关于 Spring Security 框架中的过滤器的使用方法,系列文章:
《SpringSecurity中的过滤器链与自定义过滤器》
《SpringSecurity使用过滤器实现图形验证码》
1、Spring Security 中的过滤器链
Spring Security 中的过滤器链(Filter Chain)是一个核心的概念,它定义了一系列过滤器,这些过滤器按照特定的顺序处理HTTP请求,并负责执行各种安全任务,如身份验证、授权、CSRF 保护等。过滤器链是由多个过滤器组成的链式结构,请求依次经过每个过滤器,每个过滤器可以决定是否继续传递请求。此外,Spring Security 还允许开发人员自定义过滤器,并将其添加到安全过滤器链中。这使得可以根据特定的业务需求,扩展安全过滤器链的功能。
Spring Security 中的过滤器链,会在框架启动后将会自动进行初始化。常用的几个过滤器,如 UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter 等都直接或间接实现了 Servlet 中的过滤器接口,并完成某些具体的认证机制。例如,BasicAuthenticationFilter 用来验证用户的身份凭证,而 UsernamePasswordAuthenticationFilter 会检查输入的用户名和密码并根据认证结果决定是否将这一结果传递给下一个过滤器。
Spring Security 中的过滤器链是一个强大且灵活的安全机制,通过配置适当的过滤器和处理逻辑,可以有效地保护应用程序的资源免受未经授权的访问和攻击。如下图:
注意,整个 Spring Security 过滤器链的末端是一个 FilterSecurityInterceptor,它本质上也是一个过滤器。但与其他用于完成认证操作的过滤器不同,其核心功能是实现权限控制,也就是用来判断请求能否访问目标 HTTP 端点。FilterSecurityInterceptor 的权限控制的颗粒度可以达到方法级别,能够满足精细化访问控制。
Spring Security 中常用过滤器的名称、功能及其之间的顺序关系。
| 顺序 | 过滤器名称 | 过滤器功能 |
|---|---|---|
| 1 | ChannelProcessingFilter | 可根据配置进行协议的重定向。 |
| 2 | SecurityContextPersistenceFilter | 针对每个 Web 请求, |
)
