开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Spring security -使用特定的匹配器创建2个过滤链

Spring Security - 使用特定的匹配器创建两个过滤链

基础概念

Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它允许开发者为基于 Spring 的应用程序提供安全控制。过滤链（Filter Chain）是 Spring Security 中的一个重要概念，它由一系列过滤器（Filter）组成，这些过滤器按照特定的顺序执行，以处理请求和响应。

相关优势

灵活性：可以根据不同的 URL 模式或请求类型应用不同的安全策略。
细粒度控制：可以为不同的用户角色或权限设置不同的访问规则。
集成方便：与 Spring 框架无缝集成，易于配置和使用。

类型

Spring Security 支持多种类型的过滤器，包括但不限于：

Authentication Filters：用于身份验证。
Authorization Filters：用于授权检查。
Exception Translation Filters：用于将底层安全异常转换为 Spring Security 的异常。
Filter Security Interceptor：用于在方法级别进行安全检查。

应用场景

在需要为不同的 URL 模式或请求类型应用不同的安全策略时，使用多个过滤链非常有用。例如：

对于 API 端点，可能需要基于令牌的身份验证。
对于管理界面，可能需要基于表单的身份验证和更严格的授权检查。

示例代码

以下是一个示例，展示如何使用特定的匹配器创建两个过滤链：

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/api/**")
                .authorizeRequests()
                    .antMatchers("/api/public/**").permitAll()
                    .anyRequest().authenticated()
                    .and()
                .httpBasic()
            .and()
            .securityMatcher("/admin/**")
                .authorizeRequests()
                    .antMatchers("/admin/**").hasRole("ADMIN")
                    .and()
                .formLogin()
                .loginPage("/admin/login")
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}password").roles("ADMIN");
    }
}

解释

securityMatcher：用于定义过滤链的匹配器。/api/** 匹配所有以 /api/ 开头的请求，/admin/** 匹配所有以 /admin/ 开头的请求。
authorizeRequests：用于配置 URL 的访问权限。
httpBasic：用于基于 HTTP 基本身份验证的安全策略。
formLogin：用于基于表单的身份验证。

参考链接

通过这种方式，可以为不同的 URL 模式配置不同的安全策略，从而实现更灵活和细粒度的访问控制。

相关搜索:具有spring-security和webflux公共模式的过滤器链 Spring security:有没有办法保护两个过滤器链中的一个端点？如何创建使用特定JVM参数运行的Spring Boot测试如何在Spring Security中使用依赖于其他bean的过滤器来配置WebSecurityContext？在Spring中使用@Component注解创建特定类的多个对象使用马尔可夫链创建特定长度的字符串如何使用django查询集过滤器创建views.py来比较Django中两个不同表的特定值？最大公约数高效算法最大公约数递归算法最大公约数3种算法

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

「Spring」认证安全架构指南

本指南是 Spring Security 的入门指南，提供对框架设计和基本构建块的深入了解。我们仅涵盖应用程序安全的基础知识。但是，这样做，我们可以清除使用 Spring Security 的开发人员遇到的一些困惑。为此，我们通过使用过滤器，更一般地，通过使用方法注解，来看看在 Web 应用程序中应用安全性的方式。当您需要深入了解安全应用程序的工作原理、如何对其进行自定义或需要学习如何考虑应用程序安全性时，请使用本指南。

03

Spring认证-Spring 安全架构专题教程

本指南是 Spring Security 的入门，提供对框架设计和基本构建块的深入了解。我们只涵盖应用程序安全的基础知识。但是，通过这样做，我们可以消除使用 Spring Security 的开发人员所遇到的一些困惑。为此，我们通过使用过滤器，更一般地说，通过使用方法注释来查看在 Web 应用程序中应用安全性的方式。当您需要对安全应用程序的工作原理、如何对其进行自定义，或者需要了解如何考虑应用程序安全性时，请使用本指南。

02

【译】Spring 官方教程：Spring Security 架构

原文：Spring Security Architecture 译者：徐靖峰校对：马超君专题指南本文是 Spring Security 的入门指南，并对 Spring Security 的框架设计和基础组件进行深度解析。我们仅涉及应用程序安全性的基础知识，但这已足够消除开发人员在使用 Spring Security 时遇到的一些困惑。要做到这一点，我们需要了解如何使用过滤器和方法注解来保障Web应用程序的安全性。如果你需要了解高级别安全应用程序的工作方式，以及如何定制安全应用程序，或只需要学习如何思考

