Spring Security过滤器基础
过滤器链工作原理
在Spring Security架构中,过滤器链(Filter Chain)是安全机制的核心实现方式。当HTTP请求到达时,会依次通过一系列具有明确顺序的过滤器。例如认证过滤器会拦截请求并将认证职责委托给授权管理器。若需要在认证前执行特定逻辑,只需在认证过滤器之前插入自定义过滤器即可。
Spring Security的过滤器属于典型的HTTP过滤器,通过实现jakarta.servlet.Filter接口来创建。与其他HTTP过滤器相同,开发者需要重写doFilter()方法来实现业务逻辑。该方法包含三个关键参数:
- ServletRequest:封装HTTP请求对象,用于获取请求详情
- ServletResponse:封装HTTP响应对象,用于修改返回给客户端的响应内容
- FilterChain:代表过滤器链,用于将请求传递给链中的下一个过滤器
Jakarta EE规范变更
从Spring Boot 3开始,Jakarta EE正式取代了原有的Java EE规范。这一变更导致部分包路径前缀从javax变更为jakarta。例如:
// 旧版Java EE规范
import javax.servlet.Filter;
// 新版Jakarta EE规范
import jakarta.servlet.Filter;
该变更影响了Filter、ServletRequest、ServletResponse等核心接口的包路径,开发者在迁移项目时需要特别注意。
内置过滤器示例
Spring Security提供了多个预置过滤器实现,以下是典型示例:
// HTTP基础认证过滤器
BasicAuthenticationFilter
// CSRF防护过滤器(第9章详解)
CsrfFilter
// CORS授权规则过滤器(第10章详解)
CorsFilter
过滤器链的长度会根据应用配置动态变化。例如调用HttpSecurity的httpBasic()方法时,系统会自动将BasicAuthenticationFilter实例加入过滤器链。
过滤器顺序机制
过滤器的执行顺序由order值决定,开发者可以通过以下方式控制位置:
- 相对位置插入:在已知过滤器前后插入
- 绝对顺序指定:直接定义order数值
当多个过滤器具有相同order值时,其执行顺序无法保证。以下是添加过滤器的典型代码示例:
@Configuration
public class ProjectConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.addFilterBefore(
new CustomFilter(),
BasicAuthenticationFilter.class)
.authorizeRequests(c -> c.anyRequest().permitAll());
return http.build();
}
}
核心方法实现
自定义过滤器需要实现doFilter()方法的核心逻辑,例如请求头校验:
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
String header = httpRequest.getHeader("Request-Id");
if(header == null) {
((HttpServletResponse)response).setStatus(400);
return;
}
chain.doFilter(request, response);
}
该示例会检查请求是否包含Request-Id头,缺失时返回400状态码,否则继续执行后续过滤器。
Spring Security内置过滤器详解
基础认证过滤器
BasicAuthenticationFilter是处理HTTP基础认证的核心组件,当应用启用httpBasic()配置时,该过滤器会自动加入过滤器链。其工作流程包括解析Authorization请求头中的Base64凭证,并将认证请求委托给AuthenticationManager处理。
// 启用HTTP基础认证的配置示例
@Configuration
public class SecurityConfig {
@Bean
SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
http.httpBasic().and()
.authorizeRequests().anyRequest().authenticated();
return http.build();
}
}
CSRF防护机制
CsrfFilter提供跨站请求伪造防护功能,其核心实现原理包括:
- 对非安全HTTP方法(POST/PUT/DELETE等)进行令牌验证
- 自动生成并验证
_csrf参数 - 支持通过Cookie或Session存储令牌
可通过以下方式定制配置:
http.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
.ignoringAntMatchers("/api/public/**");
CORS授权控制
CorsFilter实现跨域资源共享策略,主要处理以下请求头:
Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-HeadersAccess-Control-Max-Age
典型配置示例:
@Bean
CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration config = new CorsConfiguration();
config.setAllowedOrigins(Arrays.asList("https://domain.com")
![[RoarCTF 2019]Easy Calc](https://i-blog.csdnimg.cn/direct/fc85943b4a2c484aa8bec23398b13206.png)
![[Windows]在Win上安装bash和zsh - 一个脚本搞定](https://i-blog.csdnimg.cn/direct/3dc68110aee647cd8b7321ea4fa99694.png)
