Spring Security自定义过滤器多次执行的问题

已于 2022-07-26 00:36:44 修改
阅读量1.6k 收藏 3
点赞数 1
分类专栏: java 文章标签: spring
于 2022-05-05 18:32:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44225096/article/details/124594824
版权 
public class TokenFilter implements Filter {
    public static final String HEADER_AUTH_NAME = "Authorization";

    @Autowired
    JWTProvider jwtProvider;

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {
        try {
            HttpServletRequest httpServletRequest = (HttpServletRequest) req;
            String authToken = httpServletRequest.getHeader(HEADER_AUTH_NAME);
            if (StringUtils.isNotBlank(authToken)) {
                // 从自定义tokenProvider中解析用户
                Authentication authentication = this.jwtProvider.getAuthentication(authToken);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
            // 调用后续的Filter,如果上面的代码逻辑未能复原“session”,SecurityContext中没有想过信息,后面的流程会检测出"需要登录"
            chain.doFilter(req, res);
        } catch (Exception ex) {
            throw new RuntimeException(ex);
        }
    }
}

当我们直接或间接的继承了Filter之后,Spring Security 会自动将过滤器添加多执行列表中。
如果我们仍将其添加到 WebSecurityConfigurerAdapter 中

@Configuration
public class MySecurityConfiguration extends WebSecurityConfigurerAdapter {


    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Autowired
    private LoginAuthenticationFilter loginAuthenticationFilter;

    @Autowired
    private TokenFilter tokenFilter;

    @Autowired
    private CorsConfigurationSource configurationSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(loginAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
//                .addFilterBefore(tokenFilter,UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .authorizeRequests()
                .antMatchers("/login","/register").permitAll()
                .anyRequest().authenticated()
                .and()
                .cors().configurationSource(configurationSource)
                // 关闭 csrf 保护
                .and()
                .csrf().disable()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        // 返回 json 格式的数据
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter writer = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<>(16);
                        map.put("status:", 200);
                        map.put("msg:","注销登录成功!");
                        writer.write(new ObjectMapper().writeValueAsString(map));
                        writer.flush();
                        writer.close();
                    }
                });
    }

    @Bean
    public PasswordEncoder passwordEncoderBean() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
}

就会对此过滤词执行两次。

分界线

在这里插入图片描述
有个朋友指出了问题,我会看了上面的说法,感觉之前的记录有比较大的问题。并没有把结论是怎么得来的放上去,现在回想也想不起来了。索性再次研究一下Spring中filter的运行机制。
首先从自定义的Filter执行了两次的问题出发,我们发现,这两次的执行是两条不同的过滤器链分别为:FilterChainProxy和ApplicationFilterChain。如下面两张图。
请添加图片描述
请添加图片描述
接下来我们就要了解一下这两条链
首先是FilterChainProxy:
下面这段代码是FilterChainProxy的doFilter方法也就是我们的TokenFilter的doFilter方法调用的chain.doFilter。

	@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
			if (currentPosition == size) {
				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " reached end of additional filter chain; proceeding with original chain");
				}

				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();

				originalChain.doFilter(request, response);
			}
			else {
				currentPosition++;

				Filter nextFilter = additionalFilters.get(currentPosition - 1);

				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " at position " + currentPosition + " of " + size
							+ " in additional filter chain; firing Filter: '"
							+ nextFilter.getClass().getSimpleName() + "'");
				}

				nextFilter.doFilter(request, response, this);
			}
		}
	}

从上面的代码我们可以看出当currentPosition == size时即chain内部的filter都执行之后,接下来会出现另外一个filterChain->
originalChain。而这个originalChain正是ApplicationFilterChain。自然的,接下来就会执行到ApplicationFilterChain中Filter,而这两个FilterChain中都包含了我们定义的TokenFilter。
在这里插入图片描述
了解到是因为两条FilterChain中都有customFilter的问题,但是为什么会是这样呢。
FilterChainProxy时我们通过addFilterBefore添加的
同时通过debug发现,
ApplicationFilterChain是StandardWrapperValue的invoke方法内创建的

