SpringSecurity学习日记(底层架构篇)

最新推荐文章于 2025-07-31 23:03:10 发布
原创 最新推荐文章于 2025-07-31 23:03:10 发布 · 636 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #架构 #spring #java

SpringSecurity

基本功能

SpringSecurity提供三个基本的功能

  • Authentication(身份认证)
  • Authenrization(用户授权)
  • 防御常见攻击

默认行为

  • 保护应用程序URL,要求对应用程序的任何交互进行身份验证
  • 程序启动时生成一个默认用户“user”
  • 生成一个默认的随机密码,并将此密码记录在控制台上
  • 生成默认的登录表单和注销页面
  • 提供基于表单的登录和注销流程
  • 对于web请求,重定向到登录页面
  • 对于服务请求,返回401未经授权
  • 处理跨站请求伪造(CSRF)攻击
  • 处理会话劫持攻击
  • 写入Strict-Transport-Security以确保HTTPS
  • 写入X-Content-Type-0ptions以处理嗅探攻击
  • 写入Cache Control头来保护经过身份验证的资源
  • 写入X-Frame-0ptions以处理点击劫持攻击。

架构

Spring Security 对 Servlet 的支持是基于Servlet过滤器的,所以先看一下过滤器的一般作用是很有帮助的
在这里插入图片描述

我们可以为拦截器链(Filter Chain)注册多个Filter,标准的Filter能完成防止下游的 Filter 实例或 Servlet 被调用或修改下游的 Filter 实例和 Servlet 所使用的 HttpServletRequest 或 HttpServletResponse的工作
由于一个 Filter 只影响下游的 Filter 实例和 Servlet,所以每个 Filter 的调用顺序是非常重要的。

Spring Security 的核心思想是拦截器链(Filter Chain)。当一个请求进入 Spring 应用程序时,它会经过一系列的过滤器。Spring Security 将自己的安全逻辑作为这些过滤器的一部分插入到请求处理流程中。
Spring Security 提供了一个名为 DelegatingFilterProxy 的 Filter 实现,允许在 Servlet 容器的生命周期和 Spring 的 ApplicationContext 之间建立桥梁,将标准的 Servlet 过滤器链与 Spring 的应用上下文(ApplicationContext)连接起来。

为什么需要 DelegatingFilterProxy?
理解 DelegatingFilterProxy 的必要性,需要先了解 Servlet 容器和 Spring 容器之间的区别:

Servlet 容器 (Web 容器):

  • 负责加载和管理标准的 Servlet 和 Filter。
  • 它通过 web.xml 配置或 @WebFilter 注解来识别和实例化过滤器。
  • Servlet 容器直接管理这些过滤器的生命周期(init()、doFilter()、destroy())。
  • 缺点:Web 容器实例化和管理的过滤器是普通的 Java 对象,它们不在 Spring 容器的管理之下。这意味着这些过滤器不能直接注入 Spring Bean,不能利用 Spring 的依赖注入、事务管理等高级功能。

Spring 容器 (ApplicationContext):

  • 负责管理 Spring Bean 的生命周期和依赖注入。
  • Spring Security 的核心组件(如 FilterChainProxy,它包含了所有的安全过滤器)都是 Spring Bean。

因此衍生出另外一个问题:
Spring Security 的安全过滤器链 (FilterChainProxy) 是一个 Spring Bean,它需要被 Spring 容器管理才能利用依赖注入等功能。但是,Web 容器只认识标准的 Servlet Filter。如何让 Web 容器调用的过滤器,实际上是 Spring 容器中的一个 Bean 呢?
这便是 DelegatingFilterProxy 的用武之地。

DelegatingFilterProxy 的工作流程

  1. Web 容器加载 DelegatingFilterProxy:
    你需要在 web.xml 中配置 DelegatingFilterProxy,或者使用 Spring Boot 自动配置。Web 容器会像加载任何其他 Servlet Filter 一样加载并初始化 DelegatingFilterProxy。
    在 web.xml 中,通常会这样配置:
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

这里的 filter-name (例如 springSecurityFilterChain) 是关键,它告诉 DelegatingFilterProxy 去 Spring 容器中寻找同名的 Bean。

