java filter 跳过_java – Spring安全绕过URL或过滤器

最新推荐文章于 2023-03-13 10:59:03 发布
最新推荐文章于 2023-03-13 10:59:03 发布
阅读量1.2k 收藏 2
点赞数
文章标签: java filter 跳过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42356475/article/details/114517589
版权

我有一个只暴露REST API的Spring Boot应用程序.我需要保护它并且我使用基于令牌的方法 – 特别是JWT.

到目前为止,这是我实施的:

//

// The Spring Security configuration class

@EnableGlobalAuthentication

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override

protected void configure(final HttpSecurity http) throws Exception {

http

.csrf().disable()

.authorizeRequests()

.antMatchers("/api/login", "/api/logout").permitAll()

.antMatchers("/api/**").authenticated()

.anyRequest().authenticated()

.and()

.addFilterBefore(new JwtFilter(), BasicAuthenticationFilter.class)

.sessionManagement()

.sessionCreationPolicy(SessionCreationPolicy.STATELESS);

}

}

//

// The JWT filter class to check for the token in the HTTP request (headers)

public final class JwtFilter extends GenericFilterBean {

private final Logger logger = LoggerFactory.getLogger(this.getClass());

@Override

public void doFilter(final ServletRequest request, final ServletResponse response, final FilterChain chain) throws

IOException, ServletException {

final HttpServletRequest req = (HttpServletRequest)request;

final String header = req.getHeader("Authorization");

logger.debug("{} {}", req.getMethod(), req.getRequestURI());

if ((null == header) || !header.startsWith("Bearer ")) {

logger.debug("Missing or invalid Authorization header");

}

try {

// Check the token here; the implementation is not relevant here

/*SecurityContextHolder.getContext()

.setAuthentication(manager.authenticate(new JwtToken(JWTParser.parse(header.substring(7)))));*/

chain.doFilter(request, response);

} catch (final AuthenticationException e) {

SecurityContextHolder.clearContext();

// Do some other stuff here

} catch (final ParseException e) { /* ... */ }

}

}

问题是过滤器对每个URI都正确执行,但我希望能够从同一个集合中排除某些端点.我的API放在这个上下文/ api / *中,我想排除,例如/ api / login和/ api / logout.

注意:我的Spring Boot application.yml文件没有启用/修改任何安全相关功能的设置.

解决方法:

将对通过HttpSecurity配置的所有端点执行过滤器.如果您不希望对某些端点应用过滤器,请将它们包含在配置WebSecurity的方法中.例如,

@Override

public void configure(WebSecurity web) throws Exception {

web

.ignoring()

.antMatchers("/api/login", "/api/logout");

}

有关详细信息,请阅读this post.

