spring security 动态不拦截指定请求

最新推荐文章于 2022-12-22 22:45:00 发布
最新推荐文章于 2022-12-22 22:45:00 发布
阅读量8.8k 收藏 17
点赞数 5
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_xue_xue/article/details/107359590
版权

方法一、简单配置

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        //ignore
        web.ignoring().antMatchers("/info","/css","/html");
    }
}

缺点:每次要新增一个免登陆的url的时候,就得重新启动一遍,不灵活。

方法二、动态增加不拦截请求

通过查看源码org.springframework.security.config.annotation.web.builders.WebSecurity

protected Filter performBuild() throws Exception {
        Assert.state(!this.securityFilterChainBuilders.isEmpty(), "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. Typically this done by adding a @Configuration that extends WebSecurityConfigurerAdapter. More advanced users can invoke " + WebSecurity.class.getSimpleName() + ".addSecurityFilterChainBuilder directly");
        int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();
        List<SecurityFilterChain> securityFilterChains = new ArrayList(chainSize);
        Iterator var3 = this.ignoredRequests.iterator();

        while(var3.hasNext()) {
            RequestMatcher ignoredRequest = (RequestMatcher)var3.next();
            securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest, new Filter[0]));
        }

        var3 = this.securityFilterChainBuilders.iterator();

        while(var3.hasNext()) {
            SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder = (SecurityBuilder)var3.next();
            securityFilterChains.add(securityFilterChainBuilder.build());
        }

        FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);
        if (this.httpFirewall != null) {
            filterChainProxy.setFirewall(this.httpFirewall);
        }

        filterChainProxy.afterPropertiesSet();
        Filter result = filterChainProxy;
        if (this.debugEnabled) {
            this.logger.warn("\n\n********************************************************************\n**********        Security debugging is enabled.       *************\n**********    This may include sensitive information.  *************\n**********      Do not use in a production system!     *************\n********************************************************************\n\n");
            result = new DebugFilter(filterChainProxy);
        }

        this.postBuildAction.run();
        return (Filter)result;
    }

DefaultSecurityFilterChain的构造器如下

public final class DefaultSecurityFilterChain implements SecurityFilterChain {
    private static final Log logger = LogFactory.getLog(DefaultSecurityFilterChain.class);
    private final RequestMatcher requestMatcher;
    private final List<Filter> filters;

    public DefaultSecurityFilterChain(RequestMatcher requestMatcher, Filter... filters) {
        this(requestMatcher, Arrays.asList(filters));
    }

    public DefaultSecurityFilterChain(RequestMatcher requestMatcher, List<Filter> filters) {
        logger.info("Creating filter chain: " + requestMatcher + ", " + filters);
        this.requestMatcher = requestMatcher;
        this.filters = new ArrayList(filters);
    }

    public RequestMatcher getRequestMatcher() {
        return this.requestMatcher;
    }

    public List<Filter> getFilters() {
        return this.filters;
    }

    public boolean matches(HttpServletRequest request) {
        return this.requestMatcher.matches(request);
    }

    public String toString() {
        return "[ " + this.requestMatcher + ", " + this.filters + "]";
    }
}

 从上面源码可以看到ignore请求会被封装成DefaultSecurityFilterChain,然后添加到securityFilterChains,然后将securityFilterChains交给FilterChainProxy代理,接下来看下FilterChainProxy的doFilter方法

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
        if (clearContext) {
            try {
                request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                this.doFilterInternal(request, response, chain);
            } finally {
                SecurityContextHolder.clearContext();
                request.removeAttribute(FILTER_APPLIED);
            }
        } else {
            this.doFilterInternal(request, response, chain);
        }

    }

    private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FirewalledRequest fwRequest = this.firewall.getFirewalledRequest((HttpServletRequest)request);
        HttpServletResponse fwResponse = this.firewall.getFirewalledResponse((HttpServletResponse)response);
        List<Filter> filters = this.getFilters((HttpServletRequest)fwRequest);
        if (filters != null && filters.size() != 0) {
            FilterChainProxy.VirtualFilterChain vfc = new FilterChainProxy.VirtualFilterChain(fwRequest, chain, filters);
            vfc.doFilter(fwRequest, fwResponse);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(fwRequest) + (filters == null ? " has no matching filters" : " has an empty filter list"));
            }

            fwRequest.reset();
            chain.doFilter(fwRequest, fwResponse);
        }
    }

    private List<Filter> getFilters(HttpServletRequest request) {
        Iterator var2 = this.filterChains.iterator();