  1. DelegatingFilterProxy 查找 Spring Bean:
    当 DelegatingFilterProxy 的 init() 方法被调用时,它不会像普通过滤器那样直接执行业务逻辑。
    相反,它会利用 Spring 的 WebApplicationContextUtils 或其他机制,找到当前 Web 应用对应的 Spring ApplicationContext。
    然后,它会根据其配置的 filter-name(例如 springSecurityFilterChain),从 Spring ApplicationContext 中查找对应的 Bean。
    在 Spring Security 中,这个 Bean 通常就是 org.springframework.security.web.FilterChainProxy 的实例。FilterChainProxy 是 Spring Security 自己的核心过滤器,它内部管理着一系列的 Spring Security 过滤器。

  2. 请求委托:
    当一个请求到达 DelegatingFilterProxy 的 doFilter() 方法时,DelegatingFilterProxy 会将这个请求委托给它在 Spring 容器中找到的那个 Bean(即 FilterChainProxy)。
    也就是说,DelegatingFilterProxy 只是一个“占位符”或“入口”,实际的过滤逻辑是由 Spring 容器中的 FilterChainProxy 来执行的。

  3. Spring Security 过滤器链执行:
    一旦请求被委托给 FilterChainProxy,FilterChainProxy 就会按照其内部配置的顺序,依次调用 Spring Security 自己的过滤器(如 UsernamePasswordAuthenticationFilter、FilterSecurityInterceptor 等)。这些过滤器都是 Spring Bean,因此可以充分利用 Spring 的功能。

在这里插入图片描述

FilterChainProxy 的工作原理

FilterChainProxy 是 Spring Security 的核心组件之一,它是一个特殊的 Servlet Filter,但它本身并不直接处理安全逻辑。它的主要职责是管理和调度 Spring Security 内部的多个 SecurityFilterChain 实例,并根据当前的请求 URL 路径,将请求分派给匹配的 SecurityFilterChain 进行处理。
可以把 FilterChainProxy 理解为一个路由器调度器,它位于整个 Spring Security 过滤器链的最顶层。

为什么需要FilterChainProxy?
在一个复杂的应用中,你可能希望对不同的 URL 模式应用不同的安全规则。例如:

  • /api/** 路径可能需要基于 Token 的认证和特定的 API 权限。
  • /admin/** 路径可能需要基于会话的表单认证和管理员角色。
  • /public/** 路径可能完全不需要认证。
    FilterChainProxy 允许你定义多个 SecurityFilterChain,每个链对应不同的 URL 模式和安全配置。

FilterChainProxy 的工作流程

  1. 被 DelegatingFilterProxy 调用
  2. 匹配 SecurityFilterChain:
    • FilterChainProxy 内部维护着一个有序的 List。
    • 当 FilterChainProxy 接收到请求后,它会遍历这个 SecurityFilterChain 列表。
    • 对于列表中的每一个 SecurityFilterChain,它会检查该链的 RequestMatcher 是否与当前请求的 URL 路径匹配。FilterChainProxy 会选择第一个匹配成功的 SecurityFilterChain 来处理请求。一旦找到匹配的链,就会停止遍历。
    • 执行匹配的 SecurityFilterChain
  3. 请求继续或终止:
    • 如果 SecurityFilterChain 中的所有过滤器都成功执行,请求最终会到达目标 Servlet 或 Controller。
    • 如果在任何一个安全过滤器中,认证失败、授权失败或发生了其他安全异常,请求可能会被终止,并根据配置重定向到登录页面、访问拒绝页面,或返回错误状态码。

在这里插入图片描述

SecurityFilterChain

在 Spring Security 中,SecurityFilterChain 是一个核心概念,它代表着一个特定的、有序的 Spring Security 过滤器集合,这些过滤器被应用到一组匹配的请求路径上。简单来说,SecurityFilterChain 定义了针对特定 URL 模式的一套安全规则和处理流程。