ApplicationFilterChain filterChain =
                ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);

这里wrapper的值是关键
在这里插入图片描述
StandardEngine[Tomcat].StandardHost[localhost].TomcatEmbeddedContext[].StandardWrapper[dispatcherServlet]
继续往下看来到ApplicationFilterFactory.createFilterChain()内部
在ApplicationFilterFactory的第83行有这样两行代码:

StandardContext context = (StandardContext) wrapper.getParent();
        FilterMap filterMaps[] = context.findFilterMaps();

在这里插入图片描述
通过这两行代码可知ApplicationChain的Filter来源是wrapper.parent.filterMaps的值。
在ApplicationFilterFactory的109-115行是遍历这个map,将值add到ApplicationFilterChain中。

现在问题来到了wrapper.parent.filterMaps是何时初始化的问题上。
StandardWrapperValue103行

StandardWrapper wrapper = (StandardWrapper) getContainer();

在这里插入图片描述
通过ApplicationContext.addFilter向TomcatEmbeddedContext中添加FilterMap。这里不是通过addFilterBefore。具体通过什么方式,感兴趣的可以再去深入探究一下。
大致需要满足
1.Filter必须是Spring的Bean对象,才会被添加。
2.必须是Filter。

Yacago
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring security过滤器执行两次
weixin_43900374的博客
10-27 1888
这是因为你的过滤器声明时使用了@bean,所以这个过滤器注册到了spring mvc中,才导致执行两次spring mvc执行了一次,spring security执行了一次。 解决办法:简单的就是把@bean给删除掉,但有可能引发一些问题,不知道你有没有 比如,在过滤器定义了@Autowired,@Value("${token.header}")这些注解,在有@bean的情况下,这些注解spring解析,但没了@bean这些注解也没用了,可以把这些变量写在spring security配置
Spring MVC过滤器-登录过滤的代码实现
08-31
Spring MVC框架中,过滤器(Filter)是一个关键组件,用于在请求被处理之前或之后执行特定的操作。本文将深入探讨如何实现一个登录过滤器,该过滤器旨在拦截需要登录才能访问的页面,并确保用户已登录才能继续操作...
spring security 过滤器重复调用问题
qushapos的博客
12-14 4077
用AuthenticationWebFilter这个类构建了2个自定义过滤器, 一个登录, 一个token转换. 在使用过程发现过滤器执行2次. debug调试断点找到一些端倪, 发现有2个chain里的filter链里出现了同一个自定义过滤器. 疑似是被重复注入了, google用类似关键词找了答案, 具体的问题描述和回复在 https://stackoverflow.com/quest...
Spring Security介绍(三)过滤器(2)自定义
最新发布
w_t_y_y的博客
04-27 584
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
Filter过滤器为啥执行两次
Sunsetsunset的博客
04-23 2521
Filter过滤器为啥执行两次
Java Web开发中,自定义过滤器执行两次的原因分析及解决办法
maozhuxigood
06-08 1646
本文出处:http://blog.csdn.net/chaijunkun/article/details/7646338,转载请注明。由于本人不定期整理相关博文,对相应内容作出完善。因此强烈建议在原始出处查看此文。 在Java Web开发过程中,我们可以使用过滤器Spring框架提供的拦截器来对请求进行处理,从而实现对整个Web应用的权限控制。在这里我简单介绍一下我在使用过滤器实现权限验证...
自定义Filter后,我的业务代码怎么被执行多次
JavaEdge全是干货的技术号
01-22 1956
实际生产过程中,若要求构建的过滤器针对全局路径有效,且无任何特殊需求(主要针对 Servlet 3.0 的一些异步特性支持),则完全可直接使用 Filter 接口(或继承 Spring 对 Filter 接口的包装类 OncePerRequestFilter),并使用**@Component** 将其包装为 Spring 中的普通 Bean,也可达到预期需求。 不过不管使用哪种方式,可能都遇到问题:业务代码重复执行多次。 这里以 @Component + Filter 接口实现方式呈现案例。 创建一SB应用
