您现在的位置是：亿华云 > 应用开发

绝活！Spring Security过滤器就该这么配置

亿华云2025-10-04 03:18:31【应用开发】1人已围观

简介以前胖哥带大家用Spring Security过滤器实现了手机验证码认证，今天我们来改良一下验证码认证的配置方式。这绝对是绝活666，不再看、点赞一波吗?天天白嫖，晚上睡得着觉?

以前胖哥带大家用Spring Security过滤器实现了手机验证码认证，绝活今天我们来改良一下验证码认证的过滤配置方式。这绝对是器该绝活666，不再看、配置点赞一波吗?绝活天天白嫖，晚上睡得着觉?过滤

CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的器该道理，由于UsernamePasswordAuthenticationFilter的配置配置是由FormLoginConfigurer来完成的，应该也能模仿一下FormLoginConfigurer，绝活写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter。过滤

public final class FormLoginConfigurer> extends

AbstractAuthenticationFilterConfigurer, UsernamePasswordAuthenticationFilter> {

// 省略

}

AbstractAuthenticationFilterConfigurer

FormLoginConfigurer看起来有点复杂，不过继承关系并不复杂，配置只继承了AbstractAuthenticationFilterConfigurer。绝活

public abstract class AbstractAuthenticationFilterConfigurer,过滤 T extends AbstractAuthenticationFilterConfigurer, F extends AbstractAuthenticationProcessingFilter>

extends AbstractHttpConfigurer{

}
理论上我们模仿一下，也继承一下这个类，器该但是你会发现这种方式行不通。因为AbstractAuthenticationFilterConfigurer只能Spring Security内部使用，不建议自定义。原因在于它最终向HttpSecurity添加过滤器使用的是HttpSecurity.addFilter(Filter)方法，这个方法只有内置过滤器(参见FilterOrderRegistration)才能使用。了解了这个机制之后，我们只能往上再抽象一层，亿华云计算去改造其父类AbstractHttpConfigurer。
改造过程
AbstractAuthenticationFilterConfigurer中的B是实际指的HttpSecurity，因此这个要保留;
T指的是它本身的实现，我们配置CaptchaAuthenticationFilter不需要下沉一层到FormLoginConfigurer这个继承级别，直接在AbstractAuthenticationFilterConfigurer这个继承级别实现即可，因此T这里指的就是需要配置类本身，也不需要再抽象化，因此是不需要的;同样的原因F也不需要，很明确是CaptchaAuthenticationFilter，不需要再泛化。这样CaptchaAuthenticationFilter的配置类结构可以这样定义：
public class CaptchaAuthenticationFilterConfigurer> extends AbstractHttpConfigurer, H> {
// 不再泛化具体化
private final CaptchaAuthenticationFilter authFilter;
// 特定的验证码用户服务
private CaptchaUserDetailsService captchaUserDetailsService;
// 验证码处理服务
private CaptchaService captchaService;
// 保存认证请求细节的策略
private AuthenticationDetailsSourceauthenticationDetailsSource;
// 默认使用保存请求认证成功处理器
private SavedRequestAwareAuthenticationSuccessHandler defaultSuccessHandler = new SavedRequestAwareAuthenticationSuccessHandler();
// 认证成功处理器
private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;
// 登录认证端点
private LoginUrlAuthenticationEntryPoint authenticationEntryPoint;
// 是否自定义页面
private boolean customLoginPage;
// 登录页面
private String loginPage;
// 登录成功url
private String loginProcessingUrl;
// 认证失败处理器
private AuthenticationFailureHandler failureHandler;
// 认证路径是否放开
private boolean permitAll;
// 认证失败的url
private String failureUrl;
/
**
* Creates a new instance with minimal defaults
*/
public CaptchaAuthenticationFilterConfigurer() {
setLoginPage("/login/captcha");
this.authFilter = new CaptchaAuthenticationFilter();
}
public CaptchaAuthenticationFilterConfigurerformLoginDisabled() {
this.formLoginEnabled = false;
return this;
}
public CaptchaAuthenticationFilterConfigurercaptchaUserDetailsService(CaptchaUserDetailsService captchaUserDetailsService) {
this.captchaUserDetailsService = captchaUserDetailsService;
return this;
}
public CaptchaAuthenticationFilterConfigurercaptchaService(CaptchaService captchaService) {
this.captchaService = captchaService;
return this;
}
public CaptchaAuthenticationFilterConfigurerusernameParameter(String usernameParameter) {
authFilter.setUsernameParameter(usernameParameter);
return this;
}
public CaptchaAuthenticationFilterConfigurercaptchaParameter(String captchaParameter) {
authFilter.setCaptchaParameter(captchaParameter);
return this;
}
public CaptchaAuthenticationFilterConfigurerparametersConverter(Converterconverter) {
authFilter.setConverter(converter);
return this;
}
@Override
public void init(H http) throws Exception {
updateAuthenticationDefaults();
updateAccessDefaults(http);
registerDefaultAuthenticationEntryPoint(http);
// 这里禁用默认页面过滤器如果你想自定义登录页面可以自行实现可能和FormLogin冲突
// initDefaultLoginFilter(http);
// 把对应的Provider也在init时写入HttpSecurity
initProvider(http);
}
@Override
public void configure(H http) throws Exception {
//这里改为使用前插过滤器方法
http.addFilterBefore(filter, LogoutFilter.class);
}
// 其它方法同AbstractAuthenticationFilterConfigurer
}
其实就是模仿AbstractAuthenticationFilterConfigurer及其实现类的风格把用的站群服务器配置项实现一遍。这里值得一提的是CaptchaService的配置也可以从Spring IoC中查找(参考getBeanOrNull方法，这个方法在Spring Security中随处可见，建议借鉴)，这样更加灵活，既能从方法配置也能自动注入。
private void initProvider(H http) {
ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);
// 没有配置CaptchaUserDetailsService就去Spring IoC获取
if (captchaUserDetailsService == null) {
captchaUserDetailsService = getBeanOrNull(applicationContext, CaptchaUserDetailsService.class);
}
// 没有配置CaptchaService就去Spring IoC获取
if (captchaService == null) {
captchaService = getBeanOrNull(applicationContext, CaptchaService.class);
}
// 初始化 Provider
CaptchaAuthenticationProvider captchaAuthenticationProvider = this.postProcess(new CaptchaAuthenticationProvider(captchaUserDetailsService, captchaService));
// 会增加到ProviderManager的注册列表中
http.authenticationProvider(captchaAuthenticationProvider);
}
配置类效果
我们来看看CaptchaAuthenticationFilterConfigurer的配置效果：
@Bean
SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {
http.csrf().disable()
.authorizeRequests()
.mvcMatchers("/foo/**").access("hasAuthority(ROLE_USER)")
.anyRequest().authenticated()
.and()
// 所有的 AbstractHttpConfigurer 都可以通过apply方法加入HttpSecurity
.apply(new CaptchaAuthenticationFilterConfigurer<>())
// 配置验证码处理服务这里直接true 方便测试
.captchaService((phone, rawCode) -> true)
// 通过手机号去拿验证码，这里为了方便直接写死了，实际phone和username做个映射
.captchaUserDetailsService(phone -> userDetailsService.loadUserByUsername("felord"))
// 默认认证成功跳转到/路径这里改造成把认证信息直接返回json
.successHandler((request, response, authentication) -> {
// 这里把认证信息以JSON形式返回
ServletServerHttpResponse servletServerHttpResponse = new ServletServerHttpResponse(response);
MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
mappingJackson2HttpMessageConverter.write(authentication, MediaType.APPLICATION_JSON,servletServerHttpResponse);
});
return http.build();
}
是不是要优雅很多，解决了你自己配置过滤器的很多疑难杂症。学习一定要模仿，先模仿成功，然后再分析思考为什么会模仿成功，最后形成自己的创造力。千万不要被一些陌生概念唬住，有些改造是不需要去深入了解细节的。
本文转载自微信公众号「码农小胖哥」，可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。
亿华云
本文地址：http://qwembj.com/news/999a6098940.html
很赞哦!（858）
上一篇：主流搜索引擎显示的相关搜索项越多，越能积极反映该域名的市场价值。同时，被评估域名的搜索引擎显示结果不佳可能是由于以下两个原因：
下一篇： CNAME：对应解析的记录值为域名地址