        SecurityFilterChain chain;
        do {
            if (!var2.hasNext()) {
                return null;
            }

            chain = (SecurityFilterChain)var2.next();
        } while(!chain.matches(request));

        return chain.getFilters();
    }

从上面源码可以出,只需要从 FilterChainProxy中获取到属性List<SecurityFilterChain> filterChains值,然后动态往里面添加ignore请求即可。从源码HttpSecurityBeanDefinitionParser类的对象,可以在这个类中看到段静态代码,内容如下:

static void registerFilterChainProxyIfNecessary(ParserContext pc, Object source) {
        if (!pc.getRegistry().containsBeanDefinition("org.springframework.security.filterChainProxy")) {
            BeanDefinition listFactoryBean = new RootBeanDefinition(ListFactoryBean.class);
            listFactoryBean.getPropertyValues().add("sourceList", new ManagedList());
            pc.registerBeanComponent(new BeanComponentDefinition(listFactoryBean, "org.springframework.security.filterChains"));
            BeanDefinitionBuilder fcpBldr = BeanDefinitionBuilder.rootBeanDefinition(FilterChainProxy.class);
            fcpBldr.getRawBeanDefinition().setSource(source);
            fcpBldr.addConstructorArgReference("org.springframework.security.filterChains");
            fcpBldr.addPropertyValue("filterChainValidator", new RootBeanDefinition(DefaultFilterChainValidator.class));
            BeanDefinition fcpBean = fcpBldr.getBeanDefinition();
            pc.registerBeanComponent(new BeanComponentDefinition(fcpBean, "org.springframework.security.filterChainProxy"));
            pc.getRegistry().registerAlias("org.springframework.security.filterChainProxy", "springSecurityFilterChain");
        }
    }

可以看到pc.getRegistry().registerAlias("org.springframework.security.filterChainProxy", "springSecurityFilterChain");这里我们可以知道FilterChainProxy的bean的名字叫做springSecurityFilterChain。

因此我们的具体实现如下:

1.拿到FilterChainProxy 

2.通过反射拿到List<SecurityFilterChain> securityFilterChains

3.动态往securityFilterChains里面添加ignore请求urls即可

public void ignoreUrlAuthenication(String... urls) {
        FilterChainProxy obj = (FilterChainProxy) SpringContextUtil.getApplicationContext().getBean("springSecurityFilterChain");
        List<SecurityFilterChain> securityFilterChains = (List<SecurityFilterChain>) getProperty(obj,"filterChains");
        for (String url : urls) {
            securityFilterChains.add(new DefaultSecurityFilterChain(new AntPathRequestMatcher(url), new Filter[0]));
        }
       
    }

    private static Object getProperty(Object obj, String fieldName) {
        try {
            Field field = obj.getClass().getDeclaredField(fieldName);
            field.setAccessible(true);
            return field.get(obj);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

 

空~自由
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springsecurity拦截某个接口_Spring Security (一):Simple Demo
weixin_39881387的博客
11-26 5392
Simple Demo该系列都是基于前后端分离的方式,返回的数据都是使用的 JSON,以及使用了自定义的返回结果 starter:https://gitee.com/lin-mt/result-spring-boot。 源码地址:https://gitee.com/lin-mt/spring-boot-examples/tree/master/spring-security-data-permis...
springsecurity拦截某个接口_面试官:Spring Security 配置中的 and 到底该怎么理解?...
weixin_39746794的博客
11-29 3462
我们先来看一个简单的配置:这样的配置在 Spring Security 中很常见,通过 and 方法,可以将所有的配置连接在一起,一条线下来,所有的东西都配置好了。但是有小伙伴对这里的 and 表示很迷,不知道什么时候 and 方法该出场,什么时候 and 不该出场!所以今天松哥就花点时间来和大家聊一下这里的 and 方法,希望大家看完完整后,能够明白 and 到底怎么玩!1.原始配置在 Spri...
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 4439
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
基于注解方式实现Spring Security忽略拦截
皓亮君的博客
12-22 4801
一般像一些静态资源文件需要过滤掉安全认证,例如图片,.css,.js等静态资源文件,像这种在配置文件中指定比较方便。: String url=baseUrl+接口访问路径(/login) =/test/login。像这种需要忽略某个接口需要在Spring Security配置类中在代码中写死,非常的不灵活。测试用注解修饰的接口路径,可以正常访问,由此可看配置是正常。如果从配置文件中删除了过滤的接口名称则访问接口会返回403。忽略的接口访问路径规则以下文3.3的测试接口为例,添加配置类注入配置的参数。
Spring Security 文档
04-18
那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置文件中进行相应配置。 目前这种方式已经实现,并经过验证。 四是修改spring security的源代码,主要是修改InvocationSecurityMetadataSourceService和UserDetailsService两个类。 前者是将配置文件或数据库中存储的资源(url)提取出来加工成为url和权限列表的Map供Security使用,后者提取用户名和权限组成一个完整的(UserDetails)User对象,该对象可以提供用户的详细信息供AuthentationManager进行认证与授权使用。
springsecurity拦截某个接口_史上最简单的Spring Security教程(三):不拦截系统资源...
weixin_39540020的博客
11-26 2179
前面我们自定义了登录页,当然了,系统也有一些其它的页面,但是,这些页面犹如没有“化妆”一样,非常不美观。既然如此,我们就使用 Bootstrap、font-awesome 等前端技术,给页面“化化妆”。... <link type="text/css" rel="stylesheet" th:href="@{/css/bootstrap.min.css}" href="../static/c...
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1586
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
Spring Security)学习三:不拦截系统资源
希克的博客
08-28 1879
解决自定义登录页面,样式图片等丢失问题,根源是SpringSecurity将css、js、image等资源拦截。解除拦截就可以了。
spring security拦截action
persist in的博客
03-21 8826
1.首先spring security 过滤器在web.xml中的声明位置一定要在action之前,否则不报错,也不拦截action。2.spring security的filter-mapping 应该是/*3.一般struts2的filter-mapping 也应该是/*4.如果想使用welcome-file-list,通过jsp跳转,那么需要在struts.properties中配置:str...
SpringBoot配置拦截器对静态资源部分接口不实行拦截
qq_41244181的博客
01-09 1732
SpringBoot配置拦截器对静态资源部分接口不实行拦截 /** @ClassName WebSecurityConfig @Description @Author louk @Date 2020/1/8 23:10 */ import java.io.IOException; import javax.servlet.http.Cookie; import javax.servlet.ht...
一个注解搞定 Spring Security 忽略拦截
Java知音
12-20 1725
点击关注公众号,实用技术文章及时了解Spring Security 拦截问题一个注解搞定Spring Security 忽略拦截基于注解形式基于配置形式总结源码地址https://github.com/galaxy-sea/galaxy-blogs/tree/master/code/security-annotationSpring Security 拦截问题Spring Security是干啥的...
springsecurity拦截接口_一文详解Spring Security基于表单登录的认证模式
weixin_34688479的博客
01-25 1887
本文思维导图图1 思维导图原理探讨当我们在项目中引入 Spring Security 的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security 已经给我们安排的明明白白了,我们就从表单登录开始吧。在开始之前,我们可以站在 Spring Security 的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢?就我个人而言,我可能会考虑以下...
史上最简单的Spring Security教程(三):不拦截系统资源
银河架构师的博客
06-22 5289
前面我们自定义了登录页,当然了,系统也有一些其它的页面,但是,这些页面犹如没有“化妆”一样,非常不美观。既然如此,我们就使用Bootstrap、font-awesome等前端技术,给页面“化化妆”。 ... <link type="text/css" rel="stylesheet" th:href="@{/css/bootstrap.min.css}" href="../static/css/bootstrap.min.css"> <link type="text/css"...
springsecurity拦截接口_SpringBoot集成Spring Security入门体验
weixin_31976493的博客
01-25 2533
一、前言Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。二者区别Spring Security:重量级安全框架Apache Shiro:轻量级安全框架关于shiro的权限认证与授权可参考小编的另外一篇文章 : SpringBoot集成Shiro 实现动态加载权限二、SpringBoot集成Spring Security入门体验基本环...
springsecurity拦截某个接口_SpringSecurity 默认表单登录页展示流程源码
weixin_39554290的博客
11-26 1621
SpringSecurity 默认表单登录页展示流程源码本篇主要讲解 SpringSecurity提供的默认表单登录页 它是如何展示的的流程,涉及1.FilterSecurityInterceptor,2.ExceptionTranslationFilter ,3.DefaultLoginPageGeneratingFilter 过滤器,并且简单介绍了 AccessDecisionManager ...
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2265
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
springsecurity或者oauth2中设置某个开头的路径拦截,并且放行某个子路径
热门推荐
weixin_42844971的博客
04-16 1万+
@Override public void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/web/user/**").permitAll() ...
springsecurity配置不拦截
最新发布
03-16
可以通过在Spring Security配置中添加不需要拦截的路径或者资源,来实现不拦截的效果。具体可以使用以下方式: 1. 在WebSecurityConfigurerAdapter中重写configure方法,使用antMatchers方法来指定不需要拦截的路径,例如: ``` @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } ``` 上述配置表示,/public/**路径下的所有请求都不需要认证,其他路径下的请求需要认证。 2. 可以使用ignore方法来指定不需要拦截的资源,例如: ``` @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/resources/**"); } ``` 上述配置表示,/resources/**路径下的所有资源都不需要认证。 通过以上方式配置,就可以实现不拦截的效果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值