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
spring-security-3.0.7.RELEASE.zip
10-14
3. **Filter Chain**:Spring Security的核心在于过滤器链,如FilterSecurityInterceptor,它负责拦截HTTP请求并执行安全逻辑。3.0.7.RELEASE中的过滤器链配置更加灵活,可以根据不同的URL路径定制不同的安全策略。 ...
spring-security-3.0 GA
12-24
1. Filter Security Interceptor:这是Spring Security 的核心过滤器,负责拦截HTTP请求,执行认证和授权操作。通过配置filterSecurityInterceptor,可以定制不同的安全策略。 2. Role-Based Access Control (RBAC)...
spring安全框架3.2
03-14
4. **自定义过滤器**: 上述配置中提到了几个特定的过滤器,如`securityContextPersistenceFilterWithASCFalse`、`basicAuthenticationFilter`、`exceptionTranslationFilter`和`filterSecurityInterceptor`等。...
springboot过滤器执行两次的解决及跨域过滤器
qq_39210972的博客
12-03 4205
在进行springboot整合过滤器的过程中可能遇到过滤器执行两次问题,针对这个问题可能出现的一种原因就是因为在请求执行完之后浏览器再发一次请求.ico的请求,解决的方法就是在执行过滤器方法之前再加一层判断就好了. HttpServletRequest request = (HttpServletRequest)servletRequest; if (request.getRequestUR...
FILTER执行两次问题
zhenshanren的博客
05-31 3986
<filter> <description>巨量登录请求忽略过滤器</description> <filter-name>IgnoreFilter</filter-name> <filter-class>fr.falum.filter.IgnoreFilter</filter-class> ...
Shiro自定义过滤器执行两次?看我怎么给你解决
Python专栏
06-07 805
其中第一次是作为shiroFilterChain中的过滤器被shiroFilter调用的,另外又在全局过滤器注册了我们自定义过滤器,这就导致了在shirofilter之后,该过滤器又被被执行了一次!这个问题困扰了他一个下午都没有解决,最后不得不求助我来帮忙,那我们就来复现一下这个问题,并给出对应的解决方案吧。现在你发现,Filter处理一次请求执行两次的情况就没有了,现在你知道如何解决这个bug了吗?从控制台的信息中我们可以看出,日志被打印了两次,那么这个问题到底是怎么产生的呢?
关于tomcat服务器启动,Filter过滤器实现类中的方法:doFilter()调用两次的原因
qq_43566714的博客
12-17 547
转载链接:https://www.cnblogs.com/ljfsmile0613/p/13485279.html
SpringSecurity OAuth2过滤器源码解读。
weixin_45111933的博客
07-31 2267
chain.doFilter源码。2,当用户访问时,比如(/oauth/token)uri时,第一个拦截的filter是ClientCredentialsTokenEndpointFilter,而拦截的方法,在其父类AbstractAuthenticationProcessingFilter的doFilter方法中。3,requiresAuthentication(request,response)方法,该方法主要是进行uri路径的匹配,只有当访问的uri是/oauth/token时,才返回true。..
SpringCloud GateWay 使用说明
清泉影月
07-22 2128
gateway 组件是SpringCloud 组件中的网关组件,主要是解决路由转发的问题
Filter为什么在一次请求执行多次doFilter?
BlizCp的博客
02-06 2624
问题如下: 解决办法: 如果IDEA出现windows 找不到文件Chrome,请移步:https://blog.csdn.net/BlizCp/article/details/113706663
springsecurity自定义过滤器中request参数为空是为什么
06-07
Spring Security 自定义过滤器中 request 参数为空可能是因为在请求到达自定义过滤器之前,请求的参数已经被其他过滤器或拦截器处理了。如果前面的过滤器或拦截器没有正确处理请求参数,可能导致在自定义过滤器中获取的 request 参数为空。另外,如果请求中没有携带参数,也导致 request 参数为空。在实现自定义过滤器时,可以通过调试等方式逐一排查,找出导致问题的原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值