SpringSecurity自定义Filter的ignoring()失效问题源码分析

原创 已于 2022-07-26 10:37:44 修改 · 2.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
未经作者允许,不得私自转载、抄袭。
文章标签:

#前端 #java #开发语言

于 2022-07-22 17:02:57 首次发布
本文深入探讨了Spring Boot应用中过滤器的注册与工作原理,重点分析了Spring Security的Filter实现,包括过滤链的创建、过滤器的忽略配置以及SecurityFilter的代理类生成。在实践中遇到的问题是自定义的JwtAuthenticationFilter未被ignoring()配置忽略,原因是自定义的Filter被注册为Spring Bean导致不受SecurityConfig控制。解决方案是通过理解Spring Security的过滤器链和代理机制,确保自定义过滤器正确地由Security管理。

目录

问题

分析问题

服务器的Filter实现原理

注册Filter

Filter过滤流程

Security Filter原理

代理类生成​​​​​​​

配置的注入

Filter注册为bean的问题

 总结

问题

如下面代码,将JwtAuthenticationFilter注入到spring中,然后通过HttpSecurity对象将Filter添加到SecrityConfig配置中,然后配置的ignoring()不会生效。每次请求还是会走JwtAuthenticationFilter这个Filter。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean(BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public JwtAuthenticationFilter jwtAuthenticationFilter() {
        return new JwtAuthenticationFilter();
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .cors()
                .and()
                .csrf()
                .disable()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .anyRequest()
                .permitAll();

        http.addFilter(jwtAuthenticationFilter());
    }


    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers("/auth","/");
    }
}

查阅了很多资料都没看到有人在源码层面上分析,于是自己根据各个模块源码梳理了下流程。

分析问题

想要解决这个问题,必须了解Secutity的Filter和Spring Filter实现的区别。

阅读源码,让我们一步一步揭开他们的神秘面纱。

服务器的Filter实现原理

注册Filter

这是调用栈,通过debug的方式,让我们分析源码更加简单:

Spring Boot 启动入口

   public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

 SpringApplication中run的主要流程:

            ApplicationArguments applicationArguments = new DefaultApplicationArguments(args);
            ConfigurableEnvironment environment = this.prepareEnvironment(listeners, applicationArguments);
            this.configureIgnoreBeanInfo(environment);
            Banner printedBanner = this.printBanner(environment);
            //获取需要刷新的上下文            
context = this.createApplicationContext();
            exceptionReporters = this.getSpringFactoriesInstances(SpringBootExceptionReporter.class, new Class[]{ConfigurableApplicationContext.class}, context);
            this.prepareContext(context, environment, listeners, applicationArguments, printedBanner);
            //刷新上下文
            this.refreshContext(context);
            this.afterRefresh(context, applicationArguments);
            stopWatch.stop();

获取到 AnnotationConfigServletWebServerApplicationContext上下文:

    protected ConfigurableApplicationContext createApplicationContext() {
        Class<?> contextClass = this.applicationContextClass;
        if (contextClass == null) {
            try {
                switch(this.webApplicationType) {
                case SERVLET:
                    contextClass = Class.forName("org.springframework.boot.web.servlet.context.AnnotationConfigServletWebServerApplicationContext");
                    break;
                case REACTIVE:
                    contextClass = Class.forName("org.springframework.boot.web.reactive.context.AnnotationConfigReactiveWebServerApplicationContext");
                    break;
                default:
                    contextClass = Class.forName("org.springframework.context.annotation.AnnotationConfigApplicationContext");
                }
            } catch (ClassNotFoundException var3) {
                throw new IllegalStateException("Unable create a default ApplicationContext, please specify an ApplicationContextClass", var3);
            }
        }

