防止Spring Boot注册servlet过滤器

Question

我有一个 Spring Boot WebMVC 应用程序和一个继承自 AbstractPreAuthenticatedProcessingFilter 的 bean，我明确将其添加到 Spring 安全过滤器链中的特定位置。 我的 Spring 安全配置如下所示：

<http pattern="/rest/**">
  <intercept-url pattern="/**" access="ROLE_USER"/>
  <http-basic/>
  <custom-filter after="BASIC_AUTH_FILTER" ref="preAuthenticationFilter"/>
</http>

<beans:bean id="preAuthenticationFilter" class="a.b.PreAuthenticationFilter">
  <beans:property name="authenticationManager" ref="customAuthenticationManager"/>
</beans:bean>

安全配置有效。 问题是，因为 PreAuthenticationFilter class 继承自 AbstractPreAuthenticatedProcessingFilter，Spring Boot 将其视为通用 servlet 过滤器，并将其添加到所有请求的 servlet 过滤器链中。 我不希望此过滤器成为所有请求的过滤器链的一部分。 我只希望它成为我配置的特定 Spring 安全过滤器链的一部分。 有没有办法阻止 Spring Boot 自动将 preAuthenticationFilter bean 添加到过滤器链？

Answer 1

默认情况下，Spring Boot会为应用程序上下文中的每个Filter创建一个FilterRegistrationBean ，而FilterRegistrationBean尚不存在。 这允许您通过为Filter声明自己的FilterRegistrationBean来控制注册过程，包括禁用注册。 对于PreAuthenticationFilter ，所需的配置如下所示：

@Bean
public FilterRegistrationBean registration(PreAuthenticationFilter filter) {
    FilterRegistrationBean registration = new FilterRegistrationBean(filter);
    registration.setEnabled(false);
    return registration;
}

您可能还对此Spring Boot问题感兴趣， 该问题讨论了如何禁用Filter和Servlet bean的自动注册。

Answer 2

如果您想一次取消注册所有过滤器，这是我的诀窍：

public class DefaultFiltersBeanFactoryPostProcessor implements BeanFactoryPostProcessor {

    @Override
    public void postProcessBeanFactory(ConfigurableListableBeanFactory bf)
            throws BeansException {
        DefaultListableBeanFactory beanFactory = (DefaultListableBeanFactory) bf;

        Arrays.stream(beanFactory.getBeanNamesForType(javax.servlet.Filter.class))
                .forEach(name -> {

                    BeanDefinition definition = BeanDefinitionBuilder
                            .genericBeanDefinition(FilterRegistrationBean.class)
                            .setScope(BeanDefinition.SCOPE_SINGLETON)
                            .addConstructorArgReference(name)
                            .addConstructorArgValue(new ServletRegistrationBean[]{})
                            .addPropertyValue("enabled", false)
                            .getBeanDefinition();

                    beanFactory.registerBeanDefinition(name + "FilterRegistrationBean",
                            definition);
                });
    }
}

关于这种技术的更多信息 - 这里 。

Answer 3

如果您需要禁用注册 2 个过滤器（就像我所做的那样），请包含 bean 的名称（这样它们就不会覆盖）：

@Bean(name = "filterRegistrationBean1")
public FilterRegistrationBean<YourFilter1> registration(YourFilter1 f1) {
    FilterRegistrationBean<YourFilter1> registration = new FilterRegistrationBean<>(f1);
    registration.setEnabled(false);
    return registration;
}

@Bean(name = "filterRegistrationBean2")
public FilterRegistrationBean<YourFilter2> registration(YourFilter2 f2) {
    FilterRegistrationBean<YourFilter2> registration = new FilterRegistrationBean<>(f2);
    registration.setEnabled(false);
    return registration;
}

Answer 4

我使用 aop 来做到这一点，使用 around pointcut 来连接你的过滤器，手动调用
filterChain.doFilter(request, response)

@Aspect
@Component
public class AspectDemo {

    @Around(value = "com.xxx.pointcut01()")
    public void around01(ProceedingJoinPoint joinPoint) throws Throwable {
        System.out.println("[Aspect-around01] start");

        ServletRequest request = (ServletRequest)Arrays.asList(
                ((MethodInvocationProceedingJoinPoint) joinPoint).getArgs()
        ).get(0);

        ServletResponse response = (ServletResponse)Arrays.asList(
                ((MethodInvocationProceedingJoinPoint) joinPoint).getArgs()
        ).get(1);


        FilterChain filterChain = (FilterChain)Arrays.asList(
                ((MethodInvocationProceedingJoinPoint) joinPoint).getArgs()
        ).get(2);

        filterChain.doFilter(request, response);

        //do not execute origin doFilter() method
        //joinPoint.proceed();
        System.out.println("[Aspect-around01] end");

    }

}