AI 助理
文档备案控制台
开发者社区 数据库 文章 正文

1-常用过滤器介绍

2025-12-29 84
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
RDS AI 助手,专业版
RDS DuckDB + QuickBI 企业套餐,8核32GB + QuickBI 专业版
RDS MySQL DuckDB 分析主实例,集群系列 4核8GB
简介: Spring Security通过过滤器链实现安全控制,涵盖认证、授权、CSRF防护等。如SecurityContextPersistenceFilter管理上下文,UsernamePasswordAuthenticationFilter处理登录,LogoutFilter处理退出。过滤器数量与加载取决于配置,并非固定不变,体现灵活的AOP安全机制。(238字)

过滤器是一种典型的AOP思想,关于什么是过滤器就不赘述了,读者们应该也都知道凡是web工程都能用过滤器。 接下来咱们就一起看看Spring Security中这些过滤器都是干啥用的,源码我就不贴出来了,有名字,大家可以自己在idea中Double Shift去。我也会在后续的学习过程中穿插详细解释。

  1. org.springframework.security.web.context.SecurityContextPersistenceFilter
    首当其冲的一个过滤器,作用之重要自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文。
    SecurityContext中存储了当前用户的认证以及权限信息。
  2. org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
    此过滤器用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager
  3. org.springframework.security.web.header.HeaderWriterFilter
    向请求的Header中添加相应的信息,可在http标签内部使用security:headers来控制
  4. org.springframework.security.web.csrf.CsrfFilter
    csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息, 如果不包含,则报错。起到防止csrf攻击的效果。
  5. org.springframework.security.web.authentication.logout.LogoutFilter
    匹配URL为/logout的请求,实现用户退出,清除认证信息。
  6. org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
    认证操作全靠这个过滤器,默认匹配URL为/login且必须为POST请求。
  7. org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
    如果没有在配置文件中指定认证页面,则由该过滤器生成一个默认认证页面。
  8. org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
    由此过滤器可以生产一个默认的退出登录页面
  9. org.springframework.security.web.authentication.www.BasicAuthenticationFilter
    此过滤器会自动解析HTTP请求中头部名字为Authentication,且以Basic开头的头信息。
  10. org.springframework.security.web.savedrequest.RequestCacheAwareFilter
    通过HttpSessionRequestCache内部维护了一个RequestCache,用于缓存HttpServletRequest
  11. org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
    针对ServletRequest进行了一次包装,使得request具有更加丰富的API
  12. org.springframework.security.web.authentication.AnonymousAuthenticationFilter
    当SecurityContextHolder中认证信息为空,则会创建一个匿名用户存入到SecurityContextHolder中。 spring security为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。
  13. org.springframework.security.web.session.SessionManagementFilter
    SecurityContextRepository限制同一用户开启多个会话的数量
  14. org.springframework.security.web.access.ExceptionTranslationFilter
    异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常
  15. org.springframework.security.web.access.intercept.FilterSecurityInterceptor
    获取所配置资源访问的授权信息,根据SecurityContextHolder中存储的用户信息来决定其是否有权
    限。
    好了!这一堆排山倒海的过滤器介绍完了。 那么,是不是spring security一共就这么多过滤器呢?答案是否定的!随着spring-security.xml配置的添加,还 出现新的过滤器。
    那么,是不是spring security每次都会加载这些过滤器呢?答案也是否定的!随着spring-security.xml配置的修改,有些过滤器可能会被去掉。我们一步步往下走着看。
文章标签:
安全
Java
Spring
存储
缓存
游客qznahbauy3smq
目录
相关文章
前端充电宝
|
设计模式 前端开发 JavaScript
20个GitHub仓库助你成为React大师
20个GitHub仓库助你成为React大师
前端充电宝
567 0
游客tsrksm3mlhq4y
|
前端开发
前端基础的讲解-CSS(4)
CSS详解
游客tsrksm3mlhq4y
192 12
HermanYe996
|
算法 数据可视化 机器人
ROS2教程01 ROS2介绍
本文是ROS2(机器人操作系统的下一代)的介绍教程,内容包括ROS2的诞生背景、核心功能、特点、框架以及与ROS1的比较。文章涵盖了ROS2的通信系统、框架和工具、生态系统、全球性社区支持、完全开源、跨平台特性、多机协同能力、实时系统支持和更强的稳定性。此外,还提供了ROS2架构的详细介绍资源链接,适合对ROS2感兴趣的读者学习和了解。
HermanYe996
4043 1
jiuwu_xyz
|
运维 网络协议 Linux
九五从零开始的运维之路(其十五)
DHCP(Dynamic Host Configuration Protocol)是一种网络协议,用于动态地分配IP地址和其他网络配置参数给网络中的设备。能动态的进行IP地址分配,从而实现网络的自动配置。同一个网络环境下不允许存在多个DHCP服务器
jiuwu_xyz
273 0
王平安
|
Web App开发 XML 移动开发
Hybrid App 应用 开发中 9 个必备知识点复习(WebView / 调试 等) 下
Hybrid App 应用 开发中 9 个必备知识点复习(WebView / 调试 等) 下
王平安
944 0
Chin2018
|
监控 Shell Linux
linux 定时任务 python找不到模块问题解决
Chin2018
2939 0
我是小助手
|
JavaScript API Android开发
用vue快速开发app的脚手架工具
我是小助手
2876 0
shy丶gril
虚拟属性
shy丶gril
1197 0
长征6号
|
存储 测试技术 C语言
编程实践中C语言的一些常见细节
长征6号
1300 0
云计算学习者
|
14天前
|
人工智能 自然语言处理 文字识别
阿里云百炼Qwen3.7-Max简介:能力、优势、支持订阅计划参考
Qwen3.7-Max是阿里云百炼面向智能体时代推出的新一代旗舰模型,对标GPT-5.5、Claude Opus 4.7等闭源旗舰。该模型支持百万级token上下文窗口,具备顶级推理能力、多模态搜索与视觉理解增强、流式输出低延迟响应等核心优势,覆盖编程、办公、长周期自主执行等复杂场景。同时支持OpenAI接口兼容,便于系统快速迁移。用户可通过Token Plan团队或节省计划等订阅方式灵活调用,适合企业级高要求场景使用。
云计算学习者
5314 28
阿里云百炼Qwen3.7-Max简介:能力、优势、支持订阅计划参考