然后到ServletWebServerApplicationContext中调用createWebServer() 方法创建服务器:


    protected void onRefresh() {
        super.onRefresh();

        try {
            this.createWebServer();
        } catch (Throwable var2) {
            throw new ApplicationContextException("Unable to start web server", var2);
        }
    }
    private void createWebServer() {
        WebServer webServer = this.webServer;
        ServletContext servletContext = this.getServletContext();
        if (webServer == null && servletContext == null) {
            ServletWebServerFactory factory = this.getWebServerFactory();
            this.webServer = factory.getWebServer(new ServletContextInitializer[]{this.getSelfInitializer()});
        } else if (servletContext != null) {
            try {
                this.getSelfInitializer().onStartup(servletContext);
            } catch (ServletException var4) {
                throw new ApplicationContextException("Cannot initialize servlet context", var4);
            }
        }

        this.initPropertySources();
    }

在this.getSelfInitializer()中初始化配置:

    private ServletContextInitializer getSelfInitializer() {
        return this::selfInitialize;
    }

    private void selfInitialize(ServletContext servletContext) throws ServletException {
        this.prepareWebApplicationContext(servletContext);
        this.registerApplicationScope(servletContext);
        WebApplicationContextUtils.registerEnvironmentBeans(this.getBeanFactory(), servletContext);
        // 将spring bean配置到servlet context中
        Iterator var2 = this.getServletContextInitializerBeans().iterator();

        while(var2.hasNext()) {
            ServletContextInitializer beans = (ServletContextInitializer)var2.next();
            beans.onStartup(servletContext);
        }

    }

ServletContextInitializerBeans在构造函数中将Spring bean中Filter注册到Serlet的上下文中:

  public ServletContextInitializerBeans(ListableBeanFactory beanFactory, Class<? extends ServletContextInitializer>... initializerTypes) {
        this.initializerTypes = initializerTypes.length != 0 ? Arrays.asList(initializerTypes) : Collections.singletonList(ServletContextInitializer.class);
        this.addServletContextInitializerBeans(beanFactory);
        this.addAdaptableBeans(beanFactory);
        List<ServletContextInitializer> sortedInitializers = (List)this.initializers.values().stream().flatMap((value) -> {
            return value.stream().sorted(AnnotationAwareOrderComparator.INSTANCE);
        }).collect(Collectors.toList());
        this.sortedList = Collections.unmodifiableList(sortedInitializers);
        this.logMappings(this.initializers);
    }



private void addServletContextInitializerBeans(ListableBeanFactory beanFactory) {
        Iterator var2 = this.initializerTypes.iterator();

        while(var2.hasNext()) {
            Class<? extends ServletContextInitializer> initializerType = (Class)var2.next();
            Iterator var4 = this.getOrderedBeansOfType(beanFactory, initializerType).iterator();

            while(var4.hasNext()) {
                Entry<String, ? extends ServletContextInitializer> initializerBean = (Entry)var4.next();
                this.addServletContextInitializerBean((String)initializerBean.getKey(), (ServletContextInitializer)initializerBean.getValue(), beanFactory);
            }
        }

    }



 private void addServletContextInitializerBean(String beanName, ServletContextInitializer initializer, ListableBeanFactory beanFactory) {
        if (initializer instanceof ServletRegistrationBean) {
            Servlet source = ((ServletRegistrationBean)initializer).getServlet();
            this.addServletContextInitializerBean(Servlet.class, beanName, initializer, beanFactory, source);
            //FilterRegistration用于将filter注册到Serlet的上下文中(Security使用的该方法)
        } else if (initializer instanceof FilterRegistrationBean) {
            Filter source = ((FilterRegistrationBean)initializer).getFilter();
            this.addServletContextInitializerBean(Filter.class, beanName, initializer, beanFactory, source);
        } else if (initializer instanceof DelegatingFilterProxyRegistrationBean) {
            String source = ((DelegatingFilterProxyRegistrationBean)initializer).getTargetBeanName();
            this.addServletContextInitializerBean(Filter.class, beanName, initializer, beanFactory, source);
        } else if (initializer instanceof ServletListenerRegistrationBean) {
            EventListener source = ((ServletListenerRegistrationBean)initializer).getListener();
            this.addServletContextInitializerBean(EventListener.class, beanName, initializer, beanFactory, source);
        } else {
            this.addServletContextInitializerBean(ServletContextInitializer.class, beanName, initializer, beanFactory, initializer);
        }

