在 Spring 安全配置中訂購定制過濾器
[英]Ordering custom filters in Spring Security configuration
問題描述
我創建了兩個自定義過濾器,一個負責驗證 JWT ,一個負責處理ExpiredJwtException 。
我找到了以正確順序調用它們的解決方案: Multiple Spring Security filters ,以便正確捕獲ExpiredJwtException :
http.antMatcher("jwtRequestFilter/exceptionHandlerFilter/**")
.addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class)
.antMatcher("jwtRequestFilter/**")
.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
經過一些重構后,我發現我需要讓它工作的是:
http.antMatcher("jwtRequestFilter/**")
.addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class)
.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
但我不明白antMatcher方法在這里是如何工作的。 antMatcher("jwtRequestFilter/exceptionHandlerFilter/**")或antMatcher("jwtRequestFilter/**")來保持正確的順序。
antMatcher中的表達式是如何工作的? **是否表示鏈中的其他過濾器,表達式開頭的jwtRequestFilter是否表示它是最后一個過濾器?
2 個解決方案
解決方案1
1 已采納 2021-02-18 17:19:55
antMatcher方法將匹配傳入請求的路徑,它與過濾器的名稱無關。
來自antMatcher的 Javadoc:
允許將 HttpSecurity 配置為僅在匹配提供的 ant 模式時調用。
這意味着只有當傳入請求與您提供的 ant 模式匹配時,才會調用您的自定義過濾器(以及過濾器鏈的 rest)。
考慮這個例子
http
.antMatcher("/admin/**")
.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class)
// ...
如果您向 GET "/admin/home" 發出請求,則會調用HttpSecurity ,該請求將由 customFilter 處理。
如果您向 GET "/user/home" 發出請求,則不會調用 HttpSecurity, HttpSecurity不會處理該請求。
要了解 ant 樣式路徑匹配的工作原理,請參閱AntPathMatcher的 Javadoc。
解決方案2
0 2021-02-18 19:39:11
您需要每個端點的 HttpSecurity 配置。
@Configuration
@Order(1)
public class JwtExceptionHandleConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(final HttpSecurity http) throws Exception {
final Filter exceptionHandlerFilter = new ExceptionHandlerFilter();
http.antMatcher("/jwtRequestFilter/exceptionHandlerFilter/**")
.addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class);
}
}
@Configuration
@Order(2)
public class JwtRequestConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(final HttpSecurity http) throws Exception {
final Filter jwtRequestFilter = new JwtRequestFilter();
final Filter exceptionHandlerFilter = new ExceptionHandlerFilter();
http.antMatcher("/jwtRequestFilter/**")
.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class)
.addFilterBefore(exceptionHandlerFilter, FilterSecurityInterceptor.class);
}
}
也可以看看:
具有 Spring 安全性和 Java 配置的自定義身份驗證管理器
[英]Custom Authentication Manager with Spring Security and Java Configuration
Spring Boot Security:使用自定義身份驗證篩選器進行異常處理
[英]Spring Boot Security: Exception handling with custom authentication filters
在Web應用程序Java EE / Spring的一部分上實現自定義安全性/過濾器
[英]Implement custom security/filters on a part of a web app Java EE/Spring
Spring Security 配置中的 BcryptEncoder 配置
[英]BcryptEncoder configuration in Spring Security Configuration
如何在沒有配置的情況下將spring boot security用於自定義登錄頁面?
[英]How to use spring boot security for custom login page without configuration?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在Spring Security過濾鏈中添加嵌套的自定義過濾器
具有 Spring 安全性和 Java 配置的自定義身份驗證管理器
Spring Security 注解的排序
使用AntPathRequestMatcher的Spring安全過濾器
Spring Boot Security:使用自定義身份驗證篩選器進行異常處理
在Web應用程序Java EE / Spring的一部分上實現自定義安全性/過濾器
如何禁用Spring安全過濾器
Spring Security配置到Java配置
Spring Security 配置中的 BcryptEncoder 配置
如何在沒有配置的情況下將spring boot security用於自定義登錄頁面?
相關標簽