Spring Security过滤器链中自定义过滤器的实现与应用

原创 于 2025-05-28 07:28:19 发布 · 1.2k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

过滤器链中的定位替换机制

在Spring Security框架中,addFilterAt()方法提供了在过滤器链特定位置插入自定义过滤器的能力。这种机制常用于替换框架默认提供的安全过滤器实现,特别是在需要定制认证流程的场景下。

替换默认认证过滤器的典型场景

当需要替代Spring Security已知过滤器的功能实现时,定位替换机制尤为实用。以HTTP Basic认证为例,若开发者需要实现以下替代方案时:

  1. 静态头值认证:客户端在HTTP请求头中携带固定字符串,服务端通过比对预存值进行身份验证。这种方案虽然安全性较弱,但在后端服务间调用场景中因实现简单、执行高效而被广泛采用。

  2. 对称密钥签名认证:客户端和服务端共享密钥,客户端使用该密钥对请求部分内容(如特定头字段)进行签名,服务端使用相同密钥验证签名有效性。密钥可存储在数据库或密钥库中,每个客户端可配置独立密钥。

  3. 动态口令认证(OTP):用户通过短信或认证应用(如Google Authenticator)获取一次性密码完成认证,通常用于需要多因素认证的登录流程。

静态密钥认证实现示例

以下是通过StaticKeyAuthenticationFilter替换基础认证过滤器的完整实现:

@Component
public class StaticKeyAuthenticationFilter implements Filter {
   
   
    
    @Value("${authorization.key}")
    private String authorizationKey;

    @Override
    public void doFilter(ServletRequest request, 
                         ServletResponse response, 
                         FilterChain chain) 
        throws IOException, ServletException {
   
   
        
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        
        String authHeader = httpRequest.getHeader("Authorization");
        
        if (authorizationKey.equals(authHeader)) {
   
   
            chain.doFilter(request, response);
        } else {
   
   
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        }
    }
}

配置类中通过addFilterAt()方法将自定义过滤器定位到基础认证过滤器位置:

@Configuration
public class ProjectConfig {
   
   
    
    private final StaticKeyAuthenticationFilter filter;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
   
   
        http.addFilterAt(filter, BasicAuthenticationFilter.class)
            .authorizeRequests(c -> c.anyRequest().permitAll());
        return http.build();
    }
}

关键实现注意事项

  1. 多过滤器定位问题:当多个过滤器被添加到同一位置时,Spring Security不保证其执行顺序。建议避免在同一位置注册多个过滤器,以确保行为可预测。

  2. 生产环境安全:示例中将密钥存储在application.properties仅适用于演示环境,实际生产环境应使用密钥管理系统存储敏感信息。

  3. 用户上下文处理:当认证不涉及用户概念时,可通过排除自动配置禁用UserDetailsService

@SpringBootApplication(exclude = UserDetailsServiceAutoConfiguration.class)

Spring Security提供的过滤器基类

除直接实现Filter接口外,框架还提供以下增强型基类:

  1. GenericFilterBean:支持通过web.xml配置初始化参数
  2. OncePerRequestFilter:确保每个请求仅执行一次过滤逻辑,特别适合日志记录等场景

以下是改进后的认证日志过滤器实现:

public class AuthenticationLoggingFilter extends OncePerRequestFilter {
   
   
    
    private final Logger logger = Logger.getLogger(getClass().getName());

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                   HttpServletResponse response,
                                   FilterChain chain) throws IOException, ServletException {
   
   
        