    }

    //将Servlet、Filter注册到Servlet容器中
    protected void addAdaptableBeans(ListableBeanFactory beanFactory) {
        MultipartConfigElement multipartConfig = this.getMultipartConfig(beanFactory);
        this.addAsRegistrationBean(beanFactory, Servlet.class, new ServletContextInitializerBeans.ServletRegistrationBeanAdapter(multipartConfig));
        this.addAsRegistrationBean(beanFactory, Filter.class, new ServletContextInitializerBeans.FilterRegistrationBeanAdapter());
        Iterator var3 = ServletListenerRegistrationBean.getSupportedTypes().iterator();

        while(var3.hasNext()) {
            Class<?> listenerType = (Class)var3.next();
            this.addAsRegistrationBean(beanFactory, EventListener.class, listenerType, new ServletContextInitializerBeans.ServletListenerRegistrationBeanAdapter());
        }

    }

Filter过滤流程

filter是对servlet进行过滤的,到底它是怎么起到过滤的呢?

通过debug查看调用栈的关系,可以看到Tomcat在接受到request的请求后,会先获取过滤器链:

 而后遍历并调用过滤器链,发起过滤流程:

     filterChain.doFilter(request.getRequest(), response.getResponse());

Security Filter原理

代理类生成

这里的我们可以看到关于spring security相关的类DelegatingFilterProxyRegistrationBean,这个

DelegatingFilterProxyRegistrationBean就是我们分析security的入口:

 

Spring Boot 会自动装配SecurityFilterAutoConfiguration这个类,创建DelegatingFilterProxyRegistrationBean bean,代理的目标对象是名为"springSecurityFilterChain"的bean,后续这个"springSecurityFilterChain"会在自动装配的配置文件中创建,后续的过滤入口就在它。

@Configuration
@ConditionalOnWebApplication(type = Type.SERVLET)
@EnableConfigurationProperties(SecurityProperties.class)
@ConditionalOnClass({ AbstractSecurityWebApplicationInitializer.class, SessionCreationPolicy.class })
@AutoConfigureAfter(SecurityAutoConfiguration.class)
public class SecurityFilterAutoConfiguration {

	private static final String DEFAULT_FILTER_NAME = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME;

	@Bean
	@ConditionalOnBean(name = DEFAULT_FILTER_NAME)
	public DelegatingFilterProxyRegistrationBean securityFilterChainRegistration(
			SecurityProperties securityProperties) {
		DelegatingFilterProxyRegistrationBean registration = new DelegatingFilterProxyRegistrationBean(
				DEFAULT_FILTER_NAME);
		registration.setOrder(securityProperties.getFilter().getOrder());
		registration.setDispatcherTypes(getDispatcherTypes(securityProperties));
		return registration;
	}

	private EnumSet<DispatcherType> getDispatcherTypes(SecurityProperties securityProperties) {
		if (securityProperties.getFilter().getDispatcherTypes() == null) {
			return null;
		}
		return securityProperties.getFilter().getDispatcherTypes().stream()
				.map((type) -> DispatcherType.valueOf(type.name()))
				.collect(Collectors.collectingAndThen(Collectors.toSet(), EnumSet::copyOf));
	}

}

Tomcat在启动的时候会调用所有RegistrationBean的onStartup()方法:


public abstract class RegistrationBean implements ServletContextInitializer, Ordered {

  public final void onStartup(ServletContext servletContext) throws ServletException {
        String description = this.getDescription();
        if (!this.isEnabled()) {
            logger.info(StringUtils.capitalize(description) + " was not registered (disabled)");
        } else {
            this.register(description, servletContext);
        }
    }

}

然后通过父类的AbstractFilterRegistrationBean的getDescription()方法调用到

DelegatingFilterProxyRegistrationBeangetFilter()方法:

    protected String getDescription() {
        Filter filter = this.getFilter();
        Assert.notNull(filter, "Filter must not be null");
        return "filter " + this.getOrDeduceName(filter);
    }

为Secrity生成一个代理类,后续的过滤在代理类中完成:

    public DelegatingFilterProxy getFilter() {
        return new DelegatingFilterProxy(this.targetBeanName, this.getWebApplicationContext()) {
            protected void initFilterBean() throws ServletException {
            }
        };
    }