07

新版Spring Security 中的路径匹配方案！

针对目前最新版的 Spring Security6，松哥录制了一套从零开始的视频教程，手把手教大家搞懂最新版 Spring Security 的玩法，有需要的小伙伴戳这里：最新版Spring Security6 视频教程来啦～。

01

《设计模式》总结和在spring框架的实践

设计模式一到二十都是Gof《设计模式》内容的总结，Gof《设计模式》提到的代码都是c++。举例也不是特别典型。这些内容很早之前都已经总结了，现在重新把word笔记整理，算是温故而知新吧。一些地方描述可能有误，在往后的更多实践经验来进一步的修改。

01

漫谈设计模式在 Spring 框架中的良好实践

好的，我们开始进入正题。设计模式实践里面提供了许多经久不衰的解决方案和最佳方案。这里，GOF 设计模式主要分为三大类：创建模式、结构模式和行为模式。创建模式对于创建对象实例非常有用。结构模式通过处理类或对象的组合来作用于企业级应用的设计结构，从而降低了应用的复杂性，提高了应用的可重用性和性能。行为模式的意图是一组对象之间的交互作用，以执行单个对象无法自己执行的任务。它描述了类或对象交互以及职责的分配。

03

漫谈设计模式在 Spring 框架中的良好实践

好的，我们开始进入正题。设计模式实践里面提供了许多经久不衰的解决方案和最佳方案。这里，GOF 设计模式主要分为三大类：创建模式、结构模式和行为模式。创建模式对于创建对象实例非常有用。结构模式通过处理类或对象的组合来作用于企业级应用的设计结构，从而降低了应用的复杂性，提高了应用的可重用性和性能。行为模式的意图是一组对象之间的交互作用，以执行单个对象无法自己执行的任务。它描述了类或对象交互以及职责的分配。

01

Spring Security OAuth 2开发者指南译

这是用户指南的支持OAuth 2.0。对于OAuth 1.0，一切都是不同的，所以看到它的用户指南。

01

Spring Security OAuth 2开发者指南

这个用户指南支持OAuth 2.0。对于OAuth 1.0，一切都是不同的，所以去这里看它的用户指南。

02

Spring Security 实战干货：图解Spring Security的过滤器体系

我在Spring Security 实战干货：内置 Filter 全解析对Spring Security的内置过滤器进行罗列，但是Spring Security真正的过滤器体系才是我们了解它是如何进行"认证"、“授权”、“防止利用漏洞”的关键。

02

【SpringSecurity】快速入门—通俗易懂

创建一个WebSecurityConfig类，继承WebSecurityConfigurerAdapter：

04

Spring Security 基本介绍及基础项目搭建

Spring 是非常流行和成功的 Java 应用开发框架，Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”（或者访问控制），一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分，这两点也是 Spring Security 重要核心功能。

02

不得不知道的Spring Security的基本原理

由于我们的API接口，在服务启动后，是在无保护的状态下。任何人只要知道服务的地址，都可以访问我们开发的这些服务。这种情况在我们真实的企业级应用开发中是不允许的。我们需要对用户进行认证和授权，来保证我们合法的用户和有权限的用户才能访问。

01

SpringSecurity6 | 委派筛选器代理和过滤器链代理

大家好，我是Leo哥🫣🫣🫣，上一节我们简单回顾了一下关于Servlet原生过滤器以及简单认识了SpringSecurity中的一些过滤器。但是底层SpringSecurity是如何维护这些过滤器，并通过这些过滤器是如果拦截我们的客户端请求的，我们都还只是停留在表层，今天就让我们去深入了解一下我们今天得主角—委派筛选器代理 DelegatingFilterProxy。好了，话不多说让我们开始吧😎😎😎。

02

Spring Security入门1：Spring Security的定义与用途

安全性是软件系统必要的非功能特性之一，安全性有助于保护软件系统中的敏感数据和重要信息，防止其被未经授权的人员获取、篡改或破坏。这对于保护用户的个人隐私和商业机密非常重要。安全性可以防止未经授权的用户或攻击者入侵系统，确保只有经过授权的用户才能访问系统的功能和资源。这有助于防止恶意行为和不当使用系统，本文讲解了安全性问题的解决方案之一：Spring Security，探讨Spring Security的定义与用途。

04

Spring Security 6.x 过滤器链SecurityFilterChain是如何工作的

上一篇主要介绍了Spring Secuirty中的过滤器链SecurityFilterChain是如何配置的，那么在配置完成之后，SecurityFilterChain是如何在应用程序中调用各个Filter，从而起到安全防护的作用，本文主要围绕SecurityFilterChain的工作原理做详细的介绍。

