spring security的过滤器链
Spring Security 的安全功能通过一系列过滤器(Filter)构成的链式结构实现,每个过滤器负责处理特定的安全任务。这些过滤器按特定顺序实行,形成过滤器链(Security Filter Chain)。以下是其核心过滤器及工作原理的详细剖析:一、默认过滤器链(按实行顺序)
过滤器名称(类名)作用1. SecurityContextPersistenceFilter从 Session 加载或创建 SecurityContext(存储认证信息)。2. HeaderWriterFilter写入安全相干的 HTTP 头(如 X-Content-Type-Options、X-Frame-Options)。3. CsrfFilter检查 CSRF Token(防止跨站请求伪造)。默认掩护非 GET、HEAD、TRACE、OPTIONS 请求。4. LogoutFilter处理注销请求(默认路径 /logout),扫除安全上下文和 Session。5. UsernamePasswordAuthenticationFilter处理表单登录(默认路径 /login),提取用户名密码并认证。6. DefaultLoginPageGeneratingFilter天生默认登录页(当未配置自定义登录页时生效)。7. DefaultLogoutPageGeneratingFilter天生默认注销页。8. BasicAuthenticationFilter处理 HTTP Basic 认证(Authorization: Basic <token>)。9. RequestCacheAwareFilter缓存请求,用于登录成功后规复原始请求(如访问 /admin 被拦截后跳转登录页)。10. SecurityContextHolderAwareRequestFilter包装请求对象(HttpServletRequest),提供安全相干方法(如 isUserInRole)。11. AnonymousAuthenticationFilter为未认证用户分配匿名身份(默认角色 ROLE_ANONYMOUS)。12. SessionManagementFilter管理会话(如并发控制、会话固定攻击防护)。13. ExceptionTranslationFilter处理认证/授权异常,触发 AuthenticationEntryPoint(如跳转登录页)或返回 403。14. FilterSecurityInterceptor终极授权决议,调用 AccessDecisionManager 验证用户是否有权访问资源。 二、过滤器链工作原理
1. 责任链模式(Chain of Responsibility)
• 实行顺序:请求按过滤器链的顺序依次通过每个过滤器,每个过滤器可选择处理请求或通报给下一个过滤器。
• 制止条件:当某个过滤器处理完请求并直接返回响应时,后续过滤器不再实行。
2. 核心流程
HTTP 请求 → 过滤器1 → 过滤器2 → ... → 过滤器N → 访问资源
↓ ↓ ↓
处理逻辑 处理逻辑 处理逻辑
• 认证流程:
• UsernamePasswordAuthenticationFilter 提取凭据并认证 → 存储 Authentication 到 SecurityContextHolder。
• 授权流程:
• FilterSecurityInterceptor 终极验证权限 → 若未授权则抛出 AccessDeniedException。
• 异常处理:
• ExceptionTranslationFilter 捕获异常 → 触发登录页跳转或返回 403。
3. 关键交互示例
用户访问受保护资源(如 `/admin`):
1. SecurityContextPersistenceFilter 加载 SecurityContext(若已登录则存在 Authentication)。
2. AnonymousAuthenticationFilter 为未认证用户赋予匿名身份。
3. FilterSecurityInterceptor 检查权限 → 发现未认证 → 抛出 AccessDeniedException。
4. ExceptionTranslationFilter 捕获异常 → 调用 AuthenticationEntryPoint 跳转登录页。
5. 用户提交登录表单 → UsernamePasswordAuthenticationFilter 认证成功 → 更新 SecurityContext。
6. 用户再次访问 `/admin` → FilterSecurityInterceptor 验证权限 → 允许访问。
三、如何查看和配置过滤器链
1. 查看默认过滤器链
在日记中设置 DEBUG 级别:
logging.level.org.springframework.security.web.FilterChainProxy=DEBUG
启动应用后,日记会输出默认过滤器链顺序:
Security filter chain: [
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CsrfFilter
LogoutFilter
...
]
2. 自定义过滤器链
通过 HttpSecurity 配置添加、移除或调整过滤器:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// 禁用默认表单登录过滤器
.formLogin(AbstractHttpConfigurer::disable)
// 添加自定义过滤器(如 JWT 过滤器)
.addFilterBefore(jwtAuthFilter(), UsernamePasswordAuthenticationFilter.class)
// 配置权限规则
.authorizeHttpRequests(auth -> auth
.requestMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().permitAll()
);
return http.build();
}
四、常见过滤器的扩展场景
1. 添加自定义过滤器
public class CustomAuthFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) {
// 自定义认证逻辑(如验证请求头中的 Token)
chain.doFilter(request, response);
}
}
// 注册到过滤器链
http.addFilterBefore(new CustomAuthFilter(), BasicAuthenticationFilter.class);
2. 禁用默认过滤器
http.csrf(csrf -> csrf.disable()); // 禁用 CSRF 防护
3. 调整过滤器顺序
// 将自定义过滤器插入到 CsrfFilter 之后
http.addFilterAfter(new CustomFilter(), CsrfFilter.class);
五、总结
Spring Security 的过滤器链通过责任链模式实现灵活的安全控制,核心特点包括:
[*]模块化:每个过滤器专注单一职责(如认证、授权、CSRF 防护)。
[*]可扩展:支持自定义过滤器插入恣意位置。
[*]顺序敏感:过滤器实行顺序影响安全举动(如 CsrfFilter 必须在认证过滤器之前实行)。
理解过滤器链的构成和实行逻辑,是调试安全题目和实现复杂安全需求的关键。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]