配置的注入


Springboot 自动装配了SecurityAutoConfiguration配置类:

然后通过import引入WebSecurityEnablerConfiguration配置,WebSecurityEnablerConfiguration类又开启了@EnableWebSecurity注解,EnableWebSecurity类注解引入了WebSecurityConfiguration配置类。

@Configuration
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
		SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {

	@Bean
	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
	public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
		return new DefaultAuthenticationEventPublisher(publisher);
	}

}


@Configuration
@ConditionalOnBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(name = BeanIds.SPRING_SECURITY_FILTER_CHAIN)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
@EnableWebSecurity
public class WebSecurityEnablerConfiguration {

}


@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value = { java.lang.annotation.ElementType.TYPE })
@Documented
@Import({ WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;
}

WebSecurityConfiguration中申明了"springSecurityFilterChain" bean,

	@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
	public Filter springSecurityFilterChain() throws Exception {
		boolean hasConfigurers = webSecurityConfigurers != null
				&& !webSecurityConfigurers.isEmpty();
		if (!hasConfigurers) {
			WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
					.postProcess(new WebSecurityConfigurerAdapter() {
					});
			webSecurity.apply(adapter);
		}
		return webSecurity.build();
	}

 然后调用build()->doBuild()->init()、初始化HttpSecurity配置、初始化WebSecurity配置、初始化过滤器链、忽视的过滤器链。

//省略中间调用	
protected final O doBuild() throws Exception {
		synchronized (configurers) {
			buildState = BuildState.INITIALIZING;

			beforeInit();
			init();

			buildState = BuildState.CONFIGURING;

			beforeConfigure();
			configure();

			buildState = BuildState.BUILDING;

			O result = performBuild();

			buildState = BuildState.BUILT;

			return result;
		}
	}

debug时可以看到生成了五个过滤器的chain,包含四个ignoring()的chain。 

 performBuild()返回的是一个FilterChainProxy,其实就是一个Filter,下面是类图:

后续的过滤都被FilterChainProxy代理了, 通过遍历调用chain.doFilter(fwRequest, fwResponse)完成请求的过滤:


    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
        if (clearContext) {
            try {
                request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
                this.doFilterInternal(request, response, chain);
            } finally {
                SecurityContextHolder.clearContext();
                request.removeAttribute(FILTER_APPLIED);
            }
        } else {
            this.doFilterInternal(request, response, chain);
        }

    }


    private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FirewalledRequest fwRequest = this.firewall.getFirewalledRequest((HttpServletRequest)request);
        HttpServletResponse fwResponse = this.firewall.getFirewalledResponse((HttpServletResponse)response);
        List<Filter> filters = this.getFilters((HttpServletRequest)fwRequest);
        if (filters != null && filters.size() != 0) {
            FilterChainProxy.VirtualFilterChain vfc = new FilterChainProxy.VirtualFilterChain(fwRequest, chain, filters);
            vfc.doFilter(fwRequest, fwResponse);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(fwRequest) + (filters == null ? " has no matching filters" : " has an empty filter list"));
            }

            fwRequest.reset();
            chain.doFilter(fwRequest, fwResponse);
        }
    }

 doFilterInternal()中获取匹配的所有过滤器:

List<Filter> filters = this.getFilters((HttpServletRequest)fwRequest);
 private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FirewalledRequest fwRequest = this.firewall.getFirewalledRequest((HttpServletRequest)request);
        HttpServletResponse fwResponse = this.firewall.getFirewalledResponse((HttpServletResponse)response);
        List<Filter> filters = this.getFilters((HttpServletRequest)fwRequest);
        if (filters != null && filters.size() != 0) {
            FilterChainProxy.VirtualFilterChain vfc = new FilterChainProxy.VirtualFilterChain(fwRequest, chain, filters);
            vfc.doFilter(fwRequest, fwResponse);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug(UrlUtils.buildRequestUrl(fwRequest) + (filters == null ? " has no matching filters" : " has an empty filter list"));
            }

            fwRequest.reset();
            chain.doFilter(fwRequest, fwResponse);
        }
    }