02

SecurityAutoConfiguration源码解析

SpringBoot 对 Security 的支持类均位于 org.springframework.boot.autoconfigure.security包下，主要通过 SecurityAutoConfiguration 自动配置类和 SecurityProperties 属性配置来完成。

03

听GPT 讲Istio源代码--pilot(3)

在Istio项目中，generator.go文件实现了Istio授权模型的生成器。该文件定义了一系列结构体和函数，用于生成授权策略、主体和权限。

04

Spring Security 的 Filter 链和 Filter 顺序（三）

除了使用Spring Security默认提供的过滤器之外，还可以创建自定义过滤器来满足应用程序的特定需求。创建自定义过滤器需要实现javax.servlet.Filter接口，并将其注册到Spring Security的过滤器链中。

03

实战！Spring Boot Security+JWT前后端分离架构登录认证！

Spring security这里就不再过多介绍了，相信大家都用过，也都恐惧过，相比Shiro而言，Spring Security更加重量级，之前的SSM项目更多企业都是用的Shiro，但是Spring Boot出来之后，整合Spring Security更加方便了，用的企业也就多了。

01

Spring Security过滤器链如何匹配到特定的请求

通过上一篇文章知道SecurityFilterChain决定了哪些请求经过的过滤器链，那么SecurityFilterChain是如何匹配到特定请求的呢？今天胖哥就来带你揭开这个秘密，还希望各位同学能够点赞、再看、转发来一波。

02

SpringSecurity6从入门到实战之整合原生Filter链

Spring提供了一个名为DelegatingFilterProxy的过滤器实现，它允许在Servlet容器的生命周期和Spring的ApplicationContext之间架起桥梁。Servlet容器允许使用自己的标准注册过滤器实例，但它不知道Spring定义的Bean。您可以通过标准的Servlet容器机制注册DelegatingFilterProxy，但将所有工作委托给实现过滤器的Spring Bean

01

Spring Security 实战干货：过滤器链的机制和特性

过滤器作为 Spring Security 的重中之重，我们需要了解其中的机制。这样我们才能根据业务需求的变化进行定制。今天来探讨一下 Spring Security 中的过滤器链机制。同时欢迎加入[微信圈子]程序员交流圈交流编程经验。

01

实战！Spring Boot Security+JWT前后端分离架构认证登录，居然还有人不会？

前后端分离不同于传统的web服务，无法使用session，因此我们采用JWT这种无状态机制来生成token，大致的思路如下：

03

Spring Security过滤器链体系

上面两个疑问的答案就在配置类SpringBootWebSecurityConfiguration中。你可以按照下面这个思维导图去理解这个自动配置：

05

SpringSecurity6 | 核心过滤器

大家好，我是Leo哥🫣🫣🫣，上一节我们通过源码剖析以及图文分析，了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器，了解SpringSecurity中都有哪些核心过滤器。好了，话不多说让我们开始吧😎😎😎。

03

一个接口是如何在Keycloak和Spring Security之间执行的

在适配了Keycloak和Spring Security的Spring Boot应用中，我编写了一个/admin/foo的接口并对这个接口进行了权限配置：

02

Spring Security 实战：Spring Boot 下的自动配置

我们在前几篇对 Spring Security 的用户信息管理机制，密码机制进行了探讨。没有看的同学可通过 https://felord.cn 获取。我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE（当前 Spring Boot 版本为2.1.9.RELEASE）模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找到。今天我们进一步来解密 Spring Security 在 Spring Boot 的配置和使用。

03

了解一下Spring Security吧

Spring Security是Spring框架中的一个强大且广泛使用的模块，专注于为Java应用提供全面的安全性支持。无论是Web应用、REST服务还是基于Spring的其他类型应用，Spring Security都能够提供灵活、可定制的身份验证和授权机制。本文将深入探讨Spring Security的关键概念、使用方法和一些最佳实践，以帮助开发人员构建安全可靠的Java应用。

01

SpringSecurity

Spring Security是一个功能强大且高度可定制的身份认证和访问控制框架，它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架，致力于为Java应用程序提供身份认证和授权。与所有Spring项目一样，Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求

03

Spring认证_什么是Spring GraphQL？

什么是Spring GraphQL前沿学习部分：https://cloud.tencent.com/developer/article/1857280

04

Spring Security入门到实践（一）HTTP Basic在Spring Security中的应用原理浅析

上面的两点是应用安全的基本关注点，Spring Security存在的意义就是帮助开发者更加便捷地实现了应用的认证和授权能力。

03

记一次执行顺序问题导致的SQL注入绕过

拦截器（Interceptor）和过滤器（Filter）在Java Web应用程序中都是用于处理HTTP请求和响应的组件，但它们属于不同的层次，并且具有不同的执行顺序和作用域。正确理解它们之间的区别和执行顺序对于确保应用程序的安全性至关重要。

