那些遇到过的问题

Spring webSecurity.ignoring()不会忽略自定义过滤器

rat*_*tek 8 java spring spring-mvc spring-security

我在Spring 4 MVC + Security + Boot项目中设置了一个自定义身份验证过滤器.过滤器做得很好,现在我想禁用某些URI的安全性(比如/api/**).这是我的配置

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    public void configure(WebSecurity webSecurity) throws Exception {
        webSecurity.ignoring().antMatchers("/api/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       http.authorizeRequests()
                 .anyRequest().authenticated()
              .and()
                 .addFilterBefore(filter, BasicAuthenticationFilter.class);
    }
}
Run Code Online (Sandbox Code Playgroud)

不幸的是,当我在/ api/...下调用资源时,过滤器仍然被链接.我在我的过滤器中添加了println,并在每次调用时将其写入控制台.你知道我的配置有什么问题吗?

UPDATE

过滤代码: 

@Component
public class EAccessAuthenticationFilter extends RequestHeaderAuthenticationFilter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("FILTER");
        if(SecurityContextHolder.getContext().getAuthentication() == null){
            //Do my authentication stuff
            PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(user, credential, authorities);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }  
        super.doFilter(request, response, chain);
     }

    @Override
    @Autowired
    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
        super.setAuthenticationManager(authenticationManager);
    }

}
Run Code Online (Sandbox Code Playgroud)

小智 17

删除类EAccessAuthenticationFilter上的@Component,如下所示:

@Override
protected void configure(HttpSecurity http) throws Exception {
   http.authorizeRequests()
             .anyRequest().authenticated()
          .and()
             .addFilterBefore(new EAccessAuthenticationFilter(), BasicAuthenticationFilter.class);
}
Run Code Online (Sandbox Code Playgroud)

https://github.com/spring-projects/spring-security/issues/3958

  • 另请检查您是否有 @Bean 注解的方法来创建 E...AuthenticationFilter 的实例。我有这样的方法,我猜Spring会自动将我的过滤器添加到其过滤器链中,而不是按照我想要的顺序。 (2认同)

小智 5

我没有足够的声誉来添加评论,但是对于像我这样想要为kimhom的答案提供更多解释的人,他WebSecurityConfigurerAdapter会告诉Spring Security忽略通过它添加的所有过滤器。过滤器随后仍被调用,因为注释@Component(或的任何形式@Bean)都通知Spring在安全链之外再次添加过滤器。因此,尽管在安全链中忽略了过滤器,但另一个(非安全性?)链并未忽略它。

这为我解决了两个星期的头痛。在我的情况下,我的自定义过滤器需要由SecurityContext哪里提供的Authentication对象,该对象一直显示为null,因为安全链从未执行过。

Ada*_*dam 0

我总是发现最简单的方法就是将此配置放入您的application.properties

security.ignored=/api/**
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

9609 次

最近记录:

6 年,6 月 前
始终调用Spring自定义筛选器 2
更多相关链接
相关归档
如何获取List或Set的第一个元素? 264
如何设置JVM的最大内存使用量? 125
将毫秒转换为分钟和秒? 65
Mockito抛出异常 18
部署Web服务的好习惯是什么? 13
有条件地设置HTTP状态而不直接操作HttpServletResponse 9
从Spring MVC拦截器访问Controller的方法参数值 7
挂钩进入JDBC事务 7
从命令行运行爆炸的spring-boot jar 6
hql没有删除查询确定 0
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
"INNER JOIN"和"OUTER JOIN"有什么区别? 4506
从Git中的分支中删除提交 3035
有一个CSS父选择器吗? 2986
event.preventDefault()与return false 2891
如何在Java中调用另一个构造函数? 2144
如何将Git存储库克隆到特定文件夹中? 2083
静态类和单例模式之间的区别? 1708
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
CSS calc()函数中的Sass变量 1182