在之前的四个忽略的过滤器链中会匹配到,但是Filters是空的。因为在初始化的时候已经根据配置把Filters设置为空了: 

    private List<Filter> getFilters(HttpServletRequest request) {
        Iterator var2 = this.filterChains.iterator();

        SecurityFilterChain chain;
        do {
            if (!var2.hasNext()) {
                return null;
            }

            chain = (SecurityFilterChain)var2.next();
        } while(!chain.matches(request));

        return chain.getFilters();
    }

 可以看到我们忽略的请求的过滤器是空的,这时候直接跳过:

Filter注册为bean的问题

如果将我们在security中的filter注册为bean,那么它就是一个全局的过滤器,如上面关于tomcat 是如何加载Filter的分析。

如下图是Tomcat获取的所有过滤器链。FilterBean会被加载到servler上下文,和security 的FilterChainProxy同一等级。

将不会受security config的控制。配置的ignoring()将会失效,每次请求都会走到你自定义的filter中。

所以我们必须new一个对象,把对象交给Security管理,才能时ignoring()生效。

 总结

其中涉及到源码模块分别为:

  • Spring Boot中服务器的启动流程,这里初始化我们Filter;
  • Spring Boot中服务器接受请求,过滤器链调用过程
  • Spring Security自动装配Filter代理类、ignore()等配置信息装配过程;
  • Spring Security真实Filters调用过程

根据上述几点结合源码,通过端点、线程栈的查看基本能清楚其脉络。

下图简要概括了Secutiry的Filter和Spring Filter的Bean的关系:

宠辱不惊 看庭前花开花落

去留无意 看天上云卷云舒

                                                                                        

