脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → SpringSecurity过滤器链

SpringSecurity的安全过滤器链功能详解

 更新时间:2025年03月26日 09:49:04   作者:康小庄  
本文介绍了如何配置SpringSecurity的安全过滤器链,包括定义URL路径的访问权限、用户认证和授权配置、自定义CSRF过滤器等内容,通过这些配置,可以实现对不同URL路径的访问控制以及用户的登录、注销等功能,感兴趣的朋友一起看看吧

主要是用于配置Spring Security的安全过滤器链(SecurityFilterChain),以及定义用户认证和授权的相关配置。具体来说,代码实现了以下功能:

  • 配置安全过滤器链:定义了哪些URL路径需要进行认证,哪些路径可以匿名访问,以及如何处理登录、注销和CSRF防护等。
  • 用户认证:使用内存中的用户详情服务(InMemoryUserDetailsManager)来管理用户信息,并使用BCrypt密码编码器(BCryptPasswordEncoder)对用户密码进行加密
@Configuration(proxyBeanMethods = false)
public class SecuritySecureConfig {
    private final AdminServerProperties adminServer;
    private final SecurityProperties security;
    public SecuritySecureConfig(AdminServerProperties adminServer, SecurityProperties security) {
        this.adminServer = adminServer;
        this.security = security;
    }
    /**
     * 用于配置Spring Security的安全过滤器链,以及定义用户认证和授权的相关配置。
     * 通过这些配置,可以实现对不同URL路径的访问控制,以及用户的登录、注销和“记住我”等功能
     */
    @Bean
    protected SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        // 配置安全过滤器链:定义了哪些URL路径需要进行认证,哪些路径可以匿名访问,以及如何处理登录、注销和CSRF防护
        SavedRequestAwareAuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
        successHandler.setTargetUrlParameter("redirectTo");
        successHandler.setDefaultTargetUrl(this.adminServer.path("/"));
        http.authorizeHttpRequests((authorizeRequests) -> authorizeRequests //
                        .requestMatchers(new AntPathRequestMatcher(this.adminServer.path("/assets/**")))
                        .permitAll()
                        .requestMatchers(new AntPathRequestMatcher(this.adminServer.path("/actuator/info")))
                        .permitAll()
                        .requestMatchers(new AntPathRequestMatcher(adminServer.path("/actuator/health")))
                        .permitAll()
                        .requestMatchers(new AntPathRequestMatcher(this.adminServer.path("/login")))
                        .permitAll()
                        .dispatcherTypeMatchers(DispatcherType.ASYNC)
                        .permitAll()
                        .anyRequest()
                        .authenticated())
                /*
                formLogin:配置表单登录。
                loginPage:指定自定义的登录页面。
                successHandler:指定认证成功后的处理器。
                logout:配置注销功能。
                httpBasic:启用HTTP基本认证。
                 */
                .formLogin(
                        (formLogin) -> formLogin.loginPage(this.adminServer.path("/login")).successHandler(successHandler))
                .logout((logout) -> logout.logoutUrl(this.adminServer.path("/logout")))
                .httpBasic(Customizer.withDefaults());
        /*
         * addFilterAfter:在指定的过滤器之后添加自定义的CSRF过滤器。
         * csrf:配置CSRF防护。
         * csrfTokenRepository:设置CSRF令牌的存储方式。
         * csrfTokenRequestHandler:设置CSRF令牌的请求处理器。
         * ignoringRequestMatchers:忽略某些URL路径的CSRF防护。
         */
        http.addFilterAfter(new CustomCsrfFilter(), BasicAuthenticationFilter.class)
                .csrf((csrf) -> csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                        .csrfTokenRequestHandler(new CsrfTokenRequestAttributeHandler())
                        .ignoringRequestMatchers(
                                new AntPathRequestMatcher(this.adminServer.path("/instances"), "POST"),
                                new AntPathRequestMatcher(this.adminServer.path("/instances/*"), "DELETE"),
                                new AntPathRequestMatcher(this.adminServer.path("/actuator/**"))
                        ));
        http.rememberMe((rememberMe) -> rememberMe.key(UUID.randomUUID().toString()).tokenValiditySeconds(1209600));
        return http.build();
    }
    /*
    rememberMe:配置“记住我”功能。
    key:设置“记住我”功能的密钥。
    tokenValiditySeconds:设置“记住我”令牌的有效期。
     */
    @Bean
    public InMemoryUserDetailsManager userDetailsService(PasswordEncoder passwordEncoder) {
        UserDetails user = User.withUsername("macro")
                .password(passwordEncoder.encode("123456"))
                .roles("USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

