Spring 5 增加了对使用 Spring WebFlux 模块进行响应式编程的支持,此支持自那时起不断改进。 开始使用 Reactor 项目基础知识和 Spring Boot 中的响应式编程
自从 Java 8 引入以来,Stream API 已成为 Java 开发的基础。 基本操作,例如迭代、过滤、映射元素序列,使用起来看似很简单。
但这些也可能被过度使用并陷入一些常见陷阱。
要 更好地了解 Stream 的工作方式 以及如何将其与其他语言功能结合使用,请查看我们关于 Java Streams 的指南
是的,Spring Security 可能很复杂,从核心内的更高级功能到框架中深入的 OAuth 支持。
我将安全材料构建为 两个完整的课程 - 核心和 OAuth,以针对这些更复杂的场景进行实践。 我们探索何时以及如何使用每个功能,并 在后台项目中对其进行编码。
您可以在这里探索该课程
使用 OpenRewrite 安全且自动地重构 Java 代码。
手动重构大型代码库既缓慢、有风险,又容易拖延。OpenRewrite 应运而生。这个用于大规模、自动化代码转换的开源框架可以帮助团队安全、一致地进行现代化改造。
每个月,OpenRewrite 的创建者和维护者 Moderne 都会举办现场、实践培训课程——一个面向初学者,一个面向经验丰富的用户。您将了解配方的运作方式、如何将其应用于项目,以及如何自信地进行代码现代化改造。
参加下一次课程,带来您的问题,并学习如何自动化通常会占用您 sprint 时间的工作。
回归测试是发布流程中的重要步骤,以确保新代码不会破坏现有功能。随着代码库的不断发展,我们希望频繁运行这些测试,以便尽早发现任何问题。
确保这些测试以自动化的方式频繁运行的最佳方法当然是将其包含在 CI/CD 管道中。 这样,每次向仓库提交代码时,回归测试将自动执行。
在本教程中,我们将学习如何使用 Selenium 创建回归测试,然后使用 GitHub Actions 将它们包含在我们的管道中,在 LambdaTest 云网格上运行
1. 概述
在本快速教程中,我们将重点介绍 Spring Security 过滤器链的自定义过滤器编写。
更多阅读
Spring Security – @PreFilter 和 @PostFilter
2. 创建过滤器
Spring Security 默认提供许多过滤器,而且大多数情况下这些过滤器就足够了。
当然,有时需要通过创建新的过滤器来在链中使用来实现新功能。
我们将从实现org.springframework.web.filter.GenericFilterBean开始。
GenericFilterBean是一个Spring-aware的简单javax.servlet.Filter实现。
我们只需要实现一个方法
public class CustomFilter extends GenericFilterBean {
@Override
public void doFilter(
ServletRequest request,
ServletResponse response,
FilterChain chain) throws IOException, ServletException {
chain.doFilter(request, response);
}
}3. 在安全配置中使用过滤器
我们可以自由选择 XML 配置或 Java 配置将过滤器连接到 Spring Security 配置。
3.1. Java 配置
我们可以通过创建一个SecurityFilterChain bean 以编程方式注册过滤器。
例如,它使用HttpSecurity实例上的addFilterAfter方法起作用
@Configuration
public class CustomWebSecurityConfigurerAdapter {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.addFilterAfter(
new CustomFilter(), BasicAuthenticationFilter.class);
return http.build();
}
}
有几种可能的方法
- addFilterBefore(filter, class) 在指定的过滤器class的位置之前添加一个过滤器。
- addFilterAfter(filter, class) 在指定的过滤器class的位置之后添加一个过滤器。
- addFilterAt(filter, class) 在指定的过滤器类位置添加一个过滤器。
- addFilter(filter) 添加一个过滤器,该过滤器必须是 Spring Security 提供的过滤器之一的实例或扩展。
3.2. XML 配置
我们可以使用custom-filter标签和这些名称之一将过滤器添加到链中,以指定我们过滤器的位置。
例如,可以通过after属性来指出
<http>
<custom-filter after="BASIC_AUTH_FILTER" ref="myFilter" />
</http>
<beans:bean id="myFilter" class="com.baeldung.security.filter.CustomFilter"/>以下是所有用于精确指定在堆栈中放置我们的过滤器的属性
- after描述了自定义过滤器将放置在链中的紧挨着哪个过滤器之后。
- before定义了我们的过滤器应该放置在链中的哪个过滤器之前。
- position允许用自定义过滤器替换在显式位置的标准过滤器。
4. 仅在受保护的端点上应用 Spring Security 过滤器
现代应用程序通常提供公共端点和受保护的端点。全局应用自定义 Spring Security 过滤器会导致对公共端点进行不必要的处理。为了解决这个问题,我们可以通过使用 Spring Security 的SecurityFilterChain和RequestMatcher来专门针对受保护的端点应用过滤器。
@Bean
public SecurityFilterChain securedFilterChain(HttpSecurity http) throws Exception {
http.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry ->
authorizationManagerRequestMatcherRegistry.requestMatchers("/secured/**").authenticated())
.httpBasic(Customizer.withDefaults());
http.addFilterAfter(new CustomFilter(), BasicAuthenticationFilter.class);
return http.build();
}此配置确保仅对匹配/secured/**的端点应用安全设置,如requestMatchers(“/secured/**”)所指定。
addFilterAfter(new CustomFilter(), BasicAuthenticationFilter.class)行确保自定义过滤器在BasicAuthenticationFilter之后应用,这意味着它仅在基本的身份验证过程之后执行。
这种方法允许对受保护的端点进行有针对性的安全处理,而不会影响公共端点。所有对/secured/**的请求都需要身份验证,由.authorizeHttpRequests()强制执行。
通过使用自定义SecurityFilterChain,我们可以隔离这些安全设置,保持应用程序的安全模块化和高效。 此设置可以防止公共端点的额外开销,并确保为受保护路径提供定制的身份验证处理,例如在身份验证入口点中的自定义失败响应。
5. 结论
在这篇快速的文章中,我们创建了一个自定义过滤器,并将其连接到 Spring Security 过滤器链。