        String requestId = request.getHeader("Request-Id");
        logger.info("Authenticated request with id: " + requestId
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity实现过滤器
冲出仁川,走出马德里,故事还会再继续
02-24 3367
SpringSecurity实现过滤器1、概述2、Spring Security架构中实现过滤器3、在过滤器中现有过滤器之前添加过滤器3.1 实现一个自定义过滤器3.2 在身份验证之前配置自定义过滤器3.3 控制器类3.4 测试4、在过滤器中已有的过滤器之后添加过滤器4.1 定义一个过滤器来记录请求4.2 在过滤器中的现有过滤器之后添加自定义过滤器4.3 测试5、在过滤器中另一个过滤器的位置添加一个过滤器5.1 StaticKeyAuthenticationFilter类的定义5.2 将过滤器添加到
SpringSecurity之添加过滤器
xkshihaoren的博客
11-28 4854
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
Spring Boot+Spring Security自定义Filter
weixin_45863786的博客
03-16 2096
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 编码思路 怎么在Spring Security中的...
SpringSecurity(四)——自定义数据源(Filter)
老程的小白博客空间
02-11 1544
本篇笔记记录用户自定义拦截器(Filter),这里仅举一个自定义登录拦截器的栗子。
spring security 3 auto-config=“true”
04-21 1177
SecurityContextPersistenceFilter LogoutFilter UsernamePasswordAuthenticationFilter BasicAuthenticationFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter Anonymous
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
WayneHu的博客
12-20 5326
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
Spring Security addFilter() 顺序问题
热门推荐
猫吻鱼的博客
11-02 4万+
文章目录1. 分析0. FilterComparator1. HttpSecurity#addFilterAt1.1 `this.comparator.registerAt(filter.getClass(), atFilter);`1.2 `HttpSecurity#addFilter(Filter filter)`2. 总结: 1. 分析 在上面Spring Security + Jwt...
Spring security ---Filter的使用
Pomel0的博客
08-05 1388
类名称 Namespace Element or Attribute ChannelProcessingFilter http/intercept-url@requires-channel SecurityContextPersistenceFilter http ConcurrentSessionFilter session-management/concur...
SpringSecurity权限管理框架系列(七)-SpringSecurity自定义配置类中自定义Filter的使用详解
最爱嫣夜来
03-26 4701
1、Filter请求过滤器 filter请求过滤器可以帮助我们进行HttpServletRequest请求和HttpServletResponse响应的过滤 在自定义的Filter过滤器中我们可以对我们的请求进行过滤, 同时也可以对返回的相应进行处理,在方法中实现我们自定义的业务逻辑处理,这是很常见的需求,下面说说spring security框架中怎么是怎么搭配自定义Filter过滤器来使用的。 2、自定义Spring Security配置类中添加自定义Filter 2.1 自定义Filter类 pac
Spring Security 入门:自定义 Filter
baidu_38116275的博客
04-23 7368
本文解决问题将自定义的 Filter 加入到 Spring Security 中的 Filter 中的指定位置。Spring Security 默认的过滤器官网位置:http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters别名类名称Namespace Elem...
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 4701
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器中。
Spring Security
Java—wang的博客
08-04 180
<dependencies> <dependency> <groupId>com.atguigu</groupId> <artifactId>common_utils</artifactId> <version>0.0.1-SNAPSHOT</version> </dependency> <!-...
Spring Security自定义认证授权过滤器
m0_62943934的博客
03-11 1989
如果对 Spring Security 了解不够请看这篇。SpringSecurity 内置的认证过滤器是基于post请求且为form表单的方式获取认证数据的,那如何接收前端Json异步提交的数据据实现认证操作呢?显然,我们可仿照UsernamePasswordAuthentionFilter类自定义一个过滤器实现认证过滤逻辑;import com/*** 认证过滤器/*** 自定义构造器,传入登录认证的url地址} /*** 尝试去认证的方法。
Spring Security 过滤器基础组件
Littlemotor
08-09 2232
Spring Security中的所有功能都是通过过滤器实现的,这些过滤器组成一个完整的过滤器
spring-secrity的Filter顺序+自定义过滤器
毅香雪海的博客
09-05 2257
spring-secrity的Filter顺序+自定义过滤器
Spring Security06 - 过滤器实现
最新发布
qq_43350524的博客
04-03 984
Spring Security06 - 过滤器实现
Spring Security介绍(三)过滤器(1)过滤器
w_t_y_y的博客
02-06 1138
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

面朝大海,春不暖,花不开

您的鼓励是我最大的创造动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值