标签:java,spring-boot,spring-security

来源: https://codeday.me/bug/20190722/1503186.html

诺北
关注
【网络安全 | Java代码审计】华夏ERP(jshERP)v2.3
等风来
10-10 372
该ERP系统是基于典型的Spring框架。在进行代码审计前,可以优先查看 pom.xml 文件,以分析是否存在漏洞组件。例如,常见的组件漏洞可能包括 CommonsBeanutils 和 Fastjson 版本低于1.2.75等。
Spring微服务实战第6章 使用Spring Cloud和Zuul进行服务路由
天空鸟的博客
09-07 394
第6章 使用Spring Cloud和Zuul进行服务路由 本章主要内容 结合微服务使用服务网关 使用Spring Cloud和Netflix Zuul实现服务网关 在Zuul中映射微服务路由 构建过滤器以使用关联ID并进行跟踪 使用Zuul进行动态路由 在像微服务架构这样的分布式架构中,需要确保跨多个服务调用的关键行为的正常运行,如安全、日志记录和用户跟踪。要实现此功能,开发人员需要在所有服务中始终如一地强制这些特性,而不需要每个开发团队都构建自己的解决方案。虽然可以使用公共库或框架来帮助在单个服务中
玩转Spring!从拒绝Filter开始
义臻的博客
11-25 7708
一直以来,博客都是在写一些读书笔记或者学习心得。俗话说,举一反三,是时候沉淀一下了。索性这把这篇文章作为开端吧!笔者知道,这篇文章的题目一定让某些developer不爽,尤其是学习过J2EE基础的人。学习过J2EE基础的童鞋,一定有自己写listener,filter和servlet的经验。经验多一些是好事,但不要陶醉于自己的经验,作为developer,我们还是要进步滴,尤其是在使用Spring...
模拟springmvc 内部登陆,跳过spring filter
afutm26628的专栏
10-04 235
说明,因为我们的一个项目B使用spring mvc配置的登陆框架,所以对登陆控制全部交给了spring,导致我们如果想通过另一个项目A登陆到项目B就不太容易,具体是项目A登陆了,我们通过一个连接直接跳转到项目B, 前提,项目A用户名密码和项目B的用户名密码必须是一样的 难点:1.项目A用密文登陆,即前端JS对密码加密后传递给后天,但是项目B是明文直接传递给spring框架 思路:我...
java spring filter_Spring常用注解及自定义Filter的实现
weixin_39622150的博客
02-12 189
@Configuration通常用在配置类上,告诉spring这是一个配置类(配置类类似配置文件,区别在于用类的形式来表现xml;@Service用于标注业务层组件service层,@Controller用于标注控制层组件(如struts中的action) ,@Repository用于标注数据访问组件,即DAO组件,@component把普通pojo实例化到spring容器中,相当于配置文件中的...
java filter 跳过_java-绕过Spring安全过滤器
weixin_32187037的博客
02-24 618
我遇到了同样的问题,因此我无法使“ web.ignoring().antMatchers(…)”正常工作.无论如何,我的自定义过滤器一直在被调用.有一种方法可以强制过滤器不影响给定的URL.我找到了这个答案:https://stackoverflow.com/a/19985323/7206367给出了可能允许特定于过滤器的排除的可行解决方案,但是它也可以用于强制执行URL排除覆盖.下面是我对这个问...
Springboot中跳过指定过滤器
最新发布
huanghong.top
03-13 2427
过滤器定义,filterDef中的FilterClass和FilterName保存了过滤器类和过滤器名,可以根据过滤器类或名字找到要剔除的过滤器,然后将对应的ApplicationFilterConfig 从数组里剔除就可以了。),filters中存放的是ApplicationFilterConfig 是FilterConfig的实现类,ApplicationFilterConfig中。filterChain有一个filters的属性数组(
java filter 跳过_Spring Boot Filter不过滤指定资源,绕过不需要过滤的资源
weixin_36132709的博客
02-24 1900
用富文本编辑器存到后台的是html,系统中有一个xxs防注入功能,所以到后台富文本的值别过滤变成纯文本了。如下图前台获取到的是正常的HTML数据到后台就被过滤成纯文本的汉字了这样展现的时候之前输入的东西样式全乱了首先找到项目Filter配置的类,找到过滤HTML的方法,加上不需要进行过滤的请求地址然后在对应的类中进行判断过滤这样就OK了。完整代码:importio.base.common.xs...
java 权限url权限_filter设计缺陷导致的权限绕过
weixin_39676348的博客
11-21 412