仿牛客项目SpringSecurity学习
秃头计划2.0
09-07 430
AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点,因为在实际需求中,我们可能会允许用户使用用户名+密码登录,同时允许用户使用邮箱+密码,手机号码+密码登录,甚至,可能允许用户使用指纹登录(还有这样的操作?对于权限的控制是比较靠前的。getPrincipal(),最重要的身份信息,大部分情况下返回的是UserDetails接口的实现类,也是框架中的常用接口之一。由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
SpringSecurity 配置与使用(含新 API 替换过时的 WebSecurityConfigurerAdapter)
泡泡的博客
10-28 5573
As we all know,现今主流权限框架有 SpringSecurity、Shiro、SaToken,Shiro在前后端分离时代基本被淘汰,剩下适合大型项目的和 适合中小型项目的SaToken可以选择,SaToken 我也写了文章Springboot 使用 SaToken 进行登录认证、权限管理以及路由规则接口拦截。
SpringSecurity web.ignoring()不起作用分析
c630843901的博客
07-25 1855
虽然在WebSecurity.ignoring().antMatchers()中配置了自己要放行的地址,但是我定义了自定义的过滤器。然而自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。请注意如若只在自己的过滤器中设置白名单还不行,因为请求还会走SpringSecurity的过滤器链,必须两边都配置。如果只想配置一边,可以在自己过滤器放行请求时,直接给本次请求设置一个默认的认证身份。
springSecurity自定义过滤器不生效问题排查
毅香雪海的博客
08-01 3374
springSecurity自定义过滤器不生效问题
spring security踩坑记录(web.ignoring不生效、无法@Autowired注入其他组件)
allen
08-12 5867
spring Security版本:1.5.10 1、spring Security的web.ignoring不生效: 原因分析: 自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。 解决办法: 自定义过滤器不能以bean的形式注入spring IOC,交给容器管理,检查自定义过滤器是否有以@bean、@component、@configuration的形式注入到spring IOC容器,如果有去掉即可。 2、自定义过滤器无法@A
Day238.shiro和SpringSecurity对比、HttpBasic&formLogin模式登陆认证模式、自定义登陆验证结果处理等 -springsecurity-jwt-oauth2
阿昌爱Java
04-04 2166
1、spring-security简介并与shiro对比 一、 SpringSecurity 框架简介 官网:https://projects.spring.io/spring-security/ 源代码: https://github.com/spring-projects/spring-security/ Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录与资源授权的应用安全框架。 SpringSecurity 的核心功能: Authentication:身份认
Spring Boot ,Spring Security的Filter在Tomcat正常,部署在Weblogic 12c Filter顺序出错,导致拦截权限不生效问题
记录工作的常用技术、技能技巧
11-27 3618
Spring Boot使用main函数启动或在tomcat中启动时,Filter是按照正常的顺序执行拦截,将工程打包为war包,部署到weblogic上时,Filter执行顺序错乱,导致权限拦截出错。 最近公司的一个项目使用Spring Boot开发,前期也做了技术评估,打包成war到Tomcat和Weblogic 12c上运行,静态资源和RequestMapping访问均正常,以为万事大吉,就
springsecurity白名单失效
最新发布
03-19
嗯,用户遇到了Spring Security中白名单配置失效问题,需要找出原因和解决方案。首先,我得回忆一下Spring Security的基本配置方式。用户提供的代码示例中,他们使用了`antMatchers("/files/**").permitAll()`来...
从入门到精通 SpringSecurity & Auth2.0
安静的软件工程师
08-16 1133
从入门到精通 SpringSecurity & Auth2.0
SpringSecurity 6 自定义Filter无效解决方案
m0_66728699的博客
10-07 919
【代码】SpringSecurity 6 自定义Filter无效解决方案。
Spring Security3边学边写(N)会话管理和并行控制
sb33060418的专栏
10-09 460
开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢? Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。 本次实...
spring boot spring security 自定义 filter FilterSecurityInterceptor 访问资源 静态资源 和 不需要权限访问都失效
热门推荐
laokaizzz的专栏
09-06 1万+
问题:spring boot security 中, filters="none"  对应哪个? 自定义AbstractSecurityInterceptor后  静态资源也进入拦截器,登陆页面,permitall 也失效, 还是进入了filter 参考:http://blog.51cto.com/winters1224/2052034 调试源代码发现,采用默认的 FilterSecurit...
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 3349
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链。
Spring Security 5.x 配置ignoring不生效问题(已解决)
一米阳光给的温暖
10-25 852
webSecurity中忽略路径,但是仍然会被Spring Security过滤器拦截到。解决方案是不要将自定义过滤器交给Spring管理,也就是移除自定义过滤器的@Component的注解,并且将自定义过滤器以new的方式手动传入过滤器链中,这时候ignoring配置的路径就生效了。
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 6805
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
SpringSecurity中由于自定义过滤器导致无法使用remember-me的问题解决
qq_26147675的博客
09-01 1386
        今天给web项目的登录页面增加自动登录功能,选择使用SpringSecurity自带的remmeber-me功能键,但是前端页面传值remember-me:on始终无法起作用,在SpringSecurity源码中进行断点,发现可能是由于没有使用SpringSecurity自带的过滤器设置,使用了自定义过滤器(为了实现json传值登录)的原因。在此做个记录。     &nb
spring security 过滤器问题
qq_45295794的博客
11-28 412
spring security 自定义验证码过滤器后 验证码都加载不出来了。没写过滤器时验证码还好好的,经过检查 ,好久才发现是过滤器里面没写filterChain,没让过滤器链继续往后执行。。。 filterChain.doFilter(httpServletRequest, httpServletResponse); ...
【springboot跨域】自定义拦截器与自定义过滤器互斥、springsecurity拦截预检请求OPTIONS
weixin_41955471的博客
01-19 2750
问题描述: 由于在项目中自定义了一个拦截器,这个拦截器会在filter过滤器之前执行,并且在此中间还会被springSecurity拦截一次,前端请求会先发送一次预检请求,由于SpringSecurity对该OPTIONS请求进行了拦截,发现头部没有携带Token信息,直接返回了401的状态,浏览器认为预检请求不通过,之后的真实请求当然也认为是不通过的。 解决方案: 因为使用的是SpringBoot+SpringSecurity框架,所以需要编写Cors跨域的配置,并在WebSecurityCon
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知始行末

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值