下面是Spring Security 过滤器注册脉络梳理的完整攻略。

Spring Security 过滤器注册脉络梳理

在Spring Security中，过滤器的注册是非常重要的一项工作，它决定了Spring Security能否对请求进行拦截，并进行相应的安全控制。

过滤器链

Spring Security 采用了一条链式过滤器来完成安全控制，它是由一组过滤器组成的。每个过滤器负责完成特定的安全控制功能，而这些过滤器按照一定的顺序组成了一条过滤器链。

默认的过滤器链包括以下过滤器：

• SecurityContextHolderAwareRequestFilter
• AnonymousAuthenticationFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor

过滤器注册

Spring Security 中的过滤器注册，通过 WebSecurityConfigurerAdapter 中的 configure(HttpSecurity http) 方法实现。

在方法中，我们可以通过 HttpSecurity 对象进行过滤器的注册。具体方式如下所示：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .addFilterBefore(customFilter(), UsernamePasswordAuthenticationFilter.class)
        .addFilterAfter(customFilter(), UsernamePasswordAuthenticationFilter.class)
        .addFilterAt(customFilter(), SecurityContextHolderAwareRequestFilter.class);
}

进一步解释一下，HttpSecurity 对象提供了三个方法：

• addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter)
• addFilterAfter(Filter filter, Class<? extends Filter> afterFilter)
• addFilterAt(Filter filter, Class<? extends Filter> atFilter)

它们分别对应了在过滤器链中添加自定义过滤器的三种方式。

addFilterBefore

将当前自定义过滤器添加到某个过滤器之前。示例如下：

private CustomFilter customFilter() {
    return new CustomFilter();
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(customFilter(), UsernamePasswordAuthenticationFilter.class);
}

这个示例中，我们将自定义过滤器 customFilter 添加到 UsernamePasswordAuthenticationFilter 之前。

addFilterAfter

将当前自定义过滤器添加到某个过滤器之后。示例如下：

private CustomFilter customFilter() {
    return new CustomFilter();
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterAfter(customFilter(), UsernamePasswordAuthenticationFilter.class);
}

这个示例中，我们将自定义过滤器 customFilter 添加到 UsernamePasswordAuthenticationFilter 之后。

addFilterAt

将当前自定义过滤器添加到某个过滤器之前，并替换它。示例如下：

private CustomFilter customFilter() {
    return new CustomFilter();
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterAt(customFilter(), SecurityContextHolderAwareRequestFilter.class);
}

这个示例中，我们将自定义过滤器 customFilter 替换了 SecurityContextHolderAwareRequestFilter。

自定义过滤器

在实现自定义过滤器时，需要继承 OncePerRequestFilter 抽象类，并覆盖 doFilterInternal 方法。示例如下：

public class CustomFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 处理请求，包括验证、设置用户信息等

        filterChain.doFilter(request, response);
    }
}

在 doFilterInternal 方法中，我们可以对请求进行特定的处理。同时，务必调用 filterChain.doFilter(request, response) 方法，以便将请求转交给下一个过滤器。

示例

下面是两个示例：

示例1

在一般的应用场景中，我们可能需要对请求进行身份认证，只允许已经登录的用户访问某些资源。

在这种情况下，我们需要自定义一个过滤器，对用户的身份进行验证。代码实现如下：

public class CustomFilter extends OncePerRequestFilter {

    private final HttpSession session;

    public CustomFilter(HttpSession session) {
        this.session = session;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        String sessionId = session.getId();
        User user = session.getAttribute(sessionId);

        if (user == null) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
        } else {
            filterChain.doFilter(request, response);
        }
    }
}

在 configure(HttpSecurity http) 方法中，我们可以将自定义过滤器添加到过滤器链中，示例如下：

@Autowired
private HttpSession session;

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/**").permitAll()
            .and()
        .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
        .addFilterAfter(new CustomFilter(session), UsernamePasswordAuthenticationFilter.class);
}

这个示例中，我们添加了一个名为 CustomFilter 的自定义过滤器，并且将它添加到 UsernamePasswordAuthenticationFilter 之后。在自定义过滤器中，我们通过 session 对象获取用户信息并进行身份验证。

示例2

在一些应用场景中，我们可能需要对请求进行加密或解密，比如加密 URL 中的参数。

在这种情况下，我们同样需要自定义一个过滤器，对请求进行处理，代码实现如下：

public class CustomFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        if (request.getMethod().equals("GET")) {

            String id = request.getParameter("id");

            // 将 id 进行解密，并设置到 request 对象中
            request.setAttribute("id", decrypt(id));

            filterChain.doFilter(request, response);

        } else if (request.getMethod().equals("POST")) {

            String id = request.getParameter("id");

            // 将 id 进行加密，并设置到 response 对象中
            response.setHeader("id", encrypt(id));

            filterChain.doFilter(request, response);

        } else {

            filterChain.doFilter(request, response);
        }
    }

    private String encrypt(String str) {
        // TODO: 实现加密方法
        return str;
    }

    private String decrypt(String str) {
        // TODO: 实现解密方法
        return str;
    }
}

在 configure(HttpSecurity http) 方法中，我们可以将自定义过滤器添加到过滤器链中，示例如下：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .addFilterBefore(new CustomFilter(), UsernamePasswordAuthenticationFilter.class);
}

这个示例中，我们添加了一个名为 CustomFilter 的自定义过滤器，并且将它添加到 UsernamePasswordAuthenticationFilter 之前。在自定义过滤器中，我们通过对请求的方法方式进行判断，对 GET 和 POST 请求进行不同的处理。同时，我们还可以自定义加密、解密方法，在示例中，我们只是实现了方法的框架。