SpringSecurity定義多個過濾器鏈的操作代碼

更新時間：2023年04月21日 10:37:20 作者：吳名氏

Spring?Security?是?Spring家族中的一個安全管理框架。相比與另外一個安全框架Shiro，它提供了更豐富的功能，社區(qū)資源也比Shiro豐富，今天通過本文給大家介紹SpringSecurity定義多個過濾器鏈的實(shí)例，感興趣的朋友跟隨小編一起看看吧

簡介

Spring Security 是 Spring家族中的一個安全管理框架。相比與另外一個安全框架Shiro，它提供了更豐富的功能，社區(qū)資源也比Shiro豐富。
一般來說中大型的項(xiàng)目都是使用SpringSecurity來做安全框架。小項(xiàng)目有Shiro的比較多，因?yàn)橄啾扰cSpringSecurity，Shiro的上手更加的簡單。

? 一般Web應(yīng)用的需要進(jìn)行認(rèn)證和授權(quán)。

認(rèn)證：驗(yàn)證當(dāng)前訪問系統(tǒng)的是不是本系統(tǒng)的用戶，并且要確認(rèn)具體是哪個用戶
? 授權(quán)：經(jīng)過認(rèn)證后判斷當(dāng)前用戶是否有權(quán)限進(jìn)行某個操作

? 而認(rèn)證和授權(quán)也是SpringSecurity作為安全框架的核心功能。

在Spring Security中可以定義多個過濾器鏈，一個WebSerityConfigurerAdapter的實(shí)例就可以配置一個過濾器鏈，我們只需要配置多個WebSerityConfigurerAdapter的實(shí)例即可

在這里插入圖片描述

可以看到，當(dāng)請求到達(dá) FilterChainProxy 之后，F(xiàn)ilterChainProxy 會根據(jù)請求的路徑，將請求轉(zhuǎn)發(fā)到不同的過濾器鏈上面去，不同的過濾器鏈對應(yīng)了不同的過濾器，也就是不同的請求將經(jīng)過不同的過濾器。

@Configuration
public class SecurityConfig {
    @Bean
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("javaboy").password("{bcrypt}$2a$10$Sb1gAUH4wwazfNiqflKZve4Ubh.spJcxgHG8Cp29DeGya5zsHENqi").roles("admin", "aaa", "bbb").build());
        manager.createUser(User.withUsername("sang").password("{noop}123").roles("admin").build());
        manager.createUser(User.withUsername("吳名氏").password("{MD5}{Wucj/L8wMTMzFi3oBKWsETNeXbMFaHZW9vCK9mahMHc=}4d43db282b36d7f0421498fdc693f2a2").roles("user", "aaa", "bbb").build());
        return manager;
    }

    @Configuration
    @Order(1)
    static class DefaultWebSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/foo/**")
                    .authorizeRequests()
                    .anyRequest().hasRole("admin")
                    .and()
                    .csrf().disable();
        }
    }

    @Configuration
    @Order(2)
    static class DefaultWebSecurityConfig2 extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/bar/**")
                    .authorizeRequests()
                    .anyRequest().hasRole("user")
                    .and()
                    .formLogin()
                    .permitAll()
                    .and()
                    .csrf().disable();
        }
    }
}

說明:

首先，SecurityConfig 不再需要繼承自 WebSecurityConfigurerAdapter了，只是作為一個普通的配置類，加上 @Configuration 注解即可。
提供 UserDetailsService 實(shí)例，相當(dāng)于是我們的數(shù)據(jù)源。
創(chuàng)建靜態(tài)內(nèi)部類繼承 WebSecurityConfigurerAdapter 類，同時用 @Configuration
注解標(biāo)記靜態(tài)內(nèi)部類是一個配置類，配置類里邊的代碼就和之前的一樣了，無需贅述。
每一個靜態(tài)內(nèi)部類相當(dāng)于就是一個過濾器鏈的配置。
注意在靜態(tài)內(nèi)部類里邊，我沒有使用 http.authorizeRequests()
開始，http.authorizeRequests() 配置表示該過濾器鏈過濾的路徑是 /。在靜態(tài)內(nèi)部類里邊，我是用了
http.antMatcher("/bar/") 開啟配置，表示將當(dāng)前過濾器鏈的攔截范圍限定在
/bar/**。所以有的時候authorizeRequests()不能放在第一個位置
當(dāng)存在多個過濾器鏈的時候，必然會有一個優(yōu)先級的問題，所以每一個過濾器鏈的配置類上通過 @Order(2)
注解來標(biāo)記優(yōu)先級。數(shù)字越大優(yōu)先級越低。請求會先進(jìn)入優(yōu)先級高的過濾器鏈中。

到此這篇關(guān)于SpringSecurity定義多個過濾器鏈的文章就介紹到這了,更多相關(guān)SpringSecurity多個過濾器鏈內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: