在 Spring 安全配置中订购定制过滤器

Question

我创建了两个自定义过滤器，一个负责验证 JWT ，一个负责处理ExpiredJwtException 。

我找到了以正确顺序调用它们的解决方案： Multiple Spring Security filters ，以便正确捕获ExpiredJwtException ：

http.antMatcher("jwtRequestFilter/exceptionHandlerFilter/**")
                .addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class)
                .antMatcher("jwtRequestFilter/**")
                .addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);

经过一些重构后，我发现我需要让它工作的是：

http.antMatcher("jwtRequestFilter/**")
                .addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class)
                .addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);

但我不明白antMatcher方法在这里是如何工作的。 antMatcher("jwtRequestFilter/exceptionHandlerFilter/**")或antMatcher("jwtRequestFilter/**")来保持正确的顺序。

antMatcher中的表达式是如何工作的？ **是否表示链中的其他过滤器，表达式开头的jwtRequestFilter是否表示它是最后一个过滤器？

Answer 1

antMatcher方法将匹配传入请求的路径，它与过滤器的名称无关。

来自antMatcher的 Javadoc：

允许将 HttpSecurity 配置为仅在匹配提供的 ant 模式时调用。

这意味着只有当传入请求与您提供的 ant 模式匹配时，才会调用您的自定义过滤器（以及过滤器链的 rest）。

考虑这个例子

http
    .antMatcher("/admin/**")
    .addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class)
    // ...

如果您向 GET "/admin/home" 发出请求，则会调用HttpSecurity ，该请求将由 customFilter 处理。

如果您向 GET "/user/home" 发出请求，则不会调用 HttpSecurity， HttpSecurity不会处理该请求。

要了解 ant 样式路径匹配的工作原理，请参阅AntPathMatcher的 Javadoc。

Answer 2

您需要每个端点的 HttpSecurity 配置。

@Configuration
@Order(1)
public class JwtExceptionHandleConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        final Filter exceptionHandlerFilter = new ExceptionHandlerFilter();

        http.antMatcher("/jwtRequestFilter/exceptionHandlerFilter/**")
            .addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class);
    }

}

@Configuration
@Order(2)
public class JwtRequestConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        final Filter jwtRequestFilter = new JwtRequestFilter();
        final Filter exceptionHandlerFilter = new ExceptionHandlerFilter();

        http.antMatcher("/jwtRequestFilter/**")
            .addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class)
            .addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class);

    }
}

也可以看看：

16.3. 多个 HttpSecurity

在 Spring 安全配置中订购定制过滤器

问题描述

2 个解决方案

解决方案1
1 已采纳 2021-02-18 17:19:55

解决方案2
0 2021-02-18 19:39:11

在 Spring 安全配置中订购定制过滤器

问题描述

2 个解决方案

解决方案1 1 已采纳 2021-02-18 17:19:55

解决方案2 0 2021-02-18 19:39:11

解决方案1
1 已采纳 2021-02-18 17:19:55

解决方案2
0 2021-02-18 19:39:11