SecurityFilterChain 的组成

每个 SecurityFilterChain 主要由**RequestMatcher (请求匹配器)List (过滤器列表)**两部分组成

SecurityFilterChain 的工作流程
  • 一旦某个 SecurityFilterChain 被选中,FilterChainProxy 就会将请求和响应对象传递给该 SecurityFilterChain 内部的过滤器列表。
  • 接着,这个列表中的所有过滤器会按它们定义的顺序依次执行。
  • 每个过滤器在执行完自己的逻辑后,会调用 chain.doFilter(request, response) 将请求传递给链中的下一个过滤器。
  • 如果某个过滤器判断请求不符合安全要求(例如,用户未认证或无权限),它可能会直接生成错误响应、重定向到登录页,或者抛出异常,从而中断过滤器链的执行,请求就不会再传递到后续的过滤器或目标 Controller。
配置 SecurityFilterChain
@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/public/**").permitAll() // 允许访问 /public 下的所有资源
                .requestMatchers("/admin/**").hasRole("ADMIN") // /admin 下的资源需要 ADMIN 角色
                .anyRequest().authenticated() // 其他所有请求都需要认证
            )
            .formLogin(withDefaults()); // 启用表单登录

        return http.build();
    }

    // 可以定义多个 SecurityFilterChain Bean,通过它们的顺序和 RequestMatcher 来区分
    // @Bean
    // @Order(1) // 确保这个链优先处理
    // public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
    //     http
    //         .securityMatcher("/api/**") // 仅对 /api/** 路径生效
    //         .authorizeHttpRequests(authorize -> authorize
    //             .anyRequest().hasRole("API_USER") // /api/** 需要 API_USER 角色
    //         )
    //         .httpBasic(withDefaults()); // 为 /api/** 启用 HTTP Basic 认证
    //     return http.build();
    // }
}

在上述示例中,filterChain 方法返回的 SecurityFilterChain 对象就是由 FilterChainProxy 管理的一个独立的安全过滤器链。HttpSecurity 提供了便捷的 API 来配置这个链内部的各种安全行为和过滤器。

总结

Spring Security 并没有将它内部的每一个安全过滤器都直接暴露给 Web 容器去管理。相反,它设计了一个中央调度器——FilterChainProxy。这个 FilterChainProxy 自己作为一个 Spring Bean,并由 DelegatingFilterProxy 这个“中介”间接地被 Web 容器调用。一旦请求到达 FilterChainProxy,它就会根据请求的 URL,智能地选择并执行由其内部管理的、为特定路径配置好的那一串(SecurityFilterChain)安全过滤器(它们也都是 Spring Bean)。这种设计带来了极大的灵活性、可维护性和强大的调试能力。

Ra1nbot_
关注
软件工程领域内容运营的供应链安全内容运营
软件工程实践的博客
05-30 1001
本文聚焦"软件工程领域中,如何通过内容运营手段提升供应链安全防护能力"。软件供应链安全的核心风险点内容运营在开发者教育中的独特价值从策略制定到落地执行的全流程方法真实企业案例与效果验证本文将通过"概念拆解→关系解析→实战方法论→案例验证"的逻辑展开。先以"奶茶店原料安全"类比软件供应链,再拆解核心概念;接着分析内容运营如何成为"安全知识的翻译官";最后通过某互联网大厂的真实案例,展示从策略制定到效果量化的完整路径。软件供应链。
Spring6-基础概念
sakurapaid的博客
03-17 1437
Spring 是一套广泛应用于 Java 企业级应用开发领域的轻量级开源框架,由 Rod Johnson 创立,旨在显著降低 Java 企业应用的复杂性,缩短开发周期,并提升开发效率。Spring 不仅适用于服务器端开发,也因其简单的设计、卓越的可测试性和倡导的松耦合原则,使得几乎所有类型的 Java 应用都能从中获得好处。Spring 框架的核心价值在于提供了诸如控制反转(IoC)、面向切面编程(AOP)
SpringBoot的完整学习
llx522的博客
07-20 3711
微服务架构打破之前的all in one 的架构方式,把每个功能元素对出来。好处:可以从Spring Initializr上下载一个项目,耶可以从IDEA中创建springboot项目!要在Application的同级目录下建包,不然不会生效!在pom.xml里有一个web依赖:用来启动tomcat springboot所有的依赖都是以spring-boot-starter开头! 如上所示:主要分为四部分 项目元数据信息:maven项目的基本元素:gav,name,description等 parent:
Spring Boot心得体会
2302_80916963的博客
11-06 1799
其次,Spring Boot的自动配置和约定大于配置的理念给我留下了深刻的印象。在学习的过程中,我发现Spring Boot拥有庞大的用户群体和活跃的社区,有着丰富的文档、教程和示例代码。作为一个相对庞大的框架,Spring Boot有着丰富的功能和特性,需要一定的时间和精力去学习和理解。它提供了一套统一的配置模型,可以自动根据项目的依赖和环境进行配置,减少了繁琐的XML配置和注解配置。Spring Boot是一个开源的Java框架,它用于构建独立的、可执行的、生产级别的基于Spring框架的应用程序。
什么是Spring?
whk_15502266662的博客
03-12 3552
Spring是一个开源框架,为了解决企业应用开发的复杂性而创建的,但现在已经不止应用于企业应用。 Spring是一个轻量级的控制反转(IoC)和面向切面(AOP)的容器框架 –从大小与开销两方面而言Spring都是轻量级的。 –通过控制反转(IoC)的技术达到松耦合的目的 –提供了面向切面编程的丰富支持,允许通过分离应用的业务逻辑与系统级服务进行内聚性的开发 –包含并管理应用对象(Bean)的配置和生命周期,这个意义上是一个容器。 –将简单的组件配置、组合成为复杂的应用,这个意义上是一个框架。 Spring
Spring Boot
chu_dianxia的博客
06-17 2746
Spring Boot 在idea中双击shift键盘查询全部的类什么的 微服务阶段 1、Spring的理念(目的) Spring是为了解决企业级应用开发的复杂性而创建的,简化开发。 2、Spring是如何简化Java开发的 4种关键策略: 1、基于POJO的轻量级的最小侵入性编程; 2、通过IOC、依赖注入(DI)和面向接口实现松耦合; 3、基于切面(AOP)和惯例进行声明式编程; 4、通过切面和模板减小样式代码。 3、过程 web应用:Servlet结合Tomcat 框架Struts:https:/
什么是Spring
学源客的博客
07-09 1274
      什么是spring?       创始人:罗宾·约翰逊       Spring:           &n...
互联网大厂Java求职面试:AI与云原生架构实战解析
在未来等你的专栏
05-28 780
本文通过一场真实的互联网大厂Java求职面试,深入探讨了AI推理服务架构设计、微服务监控体系建设以及SaaS平台多租户权限控制等关键技术难点。不仅提供了详尽的技术原理讲解,还结合实际业务场景给出了可落地的解决方案。无论你是准备跳槽的Java工程师,还是希望提升架构能力的高级开发者,都能从中获得宝贵的经验和启发。记得订阅我们的《JDK21深度解密》专栏,掌握最新Java特性的底层奥秘!
spring boot 配置文件
夏客柯
02-25 1530
开发的时候查找方便,不用每次去翻spring boot官网,用起来方便。#================================================= ================== #共同spring boot特性 # #此示例文件作为指导提供。不要在其中复制它 #完整到您自己的应用程序。^^^ #=========================...
2024全新Java学习路线图一条龙(视频+课件+源码资料)
码农王也的博客
04-25 1901