自定义CSRF过滤器

public class CustomCsrfFilter extends OncePerRequestFilter {
    public static final String CSRF_COOKIE_NAME = "XSRF-TOKEN";
    /**
     * 它是一个过滤器(Filter)的内部实现。
     * 该过滤器的主要功能是处理跨站请求伪造(CSRF)防护,确保每个请求都包含有效的CSRF令牌
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
        if (csrf != null) {
            Cookie cookie = WebUtils.getCookie(request, CSRF_COOKIE_NAME);
            String token = csrf.getToken();
            if (cookie == null || token != null && !token.equals(cookie.getValue())) {
                cookie = new Cookie(CSRF_COOKIE_NAME, token);
                cookie.setPath("/");
                response.addCookie(cookie);
            }
        }
        filterChain.doFilter(request, response);
    }
}

用于配置Spring Security的安全过滤器链,以及定义用户认证和授权的相关配置。通过这些配置,可以实现对不同URL路径的访问控制,以及用户的登录、注销和“记住我”等功能。

到此这篇关于SpringSecurity的安全过滤器链的文章就介绍到这了,更多相关SpringSecurity的安全过滤器链内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Java 按照字节来截取字符串的代码(不会出现半个汉字)

    Java 按照字节来截取字符串的代码(不会出现半个汉字)

    Java 按照字节来截取字符串的工具,不会出现半个汉字。一个中文两个字节,一个英文字符只占 1 个字节** 1. 通常我们用于前端显示的时候,防止标题过长
    2014-01-01
  • Java如何从Redis中批量读取数据

    Java如何从Redis中批量读取数据

    这篇文章主要介绍了Java如何从Redis中批量读取数据的情况,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2025-05-05
  • Netty开发及粘包实战解决分析

    Netty开发及粘包实战解决分析

    这篇文章主要为大家介绍了Netty开发及粘包实战解决分析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2024-02-02
  • Java空集合使用场景与填坑记录

    Java空集合使用场景与填坑记录

    这篇文章主要给大家介绍了关于Java空集合使用场景与填坑的相关资料,并且给大家介绍了java判断集合是否为空的方法,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧
    2018-08-08
  • MybatisPlus 主键策略的几种实现方法

    MybatisPlus 主键策略的几种实现方法

    MybatisPlus-Plus支持多种主键生成策略,可以通过@TableId注解的type属性配置,主要策略包括AUTO、INPUT、ASSING_ID、ASSING_UUID和NONE,每种策略适用于不同的场景,下面就来介绍一下
    2024-10-10
  • JAVA读取PDF、WORD文档实例代码

    JAVA读取PDF、WORD文档实例代码

    本篇文章主要通过实例代码介绍了JAVA读取PDF、WORD文档,需要的朋友可以参考下
    2017-04-04
  • Spring中@Configuration注解的Full模式和Lite模式详解

    Spring中@Configuration注解的Full模式和Lite模式详解

    这篇文章主要介绍了Spring中@Configuration注解的Full模式和Lite模式详解,准确来说,Full 模式和 Lite 模式其实 Spring 容器在处理 Bean 时的两种不同行为,这两种不同的模式在使用时候的表现完全不同,今天就来和各位小伙伴捋一捋这两种模式,需要的朋友可以参考下
    2023-09-09
  • MyBatis流式查询的三种实现方法

    MyBatis流式查询的三种实现方法

    流式查询指的是查询成功后不是返回一个集合而是返回一个迭代器,应用每次从迭代器取一条查询结果,本文介绍了MyBatis流式查询的实现,感兴趣的可以了解一下
    2021-05-05
  • 利用MultipartFile实现文件上传功能

    利用MultipartFile实现文件上传功能

    这篇文章主要为大家详细介绍了利用MultipartFile实现文件上传功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-11-11
  • SpringBoot整合Hutool实现文件上传的使用示例

    SpringBoot整合Hutool实现文件上传的使用示例

    文件上传在项目经常会用到,本文主要介绍了SpringBoot整合Hutool实现文件上传的使用示例,具有一定的参考价值,感兴趣的可以了解一下
    2023-11-11

最新评论