数据库

热门文章

最新文章

  • 1
    ETCD系列之一:简介
  • 2
    什么场景应该用 MongoDB ?
  • 3
    DRDS 数据恢复重磅发布,全方位保障您的数据安全
  • 4
    PostgreSQL upsert功能(insert on conflict do)的用法
  • 5
    Linux 性能诊断 perf使用指南
  • 6
    聊一聊双十一背后的技术 - 物流, 动态路径规划
  • 7
    PostgreSQL 如何潇洒的处理每天上百TB的数据增量
  • 8
    HBase的备份以及恢复方案
  • 9
    MongoDB Driver:使用正确的姿势连接复制集
  • 10
    PostgreSQL 触发器用法详解 - 1
  • 1
    RDS Agent可观测能力正式邀测!全面支持Qoder、Codex、Claude Code、OpenClaw等主流研发Agent
    78
  • 2
    Hudi 湖仓一体架构:阿里云 AnalyticDB MySQL 原生集成最佳实践
    64
  • 3
    数据仓库物化视图是什么?阿里云 AnalyticDB MySQL 实时物化视图最佳实践
    43
  • 4
    游戏行业十亿级用户行为分析:阿里云 AnalyticDB MySQL 解决方案
    51
  • 5
    AI Agent 混合检索选型:阿里云 AnalyticDB MySQL 向量+全文一站式方案
    80
  • 6
    报表查询太慢?阿里云 AnalyticDB MySQL 帮你实现秒级报表加速
    48
  • 7
    阿里云 AnalyticDB MySQL 免运维实践:分析型数据库不需要专人运维
    60
  • 8
    实时大屏场景数据仓库选型:阿里云 AnalyticDB MySQL 最佳实践
    47
  • 9
    PB 级海量数据需要实时分析,应该选择什么数仓产品?阿里云 AnalyticDB MySQL 是首选
    58
  • 10
    MySQL 数据分析慢怎么办?迁移到阿里云 AnalyticDB MySQL 实现百倍加速
    45

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云正式发布 Agentic 代码安全:AI驱动的双Agent协同引擎