我们在用spring boot 配合spring security和oauth2的时候经常会把这两个类都用上,网上很多教程都没有告诉我们他们之间的关系是什么?如果同时在处理同一个Url(如:/api/**)应该是哪个生效?spring security的内部filter是个什么样子?带着这些疑问我们一层层的来扒开。
spring security的内部filter是个什么样子?
Java在正常servelet处理http的请求可能会经过很多的filter,大体例子像下面这个:
图片.png
而spring security又是怎么处理的呢,详见下图:
图片.png
从图中可以看出spring security自己有一个叫FilterChainProxy代理类,该类也实现了servlet接口。FilterChainProxy``内部有一个List<SecurityFilterChain> filterChains,而SecurityFilterChain是一个接口也是一个chain,每个chain里有若干个filter.既然有多个filter chain,那么来了一个http请求,这个请求(通过该请求的url来判断)应该由哪个或者哪些filter chain来进行处理呢?在spring security里一个请只会被一个filter chain进行处理,也就是spring security通过遍历filterChains这个集合时,只要找到能处理该请求的filter chain就不再进行其他的filter chain匹配。如下图:`
图片.png
比如来了一个请求,url是:/foo/**,那么他会被会第一个filter chain处理,后面的两个filter chain会被忽略掉。`
当我们在spring boot引入了spring-security的相关包时,security默认会为我们创建一个默认WebSecurityConfigurerAdapter,他拦截所有的http请求(/**),且这个Order的值是:SecurityProperties.BASIC_AUTH_ORDER。Security默认还会为我们创建一些filter:
图片.png
每个filter的作用可以在spring security中文档中找到。
当然你可以通过配置文件设置security.basic.enabled=false 来让默认的失效,或者你可以自定义一个并添加@Order值更低的WebSecurityConfigurerAdapter (or WebSecurityConfigurer) 的`@Bean``,比如像下面的代码:
@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)
public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.antMatcher("/foo/**")
...;
}
}
如果同时在处理同一个Url(如:/api/**)应该是哪个生效?
WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter同时在的话且都配置了处理url为:/api/**,默认是后者会生效。我们在写ResourceServerConfigurerAdapter时,基本上会这么写:
图片.png
为什么是后者生效呢,因为默认的WebSecurityConfigurerAdapter里的@Order值是100(我们可以在该类上可以明确看到@Order(100)),而我们在ResourceServerConfigurerAdapter上添加了@EnableResourceServer注解,这个玩意儿是干什么用的呢?他其中之一就是定义了@Order值为3(该注解里引用了ResourceServerConfiguration,这个类里面定义了Order值).在spring 的体系里Order值越小优先级越高,所以ResourceServerConfigurerAdapter优先级比另外一个更高,他会优先处理,而WebSecurityConfigurerAdapter会失效。
如果我们想让WebSecurityConfigurerAdapter比ResourceServerConfigurerAdapter优先级高的话,只须要让前者的@Order值比后者的@Order值更低就行了。
注意:我们每声明一个*Adapter类,都会产生一个filterChain。前面我们讲到一个request(匹配url)只能被一个filterChain处理,这就解释了为什么二者Adapter同时在的时候,前者默认为什么会失效的原因。我们可以在FilterChainProxy中的getFilters(HttpServletRequest request)方法中可以看到有哪些filter chain,并处理哪些url,例如:
图片.png
a.如果我们通过这种方式配置的话,requestMatcher值为显示No fields to display:
图片.png
b.如果通过这种方式配置的话,requestMatcher值为显示match到的url :/aa/**
图片.png
具体为什么,见下文。
他们之间的关系是什么?
他们所属的功能模块不同,前者spring security的,后者是spring security oauth2里的。他们都是Adapter,他们都会产生一个filter Chain,他们两者可以相互配合来对不同的Url进行权限控制。
但是,我们经常在写代码的时候经常会出现这种情况,当我们在做oauth2的时候,当把两个类同时放在项目的时候,都声明了对http url的不同处理,但是就是ResourceServerConfigurerAdapter会把的http配置信息完全被覆盖掉,最后形成了,所有的请求只会在ResourceServerConfigurerAdapter的fitler chain中处理,导致用户不知道这两者到底是怎么回事。
这其实是因为对spring security的配置不熟悉导致的,也就是antMatcher()``和authorizeRequests().antMatchers()。
让我们看两个例子:
例1:
图片.png
图片.png
上面这个例子,本意是想/api/* 端点须要被认证且要有USER权限;/user/**的端点须要被认证,但是最终的结果是WebSecurityConfigurerAdapter相关的配置信息没生效。
我们使用postman来测试一下:
图片.png
图片.png
从这结果我们可以看出来:/user/* 的端点没有被保护起来,/api/*的端点实际是被ResourceServerConfigurerAdapter产生的filter chain进行处理的。
这和我们想要的效果不一样呢,该怎么办呢,我们来看看例子2:
例2:
图片.png
图片.png
postman测试:
图片.png
图片.png
可以看出来/api/的端点实际是被ResourceServerConfigurerAdapter产生的filter chain进行处理的。而/user/ 的端点也被保护起来,但是这次被处理的是由WebSecurityConfigurerAdapter产生的filter chain进行处理的。
让我们来看stackoverflow上的解释:
图片.png
大体意思就是antMatcher()``是HttpSecurity的一个方法,他只告诉了Spring我只配置了一个我这个Adapter能处理哪个的url,它与authorizeRequests()没有任何关系。
然后使用authorizeRequests().antMatchers()是告诉你在antMatchers()中指定的一个或多个路径,比如执行permitAll()或hasRole()。他们在第一个http.antMatcher()匹配时就会生效。
所以,WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter同时使用,其实和spring security的多个HttpSecurity配置是一样的,原理也差不多是一样的。
用官方的例子:
图片.png
1、按照正常的方式配置验证
2、创建一个包含 @Order的 WebSecurityConfigurerAdapter实例来指定哪一个 WebSecurityConfigurerAdapter应该被首先考虑。
3、 http.antMatcher表明这个 HttpSecurity 只适用于以 /api/开头的URL。
4、创建另一个 WebSecurityConfigurerAdapter实例。如果URL没有以 /api/开头,这个配置将会被使用。这个配置在 ApiWebSecurityConfigurationAdapter 之后生效,因为其含有一个 @Order值为1.没有 @Order默认是最后一个生效。
相关推荐
本篇我们将深入探讨如何在Spring Security中自定义Filter,以及相关的知识点。 首先,我们需要了解Spring Security的Filter工作原理。Spring Security的过滤器链是由`DelegatingFilterProxy`管理的,它会委托给`...
- **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成了Filter Chain。每个过滤器负责特定的安全任务,如认证、授权等。 - **Authentication**: 表示用户的身份信息,包括用户名、...
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
1. **Filter Security Interceptor**:这是SpringSecurity的主要过滤器,负责检查请求并决定是否允许访问。它会根据预定义的访问控制规则进行判断。 2. **Authentication Manager**:处理用户认证的组件,可以使用...
- **Spring Security 定义好的核心Filter**:包括一系列内置过滤器,如`UsernamePasswordAuthenticationFilter`等。 ##### 10. **退出登录** - **概念**:提供了退出登录的功能,清除用户的认证状态。 ##### 11. ...
6. **Web安全(Web Security)**:对于基于Servlet的应用,Spring Security通过Servlet Filter进行安全控制;对于响应式(Reactive)应用,它提供了WebFlux安全支持,利用Reactor库处理非阻塞的HTTP请求。 7. **API...
### Spring Security 概述与应用实践 #### 一、引言 在当今互联网时代,网络安全问题日益凸显,尤其是Web应用程序的安全性受到了前所未有的关注。为了应对这些挑战,Spring Security 应运而生,成为了一个非常重要...
- **配置 web.xml**:需要在 web.xml 中配置 Spring Security 的 Filter,以便处理 HTTP 请求。 - **最小 <http> 配置**:使用 `<http>` 元素可以快速启用 Spring Security 的基本功能。 - **auto-config 包含了...
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理,包括认证、授权和访问控制等。在Spring Boot中,Spring Security 提供了简洁的API和自动化配置,使得开发者能够快速集成安全功能。在这个名...
- **安全web请求的架构**:Spring Security采用拦截器链(Filter Chain)模型来处理请求,每个请求都会经过一系列的过滤器,直到找到匹配的URL模式为止。 #### 三、增强用户体验 - **自定义登录页**:允许开发者...
1. **Filter Chain**: Spring Security通过一系列过滤器(Filter)来实现其安全功能。这些过滤器按照特定顺序执行,形成一个Filter Chain,处理HTTP请求。 2. **Authentication**: 身份验证是指确认用户的身份。...
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
Spring Security是Spring生态体系中的一个核心组件,主要负责应用程序的安全性,包括认证、授权和访问控制。本话题将深入探讨Spring Security的3.0.0和3.1.3两个版本,这两个版本都是该框架历史上的重要里程碑。 ...
1. **Filter Chain**: Spring Security 的核心在于其过滤器链,它拦截HTTP请求并执行相应的安全处理。过滤器链由多个特定于安全的过滤器组成,如`DelegatingFilterProxy`、`ChannelProcessingFilter`、`...
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行...
2. **Filter Security Interceptor**:Spring Security的核心组件,用于拦截HTTP请求,根据权限控制策略决定是否允许访问。 3. **OAuth2 endpoints**:如`/oauth/authorize`、`/oauth/token`等,用于处理OAuth相关的...
它可能会详细介绍SpringSecurity的核心组件,如过滤器链(Filter Chain)、安全上下文(Security Context)以及不同类型的认证方式,如表单登录(Form Login)、HTTP基本认证(HTTP Basic Authentication)等。...
【Spring Security 把授权信息写入数据库】 Spring Security是一个强大的安全管理框架,用于处理Java应用程序的安全需求,包括认证和授权。在从Acegi安全框架转换到Spring Security 2.0时,一个重要的变化就是如何...