spring security 过滤器链使用

Spring Security 的过滤器链提供了灵活的安全控制机制，以下是其在实际开发中的 常见用法 及对应的过滤器配置示例：

---

一、认证方式配置

1. 表单登录认证

• 过滤器：UsernamePasswordAuthenticationFilter
• 配置：

http.formLogin()
    .loginPage("/login")          // 自定义登录页
    .loginProcessingUrl("/auth")  // 登录处理路径
    .defaultSuccessUrl("/home")   // 登录成功跳转
    .failureUrl("/login?error");  // 登录失败跳转

2. JWT 令牌认证

• 自定义过滤器：解析请求头中的 JWT Token

public class JwtAuthFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) {
        String token = request.getHeader("Authorization");
        if (validateToken(token)) {
            Authentication auth = createAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        chain.doFilter(request, response);
    }
}

• 注册过滤器：

http.addFilterBefore(new JwtAuthFilter(), UsernamePasswordAuthenticationFilter.class);

3. OAuth2 社交登录

• 依赖过滤器：OAuth2AuthorizationRequestRedirectFilter、OAuth2LoginAuthenticationFilter
• 配置：

http.oauth2Login()
    .loginPage("/login")
    .defaultSuccessUrl("/profile")
    .userInfoEndpoint().userService(oauth2UserService);

---

二、安全防护配置

1. 禁用 CSRF 防护

• 适用场景：无状态 API 服务（如使用 JWT）

http.csrf().disable();

2. 启用 CORS 跨域支持

• 过滤器：CorsFilter
• 配置：

@Bean
CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration config = new CorsConfiguration();
    config.addAllowedOrigin("https://example.com");
    config.addAllowedMethod("*");
    config.addAllowedHeader("*");
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", config);
    return source;
}

3. 安全响应头配置

• 过滤器：HeaderWriterFilter
• 配置：

http.headers()
    .contentSecurityPolicy("default-src 'self'")
    .frameOptions().deny();

---

三、授权控制配置

1. 基于角色的访问控制

• 过滤器：FilterSecurityInterceptor
• 配置：

http.authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
    .anyRequest().authenticated();

2. 方法级权限控制

• 启用注解：

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

• 使用注解：

@PreAuthorize("hasRole('ADMIN')")
@GetMapping("/admin/dashboard")
public String adminDashboard() { /* ... */ }

---

四、会话管理

1. 无状态会话（适用于 API）

• 配置：

http.sessionManagement()
    .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

2. 会话并发控制

• 配置：

http.sessionManagement()
    .maximumSessions(1)  // 每个用户最多一个会话
    .expiredUrl("/login?expired");

---

五、静态资源处理

1. 忽略静态资源

• 过滤器：WebSecurity 配置

@Override
public void configure(WebSecurity web) {
    web.ignoring().antMatchers("/css/**", "/js/**", "/images/**");
}

---

六、异常处理

1. 自定义未认证响应

• 配置：

http.exceptionHandling()
    .authenticationEntryPoint((request, response, authException) -> {
        response.sendError(HttpStatus.UNAUTHORIZED.value(), "请先登录");
    });

2. 自定义无权限响应

• 配置：

http.exceptionHandling()
    .accessDeniedHandler((request, response, accessDeniedException) -> {
        response.sendError(HttpStatus.FORBIDDEN.value(), "权限不足");
    });

---

七、自定义过滤器链

1. 添加自定义过滤器

// 添加日志过滤器到链首
http.addFilterBefore(new RequestLoggingFilter(), SecurityContextPersistenceFilter.class);

2. 移除默认过滤器

// 禁用默认的 BasicAuthenticationFilter
http.httpBasic().disable();

---

总结

Spring Security 过滤器链的常见用法可归纳为以下场景：

场景	关键过滤器/配置	典型应用
表单登录	UsernamePasswordAuthenticationFilter	传统 Web 应用登录
API 令牌认证	自定义 JWT/OAuth2 过滤器	前后端分离架构
安全防护	CsrfFilter、CorsFilter	防止 CSRF、配置跨域
细粒度授权	FilterSecurityInterceptor	基于 URL 或方法的权限控制
会话管理	SessionManagementFilter	控制会话创建策略和并发登录
静态资源	WebSecurity.ignoring()	加速 CSS/JS/图片加载

通过灵活组合这些配置，开发者可以快速实现从简单登录到复杂分布式系统的安全需求，同时保持代码的可维护性和扩展性。