spring security由一堆的filter组成,每个filter之间的实现是独立的。而且你可以修改里面的filter,或者写自己的filter。当然了,你修改得越多,也就越失去了使用它的意义。
内置的filter列表及执行顺序:
-
ChannelProcessingFilter, 用于选择channel,也就是http或https的选择。
-
SecurityContextPersistenceFilter, 用于将用户相关的信息保存到上下文中,以及session中。比如用户名,权限列表等。这个是必须的,如果没有这个filter,登陆之后的下一次请求,spring security无法获知请求者是谁,拥有什么权限。
-
ConcurrentSessionFilter, 常用于限制用户只能在一个地方登陆。
-
AuthenticationFilter,用于认证,spring提供了很多的登陆filter,可根据项目情况自己选择一种,对于大多数web项目, UsernamePasswordAuthenticationFilter是最适合的。因为大多数认证都是根据用户名、密码进行认证的,而用户名、密码又是存储在数据库中。UsernamePasswordAuthenticationFilter跟数据库结合非常方便,只要自己实现一个userDetailService就可以。
-
SecurityContextHolderAwareRequestFilter
-
JaasApiIntegrationFilter
-
RememberMeAuthenticationFilter, 该filter用于记住用户名、密码,下次不用再次登陆。但是它要跟UsernamePasswordAuthenticationFilter配合才行,如果AuthenticationFilter用的不是UsernamePasswordAuthenticationFilter,那么它就发挥不了作用。
-
AnonymousAuthenticationFilter如果存在可以匿名访问的资源,就需要配置这个拦截器。
-
ExceptionTranslationFilter捕获认证失败或验权失败的异常。并导航到相应的页面
-
FilterSecurityInterceptor对于web项目,这个是最重要的Filter,用于验权。