深度解析Spring Security 中的 SecurityFilterChain核心功能

 更新时间:2025年08月01日 11:21:17   作者:csdn_tom_168  
SecurityFilterChain通过组件化配置、类型安全路径匹配、多链协同三大特性,重构了Spring Security的配置范式,接下来通过本文给大家介绍Spring Security中的SecurityFilterChain核心功能,感兴趣的朋友一起看看吧

Spring Security 中的SecurityFilterChain深度解析

在 Spring Security 6 中,SecurityFilterChain 已成为安全配置的核心接口,彻底取代了传统的 WebSecurityConfigurerAdapter 继承方式。以下是其核心功能、配置方法及与旧版本的差异对比:

一、SecurityFilterChain的核心角色

  • 安全规则容器
    • 定义 HTTP 请求的授权规则(如路径权限、方法权限)、认证方式(表单登录、OAuth2)及安全过滤器链
    • 每个 SecurityFilterChain Bean 对应一组独立的安全配置,支持多条链共存(通过 order 属性排序)。
  • 请求处理流程
    • Spring Security 按 SecurityFilterChain 的顺序逐条匹配请求,第一个匹配的链将处理该请求。
    • 示例:公开 API 与管理后台可通过不同链配置独立权限。

二、配置方式对比:6.x vs 5.x

特性Spring Security 5.xSpring Security 6.x
配置入口继承 WebSecurityConfigurerAdapter定义 SecurityFilterChain Bean
路径匹配antMatchers("/public/**").permitAll()requestMatchers("/public/**").permitAll()
方法级权限不支持支持 requestMatchers(HttpMethod.POST, ...)
过滤器链控制通过 configure(HttpSecurity http) 配置通过 SecurityFilterChain Bean 显式配置

三、6.x 配置示例详解

@Configuration
public class SecurityConfig {
    // 定义第一条安全链(公开接口)
    @Bean
    @Order(1)
    public SecurityFilterChain publicFilterChain(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/public/**") // 仅匹配 /public/** 路径
            .authorizeHttpRequests(auth -> auth
                .anyRequest().permitAll()
            )
            .csrf(CsrfConfigurer::disable); // 禁用CSRF(根据场景决定)
        return http.build();
    }
    // 定义第二条安全链(管理后台)
    @Bean
    @Order(2)
    public SecurityFilterChain adminFilterChain(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/admin/**")
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/admin/login").permitAll()
                .anyRequest().hasRole("ADMIN")
            )
            .formLogin(form -> form
                .loginPage("/admin/login")
                .defaultSuccessUrl("/admin/dashboard")
            );
        return http.build();
    }
    // 全局安全配置(如JWT、OAuth2)
    @Bean
    public SecurityFilterChain globalFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/api/**").authenticated()
            )
            .oauth2Login(oauth -> oauth
                .loginPage("/oauth2/login")
            );
        return http.build();
    }
}

四、关键配置方法解析

  1. 路径匹配
    • securityMatcher("/api/**"): 精确匹配路径(Spring Security 6.2+ 新增,替代 antMatcher)。
    • requestMatchers(HttpMethod.POST, "/api/data"): 结合 HTTP 方法限制。
  2. 授权策略
    • anyRequest().authenticated(): 所有请求需认证。
    • hasRole("ADMIN"): 需具备 ADMIN 角色。
    • hasAuthority("SCOPE_read"): 需拥有特定权限(适用于 OAuth2)。
  3. 认证方式
    • formLogin(): 表单登录配置。
    • oauth2Login(): OAuth2 客户端配置。
    • httpBasic(): Basic 认证。
  4. 安全头配置
    • headers(headers -> headers.frameOptions().disable()): 允许 iframe 嵌入(需谨慎)。

五、迁移指南:5.x → 6.x

  1. 移除 @EnableWebSecurity
    • 6.x 默认启用 Web 安全,无需显式注解。
  2. 替换配置类
    // 5.x 配置
    @Configuration
    @EnableWebSecurity
    public class SecurityConfig extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests().anyRequest().authenticated();
        }
    }
    // 6.x 配置
    @Configuration
    public class SecurityConfig {
        @Bean
        public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
            http.authorizeHttpRequests(auth -> auth.anyRequest().authenticated());
            return http.build();
        }
    }
  3. 调整路径匹配语法

