Java中的Spring Security配置過濾器

更新時間：2022年05月23日 14:11:32 作者：? 碼農(nóng)小胖哥? ?

這篇文章主要介紹了Java中的Spring Security配置過濾器，文章通過圍繞文章主題的相關資料展開詳細內(nèi)容介紹，具有一定的參考價值，需要的小伙伴可以參考一下

CaptchaAuthenticationFilter是通過模仿UsernamePasswordAuthenticationFilter實現(xiàn)的。同樣的道理，由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer來完成的，應該也能模仿一下FormLoginConfigurer，寫一個配置類CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter。

public final class FormLoginConfigurer<H extends HttpSecurityBuilder<H>> extends
		AbstractAuthenticationFilterConfigurer<H, FormLoginConfigurer<H>, UsernamePasswordAuthenticationFilter> {
 
    // 省略
}

AbstractAuthenticationFilterConfigurer

FormLoginConfigurer看起來有點復雜，不過繼承關系并不復雜，只繼承了AbstractAuthenticationFilterConfigurer。

public abstract class AbstractAuthenticationFilterConfigurer<B extends HttpSecurityBuilder<B>, T extends AbstractAuthenticationFilterConfigurer<B, T, F>, F extends AbstractAuthenticationProcessingFilter>
		extends AbstractHttpConfigurer<T, B> {
}

理論上我們模仿一下，也繼承一下這個類，但是你會發(fā)現(xiàn)這種方式行不通。因為AbstractAuthenticationFilterConfigurer只能Spring Security內(nèi)部使用，不建議自定義。原因在于它最終向HttpSecurity添加過濾器使用的是HttpSecurity.addFilter(Filter)方法，這個方法只有內(nèi)置過濾器（參見FilterOrderRegistration）才能使用。了解了這個機制之后，我們只能往上再抽象一層，去改造其父類AbstractHttpConfigurer。

改造過程

AbstractAuthenticationFilterConfigurer<B,T,F>中的B是實際指的HttpSecurity，因此這個要保留；

T指的是它本身的實現(xiàn)，我們配置CaptchaAuthenticationFilter不需要下沉一層到FormLoginConfigurer這個繼承級別，直接在AbstractAuthenticationFilterConfigurer這個繼承級別實現(xiàn)即可，因此T這里指的就是需要配置類本身，也不需要再抽象化，因此是不需要的；同樣的原因F也不需要，很明確是CaptchaAuthenticationFilter，不需要再泛化。這樣CaptchaAuthenticationFilter的配置類結構可以這樣定義：

public class CaptchaAuthenticationFilterConfigurer<H extends HttpSecurityBuilder<H>> extends AbstractHttpConfigurer<CaptchaAuthenticationFilterConfigurer<H>, H> {
    // 不再泛化  具體化 
    private final CaptchaAuthenticationFilter authFilter;
    // 特定的驗證碼用戶服務
    private CaptchaUserDetailsService captchaUserDetailsService;
    // 驗證碼處理服務
    private CaptchaService captchaService;
    // 保存認證請求細節(jié)的策略 
    private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource;
    // 默認使用保存請求認證成功處理器 
    private SavedRequestAwareAuthenticationSuccessHandler defaultSuccessHandler = new SavedRequestAwareAuthenticationSuccessHandler();
    // 認證成功處理器
    private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;
     // 登錄認證端點
    private LoginUrlAuthenticationEntryPoint authenticationEntryPoint;
    // 是否 自定義頁面 
    private boolean customLoginPage;
    // 登錄頁面
    private String loginPage;
    // 登錄成功url
    private String loginProcessingUrl;
    // 認證失敗處理器
    private AuthenticationFailureHandler failureHandler;
    // 認證路徑是否放開
    private boolean permitAll;
    //  認證失敗的url
    private String failureUrl;

    /**
     * Creates a new instance with minimal defaults
     */
    public CaptchaAuthenticationFilterConfigurer() {
        setLoginPage("/login/captcha");
        this.authFilter = new CaptchaAuthenticationFilter();
    }
    public CaptchaAuthenticationFilterConfigurer<H> formLoginDisabled() {
        this.formLoginEnabled = false;
        return this;
    }
    public CaptchaAuthenticationFilterConfigurer<H> captchaUserDetailsService(CaptchaUserDetailsService captchaUserDetailsService) {
        this.captchaUserDetailsService = captchaUserDetailsService;
        return this;
    }
    public CaptchaAuthenticationFilterConfigurer<H> captchaService(CaptchaService captchaService) {
        this.captchaService = captchaService;
        return this;
    }
    public CaptchaAuthenticationFilterConfigurer<H> usernameParameter(String usernameParameter) {
        authFilter.setUsernameParameter(usernameParameter);
        return this;
    }
    public CaptchaAuthenticationFilterConfigurer<H> captchaParameter(String captchaParameter) {
        authFilter.setCaptchaParameter(captchaParameter);
        return this;
    }
    public CaptchaAuthenticationFilterConfigurer<H> parametersConverter(Converter<HttpServletRequest, CaptchaAuthenticationToken> converter) {
        authFilter.setConverter(converter);
        return this;
    }
    @Override
    public void init(H http) throws Exception {
        updateAuthenticationDefaults();
        updateAccessDefaults(http);
        registerDefaultAuthenticationEntryPoint(http);
        // 這里禁用默認頁面過濾器 如果你想自定義登錄頁面 可以自行實現(xiàn) 可能和FormLogin沖突
        // initDefaultLoginFilter(http);
        // 把對應的Provider也在init時寫入HttpSecurity
        initProvider(http);
    }
     @Override
    public void configure(H http) throws Exception {
        //這里改為使用前插過濾器方法
         http.addFilterBefore(filter, LogoutFilter.class);
    }
     // 其它方法 同AbstractAuthenticationFilterConfigurer
}

其實就是模仿AbstractAuthenticationFilterConfigurer及其實現(xiàn)類的風格把用的配置項實現(xiàn)一邊。這里值得一提的是CaptchaService的配置也可以從Spring IoC中查找（參考getBeanOrNull方法，這個方法在Spring Security中隨處可見，建議借鑒），這樣更加靈活，既能從方法配置也能自動注入。

    private void initProvider(H http) {
        ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);
        // 沒有配置CaptchaUserDetailsService就去Spring IoC獲取
        if (captchaUserDetailsService == null) {
            captchaUserDetailsService = getBeanOrNull(applicationContext, CaptchaUserDetailsService.class);
        }
        // 沒有配置CaptchaService就去Spring IoC獲取
        if (captchaService == null) {
            captchaService = getBeanOrNull(applicationContext, CaptchaService.class);
        } 
        // 初始化 Provider
        CaptchaAuthenticationProvider captchaAuthenticationProvider = this.postProcess(new CaptchaAuthenticationProvider(captchaUserDetailsService, captchaService));
        // 會增加到ProviderManager的注冊列表中
        http.authenticationProvider(captchaAuthenticationProvider);
    }

配置類效果

我們來看看CaptchaAuthenticationFilterConfigurer的配置效果：

    @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .mvcMatchers("/foo/**").access("hasAuthority('ROLE_USER')")
                .anyRequest().authenticated()
                .and()
                // 所有的 AbstractHttpConfigurer 都可以通過apply方法加入HttpSecurity
                .apply(new CaptchaAuthenticationFilterConfigurer<>())
                // 配置驗證碼處理服務   這里直接true 方便測試
                .captchaService((phone, rawCode) -> true)
                // 通過手機號去拿驗證碼，這里為了方便直接寫死了，實際phone和username做個映射  
                .captchaUserDetailsService(phone -> userDetailsService.loadUserByUsername("felord"))
                // 默認認證成功跳轉到/路徑  這里改造成把認證信息直接返回json
                .successHandler((request, response, authentication) -> {
                // 這里把認證信息以JSON形式返回
                    ServletServerHttpResponse servletServerHttpResponse = new ServletServerHttpResponse(response);
                    MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
                           mappingJackson2HttpMessageConverter.write(authentication, MediaType.APPLICATION_JSON,servletServerHttpResponse);
                });
        return http.build();
    }

是不是要優(yōu)雅很多，解決了你自己配置過濾器的很多疑難雜癥。學習一定要模仿，先模仿成功，然后再分析思考為什么會模仿成功，最后形成自己的創(chuàng)造力。千萬不要被一些陌生概念唬住，有些改造是不需要去深入了解細節(jié)的。

到此這篇關于Java中的Spring Security配置濾器的文章就介紹到這了,更多相關Spring Security過濾器內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: