使用多个servlet时Spring security需要指明路由匹配策略

于 2024-02-21 15:40:45 发布
阅读量1.1k 收藏 13
点赞数 26
分类专栏: 踩坑记录 文章标签: java 后端 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44612303/article/details/136213385
版权

使用多个servlet时Spring security需要指明路由匹配策略

项目原本是 SpringBoot-3.1.3 + druid-1.2.21 ,并且 Druid 开启了可视化监控页 stat-view-servlet

将项目升级到 SpringBoot-3.1.4 后,启动项目时报错。摘取部分内容:

  • Failed to instantiate [org.springframework.security.web.SecurityFilterChain]: Factory method ‘filterChain’ threw exception with message: This method cannot decide whether these patterns are Spring MVC patterns or not. If this endpoint is a Spring MVC endpoint, please use requestMatchers(MvcRequestMatcher); otherwise, please use requestMatchers(AntPathRequestMatcher).
  • This is because there is more than one mappable servlet in your servlet context: {org.springframework.web.servlet.DispatcherServlet=[/], com.alibaba.druid.support.jakarta.StatViewServlet=[/druid/*]}.

原因分析

错误信息可以看出来配置 Spring security 的放行策略时路由匹配的策略选择不当,根据spring官方在关于 CVE-2023-34035 的安全报告中提到

Spring Security versions 5.8 prior to 5.8.5, 6.0 prior to 6.0.5 and 6.1 prior to 6.1.2 could be susceptible to authorization rule misconfiguration if the application uses or and multiple servlets, one of them being Spring MVC’s DispatcherServlet.

如果应用程序使用或和多个servlet(其中一个是Spring MVC的DispatcherServlet),则Spring Security 5.8.5之前的5.8版本、6.0.5之前的6.0版本和6.1.2之前的6.1版本可能容易受到授权规则错误配置的影响。

即除了 DispatcherServlet 以外,还存在其他 Servlet 时, Spring security 的路由匹配策略需要明确哪些路由模式是Spring MVC的。

修复问题

例如旧版放行路径使用的是

http.authorizeHttpRequests(authorize -> authorize.requestMatchers("/user/register").permitAll())

改为

// MvcRequestMatcher策略
authorize.requestMatchers(new MvcRequestMatcher(new HandlerMappingIntrospector(), "/user/register")).permitAll()
                           
// AntPathRequestMatcher策略
authorize.requestMatchers(new AntPathRequestMatcher("/user/register")).permitAll()

其中 MvcRequestMatcherAntPathRequestMatcher 是两种不同的匹配规则。具体概念不再赘述,核心点就是 MvcRequestMatcher 基于 DispatcherServlet 进行匹配。

路由策略区别

调整放行 Druid 的路径,使用 MvcRequestMatcher 策略匹配,正常启动。但是访问网页的时候发现放行没生效,被 Spring security 拦截了,需要认证才能访问,调整为 AntPathRequestMatcher 则是正常放行。

因为 Druid 提供了自己的监控数据的 Servlet ,其是作为一个独立的 Servlet 映射到容器中,而并非通过 DispatcherServlet ,所以放行 Druid 就需要使用 AntPathRequestMatcher 方式。

authorize.requestMatchers(new AntPathRequestMatcher("/druid/**")).permitAll()

而对于 Swagger,通常它的页面和API文档都会被包括在 Spring MVC 的控制器里面,并且其URL路径会通过 @RequestMapping 注解映射,所以使用 MvcRequestMatcherAntPathRequestMatcher 都可以正确匹配到。