01

Spring Security---ONE

我们可以通过浏览器进行登录验证，默认的用户名是user.（下面的登录框不是我们开发的，是HttpBasic模式自带的）

01

Spring Security入门(二) 基于内存存储的表单登录实战

Spring Security 对Servlet的安全认证是基于包含一系列的过滤器对请求进行层层拦截处理实现的，多个过滤器组成过滤器链。处理单个http 请求的过滤链角色示意图如下所示：

03

Spring-AOP 切点/切面类型和创建切面

如果我们希望有选择的织入目标类的某些特定方法中呢？ ——–这个时候就需要使用切点进行目标连接点的定位。

02

Spring Security入门6：Spring Security的默认配置

Spring Security 是一个强大且灵活的身份验证和授权框架，用于保护 Java Web 应用程序中的资源，它提供了一套丰富的功能，用于处理身份验证、授权、密码编码和会话管理等安全相关的任务。

01

从Spring Boot 1.0 到Spring Boot 2.0 迁移指南

首先，Spring Boot 2.0 需要 Java 8 或更高版本。不再支持 Java 6 和 7 了。

04

Spring Boot 2.0 迁移指南

首先，Spring Boot 2.0需要Java 8或更高版本。Java 6 和 7 不再受支持。

02

Spring Security 实战干货：动态权限控制（下）实现

Spring Security 实战干货：内置 Filter 全解析[1] 中提到的第 32 个 Filter 不知道你是否有印象。它决定了访问特定路径应该具备的权限，访问的用户的角色，权限是什么？访问的路径需要什么样的角色和权限？它就是 FilterSecurityInterceptor ，正是我们需要的那个轮子。

02

过滤器和拦截器

它是一个 Java 类，用于扩展托管通过请求-响应编程模型访问的应用程序的服务器的功能。

03

浅析 Spring Security 的认证过程及相关过滤器

上一篇文章浅析 Spring Security 核心组件中介绍了Spring Security的基本组件，有了前面的基础，这篇文章就来详细分析下Spring Security的认证过程。

01

Spring Security 竟然可以同时存在多个过滤器链？

松哥原创的 Spring Boot 视频教程已经杀青，感兴趣的小伙伴戳这里-->Spring Boot+Vue+Spring Security+微人事视频教程

02

shiro笔记（五）springboot 整合shiro框架，实现加密登录功能，并且实现remeberme功能

之前的maven项目，里面使用shiro进行验证，并且自定义了认证规则，里面我们还需要自己写ini文件，在这个ini文件里面进行shiro的配置，比如配置加密规则，配置自定义的认证规则。

04

【第四篇】热恋中的SpringSecurity-初始化的本质

对于一个请求到来后会通过FilterChainProxy来匹配一个对应的过滤器链来处理该请求。那么这里我们就有几个疑惑。

01

Spring Security(六)—SpringSecurityFilterChain加载流程深度解析

SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位，每个请求到来，都会经过该过滤器链，前文《Spring Security(四)--核心过滤器源码分析》中我们分析了 SpringSecurityFilterChain 的构成，但还有很多疑问可能没有解开：

03

Spring Security 的 Filter 链和 Filter 顺序（一）

Spring Security是一个强大的安全框架，提供了许多功能和组件来保护Web应用程序。其中一个重要的组件是过滤器链（Filter Chain）。在本文中，我们将探讨Spring Security的过滤器链和过滤器顺序，以及如何配置和定制过滤器链。

02

Spring Boot2.0迁移概括

首先，Spring Boot 2.0 需要 Java 8 或更高版本。不再支持 Java 6 和 7 了。

02

船新 IDEA 2023.1 正式发布，新特性真香！

大家好，昨晚看到 IDEA 官推宣布 IntelliJ IDEA 2023.1 正式发布了。简单看了一下，发现这次的新版本包含了许多改进，进一步优化了用户体验，提高了便捷性。

02

新 IDEA 2023.1 正式发布，新特性真香！附激活教程！

大家好，看到 IDEA 官推宣布 IntelliJ IDEA 2023.1 正式发布了。简单看了一下，发现这次的新版本包含了许多改进，进一步优化了用户体验，提高了便捷性。

06

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