igo*_*igo 33 java spring spring-mvc spring-boot
如何在spring-boot中指定过滤器的顺序?我需要在Spring Security过滤器之后插入我的MDC过滤器.我几乎尝试了所有东西,但我的过滤器总是第一个 这不起作用:
@Bean
@Order(Ordered.LOWEST_PRECEDENCE)
public UserInsertingMdcFilter userInsertingMdcFilter() {
return new UserInsertingMdcFilter();
}
这也不起作用:
@Bean
public FilterRegistrationBean userInsertingMdcFilterRegistrationBean() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean();
UserInsertingMdcFilter userFilter = new UserInsertingMdcFilter();
registrationBean.setFilter(userFilter);
registrationBean.setOrder(Integer.MAX_VALUE);
return registrationBean;
}
igo*_*igo 40
来自Spring的人再次帮助.请参阅https://github.com/spring-projects/spring-boot/issues/1640和https://jira.spring.io/browse/SEC-2730
Spring Security不会在它创建的Filter bean上设置顺序.这意味着,当Boot为其创建FilterRegistrationBean时,它将获得默认顺序LOWEST_PRECEDENCE.
如果您希望自己的Filter遵循Spring Security,您可以为Spring Security的过滤器创建自己的注册并指定顺序.
所以我的问题的答案是:
@Bean
public FilterRegistrationBean securityFilterChain(@Qualifier(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME) Filter securityFilter) {
FilterRegistrationBean registration = new FilterRegistrationBean(securityFilter);
registration.setOrder(Integer.MAX_VALUE - 1);
registration.setName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);
return registration;
}
@Bean
public FilterRegistrationBean userInsertingMdcFilterRegistrationBean() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean();
UserInsertingMdcFilter userFilter = new UserInsertingMdcFilter();
registrationBean.setFilter(userFilter);
registrationBean.setOrder(Integer.MAX_VALUE);
return registrationBean;
}
Mik*_*ail 16
这在Spring Boot 1.2中得到修复.安全链现在默认为订购0.
它也可以通过属性设置:
security.filter-order=0 # Security filter chain order.
https://github.com/spring-projects/spring-boot/issues/1640
Nat*_*han 15
这是一个与 Spring Boot 2 / Spring Security 5 兼容的答案,它允许您将过滤器插入过滤器链中的任意位置。
我的用例是javax.servlet.Filter我想在任何 Spring Security 过滤器之前执行的自定义日志记录;但是,以下步骤应该允许您在现有 Spring 过滤器链中的任何位置放置过滤器:
你最喜欢的远程调试器连接到您的应用程序,并在设置断点doFilter(ServletRequest request, ServletResponse response)的方法org.springframework.security.web.FilterChainProxy。从 Spring Security 5.1.6 开始,即第 311 行。在您的调试器中,通过检查来找出现有的过滤器this.additionalFilters。在我的应用程序中,订单类似于:
0: WebAsyncManagerIntegrationFilter
1: SecurityContextPersistenceFilter
2: HeaderWriterFilter
...
您可能已经有了一个WebSecurityConfigurerAdapterwith@Override configure(HttpSecurity http)方法。HttpSecurity暴露addFilterBefore和addFilterAfter方法允许您将过滤器相对于链中的现有类放置。您的过滤器(实例)是这些方法的第一个参数,您想要在之前或之后插入的过滤器的类是第二个参数。
就我而言,我希望我的自定义日志过滤器成为链中的第一个(我的代码片段是 Kotlin,我将 Java 实现留给您):
override fun configure(http: HttpSecurity) {
http
.addFilterBefore(MyCustomLoggingFilter(), WebAsyncManagerIntegrationFilter::class.java)
.authorizeRequests()
.antMatchers(
...
)
}
使用上面步骤 1 中描述的调试方法来验证您的过滤器是否位于过滤器链中的预期位置。
希望这可以帮助其他人。
请注意,Spring Security 过滤器链并不是过滤器的全部。事实上,有一个完整的(非安全)过滤器链在工作,其中一个过滤器是其中一个实例DelegatingFilterProxy(nomen est omen)委托给另一个名为的过滤器FilterChainProxy,该过滤器管理自己的过滤器子列表,所有过滤器都面向安全相关主题。此模式的优点是所有安全过滤器都位于一个位置并且彼此正确排序。但是,如果您需要在所有安全过滤器之前或之后 执行过滤器,那么这对您没有任何帮助。虽然您确实可以通过选择该列表中的第一个或最后一个过滤器来使用对象进行配置,但这在逻辑上很奇怪,因为您的过滤器很可能与安全性完全无关。如果您设置断点,您将看到应用程序的整个过滤器链。如果您愿意,您甚至可以深入查找所有弹簧安全过滤器。然后就可以一一打开相关的类,找出它们的配置顺序。一旦您知道过滤器应该在哪里,您就可以对其进行注释。HttpSecurityDelegatingFilterProxy::doFilter(ServletRequest, ServletResponse, FilterChain)FilterChainProxy
例如,如果您需要配置日志过滤器,并且想要记录所有安全故障(需要在 之前FilterChainProxy),但还想要一个有用的跟踪 ID(需要在LazyTracingFilter其配置的默认顺序之后TraceHttpAutoConfiguration.TRACING_FILTER_ORDER = Ordered.HIGHEST_PRECEDENCE + 5),您可以使用以下方式注释您的过滤器@Order(Ordered.HIGHEST_PRECEDENCE + 6)。
| 归档时间: |
|
| 查看次数: |
53610 次 |
| 最近记录: |