityConfigurer或者继承WebSecurityConfigurerAdapter类的bean上。使用自定义的用户服务。
SpringSecurity过滤
libo_hh的博客
08-08 1083
一、过滤器加载过程 1.DelegatingFilterProxy 在web.xml中配置过滤器 进入doFilter方法 invokeDelegate方法执行FilterChainProxy的doFilter 最终采用遍历的方式执行十五个默认的过滤器 二、默认的15个过滤器 1.org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,非常重要 主要是使用SecurityContextR
SpringSecuritySpring Security过滤器链
来日浅谈的博客
05-14 3326
SpringSecuritySpring Security过滤器链1. SpringSecurity常用过滤器介绍2. SpringSecurity过滤器链加载原理2.1 DelegatingFilterProxy2.2 FilterChainProxy2.3 SecurityFilterChain 1. SpringSecurity常用过滤器介绍 接下来我们就来看看常见的过滤器。 1. org.springframework.security.web.context.SecurityContextPe
Spring Security 6 系列之三 - Filter过滤
代码让AI扣
12-18 1819
关于Spring Security的底层原理大概讲这么多。Spring Security过滤器有那么多,我们这里主要讲的是几个经常使用到的,其它的过滤器后续遇到需要自定义配置的时候,我们再讲解。Spring Security默认配置显然不能符合一个真正的业务需求,那么下一章我们就要开始做各种自定义配置
spring security过滤器链
LCY133的博客
03-28 1022
请求过滤器链的顺序依次通过每个过滤器,每个过滤器可选择处理请求或传递给下一个过滤器。理解过滤器链的组成和执行逻辑,是调试安全问题和实现复杂安全需求的关键。:当某个过滤器处理完请求并直接返回响应时,后续过滤器不再执行。Spring Security 的安全功能通过一系列。捕获异常 → 触发登录页跳转或返回 403。Spring Security过滤器链通过。最终验证权限 → 若未授权则抛出。提取凭证并认证 → 存储。
Spring Security的内置过滤器解析
qq_42690281的博客
12-16 1415
介绍Spring Security中的内置过滤
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求过滤器链(Filter)以及最终的具体 Servlet 控制器...
springSecurity(一):认识springSecurity过滤器链
qq_43586337的博客
06-11 1423
springSecurity学习笔记
Spring Boot集成Spring Security,HTTP请求授权配置:包含匿名访问、允许访问、禁止访问配置
11-22
例如,在一个名为`spring-boot-security2-demo`的项目中,开发者可能会找到如何配置安全策略的示例,以及如何通过Spring Security过滤链来拦截和处理HTTP请求Spring Boot与Spring Security的结合,为Java...
深入浅析 Spring Security 缓存请求问题
08-26
RequestCacheAwareFilter 是 Spring Security 中的一个核心过滤器,它可以拦截用户的请求,并将其缓存在 Session 中。这个过滤器可以检测用户的请求是否已经缓存在 Session 中,如果是,那么它将从 Session 中取出...
electron进程间通信- 从渲染进程到主进程
最新发布
唐璜Taro的博客
08-13 475
本文介绍了Electron中的IPC进程间通信机制,重点解析了从渲染进程到主进程的单向通信实现方式。这种设计既保证了功能实现,又遵循了Electron的安全通信原则,是开发桌面应用的常用模式。
基于SpringBoot校园管理系统
2501_90968670的博客
08-13 498
校园管理系统是一个基于Spring Boot + Vue.js的全栈应用,专注于高校内部的多角色协作管理。系统实现了院校管理、单位管理、用户管理、通知推送、投票管理等功能模块,满足管理员、院校管理员、普通用户三类角色的不同操作需求。核心目标是提升校园管理效率,实现通知精准推送与数据可视化统计。
WebGIS视角下基孔肯雅热流行风险地区分类实战解析
夜郎King的博客
08-09 2358
本研究旨在通过系统梳理 WebGIS 技术在传染病流行风险评估中的应用现状与优势,结合基孔肯雅热的流行特点和防控需求,构建一套基于 WebGIS 的流行风险地区分类展示系统。
Next.js 国际化:打造多语言应用
zimin的专栏
08-12 806
Next.js 作为一个全栈 React 框架,在构建全球性应用时,国际化(Internationalization, i18n)是不可或缺的功能。国际化允许应用支持多种语言和区域设置,实现语言检测、内容翻译和路由本地化,提升用户体验并扩大受众范围。Next.js 通过灵活的配置和库支持,如 next-i18next 或内置的 i18n 功能,简化了多语言应用的开发。i18n 的核心包括语言检测(根据用户浏览器或首选项自动切换语言)、内容翻译(使用 JSON 文件或第三方服务)和路由本地化(如 /en/
前端工程化:pinia
西岭千秋雪的博客
08-11 573
本文介绍了Pinia作为Vue.js官方推荐的状态管理库,用以解决组件间数据共享和状态同步问题。文章首先说明状态管理的必要性,随后详细讲解Pinia的初始化配置,包括安装、挂载和Store创建(包含state、getter、action)。最后通过示例展示如何在组件中使用Store,实现数据获取和渲染。Pinia能有效简化复杂应用的状态管理,提升开发效率。
3.4路由守卫
chxii的专栏
08-10 705
在Vue 2中,Vue Router提供了路由守卫(Navigation Guards)的功能,这允许你在路由跳转之前或之后执行逻辑。这些守卫可以用来处理认证、授权、页面标题修改、记录分析数据等任务。
Spring Security过滤器在请求后拦截
07-04
Spring Security是一个强大的开源安全框架,用于保护Web应用的安全,包括身份验证、授权和会话管理等功能。它提供了基于Java的拦截器体系结构,其中包括过滤器(Filter)机制来处理HTTP请求。 当涉及到请求后拦截时,Spring Security中的过滤器主要在以下几个阶段执行: 1. **预处理请求**(Pre-Handle):`doFilter()`方法被调用之前,`FilterChain`会首先调用`BeforeInvocationSecurityInterceptor`,这个阶段可以用来检查访问权限,如果请求未经过身份验证或权限不足,可以返回401或403响应,阻止访问进一步处理。 2. **实际业务处理**(Around-Invoke):`doFilter()`方法中,如果请求通过了预处理,过滤器会继续调用下一个`Filter`或`HandlerAdapter`处理请求。这阶段通常不会直接影响业务逻辑,但可以设置或修改请求上下文信息。 3. **后处理请求**(Post-Handle):`doFilter()`方法完成并返回响应后,还会调用`AfterCompletionFilter`,这时可以做清理工作,比如更新会话状态等。 4. **错误处理**(Exception-Translation):如果在上述阶段抛出了异常,会进入异常处理器(如`FilterInvocationExceptionResolver`),然后按照配置决定如何处理,例如记录日志、返回自定义错误页面等。 Spring Security过滤器可以通过配置文件或注解动态调整其行为,为每个URL路径提供定制化的安全策略。如果你想要实现特定的后拦截逻辑,可以在`Filter`类中添加自定义的方法,并根据需求调用`HttpServletRequest`的相应方法来进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值