    • antMatchers() 替换为 requestMatchers(),并支持正则表达式:
      .requestMatchers(regexMatcher("/api/[0-9]+/data"))
      

六、高级场景应用

  1. 多过滤器链协同
    • 通过 @Order 注解控制链的优先级,实现微服务网关的细粒度控制。
  2. 与 OAuth2 集成

    http.oauth2ResourceServer(oauth2 -> oauth2
        .jwt(jwt -> jwt.decoder(jwtDecoder()))
    );
    
  3. 动态权限控制
    • 结合 @PreAuthorize 注解和 SecurityFilterChain 实现方法级权限:
      @PreAuthorize("hasAuthority('SCOPE_write')")
      @PostMapping("/api/data")
      public ResponseEntity<?> createData() { ... }
      

七、总结

SecurityFilterChain 通过组件化配置、类型安全路径匹配、多链协同三大特性,重构了 Spring Security 的配置范式。其设计哲学与 Spring Boot 的“约定优于配置”理念一脉相承,使安全规则更直观、易维护。对于升级项目,需重点关注路径匹配语法调整、多链优先级控制,并充分利用 Lambda DSL 提升配置可读性。

到此这篇关于Spring Security 中的 SecurityFilterChain 深度解析的文章就介绍到这了,更多相关Spring Security SecurityFilterChain内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • 30条Java代码编写经验分享

    30条Java代码编写经验分享

    你知道写好Java代码的30条经验是什么吗?这篇文章主要为大家分享了30条Java代码编写经验技巧,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-02-02
  • JDK安装配置教程

    JDK安装配置教程

    这篇文章主要为大家详细介绍了JDK安装配置教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-01-01
  • JAVA如何调用Shell脚本

    JAVA如何调用Shell脚本

    本篇文章主要介绍了JAVA如何调用Shell脚本,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-08-08
  • Spring Boot实现模块化的几种方法

    Spring Boot实现模块化的几种方法

    模块可以是业务模块,为应用程序提供一些业务服务,或者为几个其他模块或整个应用程序提供跨领域关注的技术模块。这篇文章主要介绍了Spring Boot实现模块化,需要的朋友可以参考下
    2018-07-07
  • java的SimpleDateFormat线程不安全的几种解决方案

    java的SimpleDateFormat线程不安全的几种解决方案

    但我们知道SimpleDateFormat是线程不安全的,处理时要特别小心,要加锁或者不能定义为static,要在方法内new出对象,再进行格式化,本文就介绍了几种方法,感兴趣的可以了解一下
    2021-08-08
  • Springboot集成fastDFS配置过程解析

    Springboot集成fastDFS配置过程解析

    这篇文章主要介绍了Springboot集成fastDFS配置过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-11-11
  • springBoot整合CXF并实现用户名密码校验的方法

    springBoot整合CXF并实现用户名密码校验的方法

    这篇文章主要介绍了springBoot整合CXF并实现用户名密码校验的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-08-08
  • Java设计模式之迭代器模式解析

    Java设计模式之迭代器模式解析

    这篇文章主要介绍了Java设计模式之迭代器模式解析,迭代器模式提供一个对象来顺序访问聚合对象中的一系列数据,而不暴露聚合对象的内部表示,本文提供了部分代码,需要的朋友可以参考下
    2023-09-09
  • Spring反射内置工具类ReflectionUtils用法及说明

    Spring反射内置工具类ReflectionUtils用法及说明

    这段文章主要介绍了Java反射机制及其在获取sentinel熔断规则map和操作类属性方法中的应用,通过JDK和Spring的ReflectionUtils展示了如何优雅地处理反射操作,提升代码的可阅读性和维护性
    2026-06-06
  • Spring中的@ConfigurationProperties在方法上的使用详解

    Spring中的@ConfigurationProperties在方法上的使用详解

    这篇文章主要介绍了Spring中的@ConfigurationProperties在方法上的使用详解,@ConfigurationProperties应该经常被使用到,作用在类上的时候,将该类的属性取值 与配置文件绑定,并生成配置bean对象,放入spring容器中,提供给其他地方使用,需要的朋友可以参考下
    2024-01-01

最新评论