那些遇到过的问题

Spring webSecurity.ignoring()不会忽略自定义过滤器

rat*_*tek 8 java spring spring-mvc spring-security

我在Spring 4 MVC + Security + Boot项目中设置了一个自定义身份验证过滤器.过滤器做得很好,现在我想禁用某些URI的安全性(比如/api/**).这是我的配置

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    public void configure(WebSecurity webSecurity) throws Exception {
        webSecurity.ignoring().antMatchers("/api/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       http.authorizeRequests()
                 .anyRequest().authenticated()
              .and()
                 .addFilterBefore(filter, BasicAuthenticationFilter.class);
    }
}
Run Code Online (Sandbox Code Playgroud)

不幸的是,当我在/ api/...下调用资源时,过滤器仍然被链接.我在我的过滤器中添加了println,并在每次调用时将其写入控制台.你知道我的配置有什么问题吗?

UPDATE

过滤代码: 

@Component
public class EAccessAuthenticationFilter extends RequestHeaderAuthenticationFilter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("FILTER");
        if(SecurityContextHolder.getContext().getAuthentication() == null){
            //Do my authentication stuff
            PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(user, credential, authorities);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }  
        super.doFilter(request, response, chain);
     }

    @Override
    @Autowired
    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
        super.setAuthenticationManager(authenticationManager);
    }

}
Run Code Online (Sandbox Code Playgroud)

小智 17

删除类EAccessAuthenticationFilter上的@Component,如下所示:

@Override
protected void configure(HttpSecurity http) throws Exception {
   http.authorizeRequests()
             .anyRequest().authenticated()
          .and()
             .addFilterBefore(new EAccessAuthenticationFilter(), BasicAuthenticationFilter.class);
}
Run Code Online (Sandbox Code Playgroud)

https://github.com/spring-projects/spring-security/issues/3958

  • 另请检查您是否有 @Bean 注解的方法来创建 E...AuthenticationFilter 的实例。我有这样的方法,我猜Spring会自动将我的过滤器添加到其过滤器链中,而不是按照我想要的顺序。 (2认同)

小智 5

我没有足够的声誉来添加评论,但是对于像我这样想要为kimhom的答案提供更多解释的人,他WebSecurityConfigurerAdapter会告诉Spring Security忽略通过它添加的所有过滤器。过滤器随后仍被调用,因为注释@Component(或的任何形式@Bean)都通知Spring在安全链之外再次添加过滤器。因此,尽管在安全链中忽略了过滤器,但另一个(非安全性?)链并未忽略它。

这为我解决了两个星期的头痛。在我的情况下,我的自定义过滤器需要由SecurityContext哪里提供的Authentication对象,该对象一直显示为null,因为安全链从未执行过。

Ada*_*dam 0

我总是发现最简单的方法就是将此配置放入您的application.properties

security.ignored=/api/**
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

9609 次

最近记录:

6 年,9 月 前
始终调用Spring自定义筛选器 2
更多相关链接
相关归档
如何在Eclipse中生成Javadoc HTML文件? 164
是否有可能解决"为varargs参数创建T的通用数组"编译器警告? 150
JUnit中的失败和错误有什么区别? 85
SwingUtilities.invokeLater()vs EventQueue.invokeLater() 49
什么时候调用loadUserByUsername?(春季安全) 15
Spring中的自动配置重新初始化 12
无法将Swagger-ui链接到我的Swagger Spring mvc项目 6
Spring MVC 处理会话已过期 5
Spring MVC - HTTP状态500 - servlet loginDispacher的Servlet.init()抛出异常 4
为什么 AuthenticationManager 会抛出 StackOverflowError? 3
难疑归档
什么是JSONP,为什么创建它? 2040
如何在Java中声明和初始化数组? 1946
如何在C#中生成随机int数? 1792
PostgreSQL"DESCRIBE TABLE" 1790
什么是移动语义? 1614
lodash和下划线之间的差异 1566
const和readonly有什么区别? 1269
如何分析Python脚本? 1203
如何查找Python中是否存在目录 1048
如何在Java中创建通用数组? 1045