互联网浩瀚无际,你能来到这里,是机遇也是缘分,机遇,就像我的标题一样,你找到了一份Java 360度无死角的 Java 学习路线,而缘分让我们相遇,注定给你的学习之路搭上一把手,送你一程。整条线路除了拥有后端整个技术体系外,还涵盖了前端、大数据、云计算、运维等各大领域。在这十八般武艺汇聚全身的同时,这条学习路线也拥有着独有的特色和着重点,比如加入了极为重要且业内稀缺的基本功修炼——六套计算机基础类课程。还有多套Java基础类课程,多维度讲解帮助学习者入门。
springboot中的配置大全,看这一足够了
我是Cj,一个正义之人
09-08 3432
springboot号称不用xml,所有都可以写配置,因而大受欢迎,这里我整理了一下springboot中的一些配置,应该说比较齐全了吧 先上一个application.properties转 application.yml的网站,传送地址 banner: charset: UTF-8#横幅文件编码。 image: height: #字符中横幅图像的高度(默认为图像高度) invert: #如果黑暗终端主题的图像应该被反转(默认为false) location: classp
[转]高负载并发网站架构分析
热门推荐
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: [email protected] ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
JavaWeb(苍穹外卖)--学习笔记14
2301_81189772的博客
07-28 1018
本文总结了JavaWeb开发中Controller层和数据库Mapper层的关键知识点。在Controller层,重点介绍了常用注解:@ResponseBody用于直接返回数据,@RestController组合注解,以及@GetMapping等请求方法注解。同时讲解了三种参数接收方式:简单参数(@RequestParam)、JSON参数(@RequestBody)和路径参数(@PathVariable)。在数据库Mapper层,通过菜品分类、菜品和口味的表结构示例,说明了逻辑外键的使用。最后展示了常见的S
Unity_RPG开发学习笔记
weixin_66484088的博客
07-28 1332
摘要 本教程指导如何在Unity 2021.3中创建3D RPG项目,包含以下核心内容:1)创建项目并安装Universal RP渲染管线提升画面表现;2)从Asset Store导入地图、角色和天空盒素材;3)关键工具操作:光照设置、阴影调整、顶点吸附等快捷键使用;4)安装PolyBrush、ProBuilder等场景构建工具。教程配有详细图文步骤和视频链接,特别说明不同Unity版本在URP材质转换时的差异处理方法。
尚硅谷尚庭公寓学习笔记
2301_80165178的博客
07-31 455
本文摘要了Java开发中的几个实用技巧:1)使用@Builder注解实现链式调用创建对象;2)saveOrUpdate方法根据主键自动判断插入或更新数据;3) Minio文件上传的完整实现流程,包括配置、权限设置和服务层逻辑;4)集合判空的最佳实践;5)UpdateWrapper实现条件更新;6)IPage分页查询的使用方法。这些内容涵盖了日常开发中的常见场景,对提高开发效率很有帮助。
向Coze学习,我们把这些工作流也开源了
weixin_45512098的博客
07-30 204
这大半年来我们团队也制作和整理了超过工作流,其中很大一部分都是现在最火的视频工作流。为了向Coze开源致敬,这次我们斑码团队也决定开源超过工作流送给大家,所有工作流都是实际跑通上线过的。大家除了可以直接拿来用,还可以用来学习,模仿,并超越。
OCR 赋能拍题出答案:让学习辅导更高效
weixin_61746435的博客
07-30 189
相比手动输入题目搜索,OCR 让拍题过程从 “打字几分钟” 缩短到 “拍照一秒钟”,尤其对数学公式、英文阅读等复杂题型,识别准确率远超人工录入。它不仅帮学生快速核对答案,也为家长辅导作业提供了便捷工具,让学习问题的解决更即时、更省心。学生用手机拍下作业题,OCR 先精准识别图片中的文字、公式、符号,哪怕是手写体或复杂排版,也能转化为计算机可解析的文本。随后系统调用题库匹配,快速给出解题步骤和答案。“拍一拍题目就出答案” 的背后,OCR 技术是核心推手。
学习日志23 python
最新发布
AYheyheyhey的博客
07-31 558
允许重复:列表、元组、字符串、字典(值允许重复)不允许重复:集合、冻结集合、字典(键不允许重复)round()vsrint():功能完全一致,均为四舍五入到最近整数(银行家舍入法)。floor()vsceil():前者向下取整,后者向上取整(方向相反)。trunc()vsfloor():对正数效果相同(如2.9都→2),对负数不同(-2.9trunc→-2,floor→-3)。通过这些函数,可以高效处理 NumPy 数组的数值计算和结构调整,是数据分析和科学计算的基础工具。
js的学习1
思考是大脑的源代码,未经编译,却已运行一生。——调试自己,迭代世界。
07-28 422
本文总结了JavaScript中数组常用方法和函数相关知识点。数组方法包括push/pop等增删操作、indexOf查找、sort排序、join转换字符串等12种核心方法。函数部分介绍了具名/匿名函数定义、作用域规则及逻辑中断特性。新增知识点包含数组扁平化flat()、扩展运算符...和Set去重方法。这些内容涵盖了数组操作和函数基础的核心概念,适合JavaScript初学者快速掌握基本语法和常用技巧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值