相关文章
注册域名要了解几大点？新手有什么方式注册域名？
Java 8开发的4大顶级技巧
如果是个穷光蛋：如何从零开始学习成为一个数据科学家？
深入源码分析Java线程池的实现原理
6、提示添加成功，点击确认进行最后的确定操作。一般10分钟就解析生效，可以用域名进行访问了。
精讲Spring Boot—— 入门+进阶+实例
好用的3个开源JavaScript图表库
这8个Python小细节，让你在大数据领域如鱼得水
当投资者经过第二阶段的认真学习之后又充满了信心，认为自己可以在市场上叱咤风云地大干一场了。但没想到“看花容易绣花难”，由于对理论知识不会灵活运用.从而失去灵活应变的本能，就经常会出现小赢大亏的局面，结果往往仍以失败告终。这使投资者很是困惑和痛苦，不知该如何办，甚至开始怀疑这个市场是不是不适合自己。在这种情况下，有的人选择了放弃，但有的意志坚定者则决定做最后的尝试。
中国于2022年开展抗量子密码算法:2025年实现落地

热门文章
注册域名要了解几大点？新手有什么方式注册域名？
三年一次的重磅更新，带你细数Office2019的强大功能
12种Python 机器学习 & 数据挖掘工具包，一定让你受益匪浅
你真的会高效的在GitHub搜索开源项目吗？
站长推荐
互联网其实拼的也是人脉，域名投资也是一个时效性很强的东西，一个不起眼的消息就会引起整个域名投资市场的动荡，因此拓宽自己的人脉圈，完善自己的信息获取渠道，让自己能够掌握更为多样化的信息，这样才更有助于自己的域名投资。
腾讯在职8年Python开发经验的程序员写给初学者的总结，希望有用
Java : 一个帝国的诞生
程序员的一个爬虫，把估值175亿的马蜂窝给捅了
第六：这个圈子里的域名确实是赚钱的一些大玩家，至于小米农，有多少赚钱？几乎没有，也就是说，轿子里只有一个人，而且大多数人都抬着轿子。
RocketMQ如何应对每天1500亿条的数据处理？
磁盘满了，为啥du却显示还有很大空间？
程序员要避免的10个坏习惯，看完终身受益
友情链接
源码下载源码库香港云服务器亿华云服务器租用益华科技企商汇