1.1 权限控制的本质一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前URI/URL是否具有相应的业务权限。1.2 常见权限控制的实现一般情况下,通常是获取到当前URI/URL,然后跟需要鉴权的接口进行⽐对,或者直接结合startsWith()或者endsWith()方法,...
Java面试题整理_P1
weixin_59834709的博客
06-23 1045
Java面试题整理
Servlet 跳过特定的过滤器Filter
余金兑人的技术角落
11-19 1778
最近维护一个老的SpringMVC的应用,增加CAS单点登录。但是有个特殊的需求是保留系统本身的认证,根据需要可以走CAS单点登录认证,也可以走系统本身的认证。 设计的方案是根据输入的URL进行判断,是否跳过CAS的Filter还是跳过系统本来的认证Filter。 下面上代码: POM文件: <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>ca.
安全过滤器
godslife_yeah_net的专栏
03-19 1004
Spring Security的web架构是完全基于标准的servlet过滤器的。 它没有在内部使用servlet或任何其他基于servlet的框架(比如spring mvc), 所以它没有与任何特定的web技术强行关联。 它只管处理HttpServletRequest 和HttpServletResponse,不关心请求时来自浏览器,web服务客户端,HttpInvoker还是一个AJAX应用。
Spring Boot Filter(xss)不过滤指定资源,绕过不需要过滤的资源
weixin_42218890的博客
12-14 754
Spring Boot Filter(xss)不过滤指定资源
java元注解+拦截器实现自定义注解(自定义依赖注入)
闲走天涯的博客
08-19 532
java元注解+拦截器实现自定义注解 demo代码下载 java元注解+拦截器实现自定义注解 元注解说明 java 四种元注解@Target、@Retention、@Documented 和@Inherited @CmwAutoWired:自定义依赖注入 注意:注入的接口和实现类需要在同一包名下,注解的是类则无限制 @FieldAnnotation:自定义属性注解 @MethodAnnotation:自定义方法注解 @MethodParam:自定义方法参数注解 1.web MVC配置 /** * 描述:
通过自定义注解排除不需要过滤URL的方法
weixiaohuai的博客
10-16 3466
一、简介 最近在项目中,使用过滤器的时候,在设置哪些URL需要过滤,哪些URL不需过滤时,一开始想着用配置文件的形式进行配置(当然这种方法也可行),但是我想了想有没有更加优雅的方式,这种URL硬编码在配置文件里面并不太友好,也不好维护,于是我想到了用自定义注解的形式来配置哪些URL进行排除在外,下面就介绍详细的实现步骤。 二、实现步骤 【a】创建springboot项目,pom.xml依赖文...
java代码审计--基于分号绕过漏洞
02-01 563
这里使用莫CMS的审计,基于;的绕过漏洞是java里带有的漏洞。中的函数,在tomcat下会存在漏洞。最终结果就是绕过鉴权的拦截器。可以看到对.ico是白名单。
跟我学springboot(二十五)springboot-过滤器之拦截不需要走过滤器的链接使用方法
热门推荐
木村的博客
09-29 4万+
1.创建项目 springboot怎么创建不多说了,前面博客已经有讲解,下面是我们创建好的项目目录。 2.编写代码 过滤器可以指定我们排除的参数exclusions,我们把需要隔离的url统一封装在这里,然后在webconfig配置filterReg.addInitParameter(“exclusions”,&quot;/gogo,/hello&quot;);就可以拦截这两个请求。比如访问: http://172...
spring过滤器、拦截器
骑个小蜗牛的博客
11-26 1万+
二者对比 过滤器是基于函数回调;拦截器是基于java的反射机制的。 过滤器依赖与servlet容器,拦截器不依赖与servlet容器(拦截器是Spring容器内的,是Spring框架支持的)。 因为Filter是Servlet规范中规定的,所有只能用于WEB中;而拦截器既可以用于WEB,也可以用于Application、Swing中。 过滤器是在请求进入tomcat容器后,但请求进入servlet之前进行预处理的;请求结束返回也是,是在servlet处理完后,返回给前端之前。 拦截器可以深入..
cas 单点登录实现指定url不过滤
qq_34125349的博客
11-09 1万+
背景:因为系统的庞大,所以将不同模块的系统放在不通的model模块中,这样在开发中可以一定程度上体现解耦的思想,不同模块之间的登录采用的是cas进行单点登录进行管理;但是开发过程中遇到一个问题,就是cas单点登录时,配置的过滤器是过滤所有的url请求的,及所有的请求url必须cas登录后才可以进行访问,但是有些url请求不需要登录的,比如注册请求url,这时我们就需要进行修改cas的过滤机制,但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值