mosplus
关注
  • 26
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Cloud OpenFeign 接口请求代理
禅与计算机程序设计艺术
08-03 1045
在微服务架构下,各个服务之间通常会存在依赖关系,所以需要一个解决方案来进行相互调用。Spring Cloud 是由 Pivotal 团队提供的一系列框架,其中包括 Spring BootSpring Cloud Netflix 和 Spring Cloud Alibaba,其中 Spring Cloud Feign 提供了声明式 Web 服务客户端。Feign是一个声明式的Web Service客户端,它使得编写Web Service客户端变得简单。
springboot3+springsecurity6集成druid启动报错
最新发布
给自己的程序生涯留下一点痕迹
01-18 2148
This method cannot decide whether these patterns are Spring MVC patterns or not. If this endpoint is a Spring MVC endpoint, please use requestMatchers(MvcRequestMatcher); otherwise, please use requestMatchers(AntPathRequestMatcher)
springboot配置druid的监控功能ServletRegistrationBean<StatViewServlet>报红——javax与jakarta冲突
疯狂吸收大家的宝贵资料
04-15 2809
引入不同的依赖,由于版本问题,产生javax与jakarta冲突。
Spring Security 的身份验证绕过漏洞CVE-2023-34035
日拱一卒无有尽,功不唐捐终入海
09-15 1109
背景:公司收到关于 Spring Security 的一个身份验证绕过漏洞的通知,该漏洞被标识为 CVE-2023-34035CVE-2023-34034:WebFlux使用未加前缀的双通配符模式绕过安全性Spring 建议采取以下两步缓解措施:步骤 1:升级到最新版本的 Spring Security(6.1.2 / 6.0.5 / 5.8.5)。链接:https://spring.io/projects/spring-security请按照此错误消息进行操作。
java.util.list 报错_【spring mvc】后台spring mvc接收List参数报错如下:org.springframework.beans.BeanInstantiationEx...
weixin_39918588的博客
02-23 533
org.springframework.beans.BeanInstantiationException: Failed to instantiate [java.util.List]: Specified class is an interfaceat org.springframework.beans.BeanUtils.instantiateClass(BeanUtils.java:99)a...
SpringBoot整合SpringSecurity,报错Can‘t configure anyRequest after itself
qq_25844803的博客
07-29 6143
问题 SpringBoot整合SpringSecurity,项目一启动就失败,报错显示 org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'springSecurityFilterChain' defined in class path resource [org/springframework/security/config/annotation/web/configuration/
Failed to instantiate [org.springframework.web.ser
weixin_34268610的博客
07-28 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity6.1.2调用requestMatchers的BUG:Servlet 3.0规范的第4.4节不允许从未在web.xml,web-fragment.xml文件中定义或未用@W
m0_53961640的博客
08-07 1030
将 pom.xml 里 spring-security-web spring-security-config 的版本从 6.1.2 改为 6.1.1。调用requestMatchers就会报错。
2021最新Spring Security知识梳理
m0_58476806的博客
07-01 656
2021最新Spring Security知识梳理 一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorizat
(一)创建简单的Spring security 项目
qq_40179479的博客
06-22 320
参考:陈木鑫老师的《Spring Security 实战》 创建spring boot项目 通过Intellij IDEA创建Spring Boot项目的方式有许多种,其中最简单的方式就是使用Spring Initializr 工具。 Spring Initializr 允许我们提前选定一些常用的项目依赖,此处我们选择 Security 作为构建Spring Security项目的最小依赖,选择Web作为Spring Boot构建Web应用的核心依赖。 Next : Next: 创建项目的目录结构:
Spring Cloud与微服务学习总结(7)——Spring Cloud微服务架构实践与经验总结
科技D人生
07-13 5287
前言 突然看到这个一个问题《Spring Cloud在国内中小型公司能用起来吗?》。好问题。好问题必须配认真的回答,仔细的看了题主的问题,发现这个问题非常具有代表性,可能是广大网友想使用Spring Cloud却又对Spring Cloud不太了解的共同想法,题主对Spring Cloud使用的方方面面都进行过了思考,包括市场,学习、前后端、测试、配置、部署、开发以及运维。 想要明白这个问题,首...
nested exception is java.lang.IllegalArgumentException: errorPage must begin with ‘/‘
雾林小妖的博客
08-23 965
Factory method 'securityFilterChain' threw exception; nested exception is java.lang.IllegalArgumentException: errorPage must begin with '/'
SpringMVC 验证
Vincent's tech blog
10-15 264
数据的校验是交互式网站一个不可或缺的功能,前端的js校验可以涵盖大部分的校验职责,如用户名唯一性,生日格式,邮箱格式校验等等常用的校验。但是为了避免用户绕过浏览器,使用http工具直接向后端请求一些违法数据,服务端的数据校验也是必要的,可以防止脏数据落到数据库中。 SpringMVC自身对数据在服务端的校验有一个比较好的支持,它能将我们提交到服务端的数据按照我们事先的约定进行数据有效性验证,对于...
SpringMVC的使用(2)
EquinoxPrime的博客
10-10 179
SpringMVC的使用1.SpringMVC的请求处理1、SpringMVC对请求参数的处理2、乱码问题的解决3、SpringMVC对原生API的支持4、使用Model,Map,ModelMap传输数据到页面5、使用ModelAndView对象传输数据到页面6、使用session传输数据到页面7、使用@ModelAttribute来获取请求中的数据8、使用forward实现页面转发9、使用redirect来实现重定向10、静态资源的访问2.自定义视图解析器3.自定义类型转换器4.自定义日期格式化转换器(5
Caused by: org.springframework.beans.BeanInstantiationException: Failed to instantiate [org.springfr
热门推荐
Angela_L的博客
05-25 5万+
今天写springboot的项目报错: Error starting ApplicationContext. To display the auto-configuration report re-run your application with 'debug' enabled. 2019-05-25 10:55:33.996 ERROR 2748 --- [ main] ...
SpringMVC复习
L_chengxin的博客
07-29 2860
学习视频链接:https://www.bilibili.com/video/BV1aE41167Tu 在学习之前先创建一个Maven的父工程,以后就不用新建很多项目,而且很多公共的依赖可以放到父工程的pom.xml文件中, 步骤 1、创建一个maven项目后删除掉src目录,然后以后在父工程下创建model 2、在父项目的pom.xml文件导入公共依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.
解决spring security与corsFilter冲突的问题
Afox4l的博客
04-11 8341
问题: 在springboot项目中,使用了corsFilter进行跨域处理,相关代码配置如下: @Configuration public class MyConfiguration { @Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source...
boot3踩坑记录】springboot3&Druid
weixin_42217348的博客
06-15 3465
springboot3&Druid
spring security过滤器与servlet过滤器执行顺序
07-20
Spring Security过滤器与Servlet过滤器的执行顺序是不同的。 在Spring Security中,过滤器链是通过DelegatingFilterProxy来管理的。DelegatingFilterProxy是一个Servlet过滤器,它将请求委托给Spring上下文中的一个或多个Spring Security过滤器链进行处理。在Spring Security过滤器链中,过滤器的执行顺序是由其在配置文件中的顺序决定的。 一般而言,Spring Security的过滤器链包括了很多过滤器,如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、LogoutFilter等。这些过滤器按照特定的顺序依次执行,从而完成身份验证、授权、注销等安全功能。 而普通的Servlet过滤器是通过web.xml文件配置并按照配置的顺序执行的。Servlet容器根据web.xml中的<filter>和<filter-mapping>标签的顺序来确定过滤器的执行顺序。 因此,Spring Security过滤器链和Servlet过滤器的执行顺序是不同的,需要根据具体情况来确定。一般而言,Spring Security的过滤器会在Servlet过滤器之前执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值