SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题

已于 2023-03-14 18:01:52 修改
阅读量1.1w 收藏 60
点赞数 31
文章标签: java spring restful
于 2022-03-14 15:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wh2574021892/article/details/123479176
版权

项目场景:

在使用SpringSecurity的过程中,我们一般会定义一个自定义过滤器来进行一些权限校验或者其他的操作,当然有某些特定的URL我们并不希望它们被过滤器拦截,那么我们会在SpringSecurity的Config中配置白名单来让我们的部分接口不需要token也可以访问

问题描述

在今天debug接口的时候,我发现了虽然我的白名单接口是可以正常获取到结果的,但是在我观察console的时候居然出了这么一行的日志
在这里插入图片描述
这个日志出现的原因当然是因为我本次请求没有携带token,这是当然的,白名单接口是不需要token的,但是问题来了,为什么这个请求会经过我自定义的过滤器呢,我不是在SpringSecurity的配置中配置了白名单么,为什么走了filter,但是又正确的返回了结果,没有被权限校验拦截呢。

解决方案:

1.SpringSecurity配置

出现这种情况是因为我们重写的是SpringSecurity的这个protected void configure(HttpSecurity httpSecurity) 方法

protected void configure(HttpSecurity httpSecurity) 中配置的白名单仅仅是让Security框架忽略对指定路径的权限校验,并不代表配置了白名单之后指定路径就不走过滤链了

public void configure(WebSecurity web) 我们需要在这个方法中定义忽略指定路径,例如

	@Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/test/**");
    }

这样配置之后指定的路径会绕过Security管理的所有Filter

2.SpringBean配置

在像上述配置之后,可能出现还是走自定义拦截器的情况,这个是因为我们将Filter作为Bean注册到Spring中了

更改前我们是这么配置的
在这里插入图片描述

在这里插入图片描述
更改后我们是这么配置的
在这里插入图片描述

在这里插入图片描述
可以看到我们做的操作仅仅是将TokenFilter不作为Bean注入,在Security配置中使用new的方式让Security来管理他,这是因为我们将Filter作为Bean注入后,Spring会自动将其管理,即使你在Security中配置了忽略,Spring还是照样会将请求使用过滤器进行过滤

总结

在实际使用过程中,我们还是不要将接口使用web进行ignoring管理,因为我们的过滤器链中不仅有我们自定义的过滤器还会有一些Security原生的过滤器,为了避免引发更多问题我门仅仅用httpSecurity进行管理就好了,顺便说一下是参考了stackoverflow上的回答

2023-03更新

很多人不明白这篇文章是怎么解决双重过滤的问题的,简单的说一下就是不要在你的filter上使用@Component之类的注解,这样你会将filter注册到spring bean容器中,spring会将请求自动走一遍,同时security也会走一遍。所以改动只要去掉@Component注解,在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。如果还是不明白可以去看一下上面的stackoverflow中的原回答或者评论留言,还会的话都会解答,security我也很久不用了

原味酸牛奶丶
关注
  • 31
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 42
    评论
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
关于springboot security自定义拦截器 使用 permitAll() 之后仍然过滤器的解决方法
爱吃猪蹄的博客
04-09 1万+
前言 依然是我负责的认证模块,出现了业务上的问题,想要使某些接口不过滤链,但是再security上配置 .antMatchers("/**").permitAll() 之后,前端访问进来,依然我的 token 过滤器 public class JWTAuthorizationFilter extends BasicAuthenticationFilter { ... } 解决方法一 尝...
Spring Security6.2.2配置白名单
最新发布
qq_31706527的博客
03-14 681
在Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器问题
m0_54250110的博客
06-04 7117
Spring容器自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还SpringBoot的过滤器链。
SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题
qq_31674229的博客
06-13 3106
SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 1579
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍定义过滤器,是因为这设置的是请求不框架的权限校验,如token啥的,而不是不过滤器链。
聊聊spring security的permitAll以及webIgnore
weixin_34023863的博客
11-25 1285
序 本文主要聊一下spring security的permitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
【security】spring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的security。 security最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
JS方法使用匿名函数作为参数
lensko的博客
09-18 1019
mysql使用group by 报错: SQLSTATE[42000]: Syntax error or access violation: 1055 Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated column ‘xxxxx’ which is not functionally ...
SpringSecurity(十三)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2095
在Spring Security中,HTTP过滤器委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器负责授权配置等等。通常HTTP过滤器管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity学习之自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring boot 配置Filter过滤器的方法
08-31
本篇文章主要介绍了spring boot 配置Filter过滤器的方法,实例分析了spring boot 配置Filter过滤器的技巧,有兴趣的可以了解一下。
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security自定义过滤器多次执行的问题
weixin_44225096的博客
05-05 1566
public class TokenFilter implements Filter { public static final String HEADER_AUTH_NAME = "Authorization"; @Autowired JWTProvider jwtProvider; @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
spring Security 使用
m0_60540731的博客
04-17 254
把jwt放到 UsernamePasswordAuthenticationFilter.class之前(JwtAuthenticationFilter 注入到配置类中)实现 implements AccessDeniedHandler 权限信息 全选不足被拦截到这。实现 implements AuthenticationEntryPoint(认证信息)同上。3自定义登录user password 用户名 密码。2 ,配置 Security。为jwt配置bean。
Spring security 自定义过滤器实现Json参数传递-并兼容表单参数
热门推荐
hu10131013的博客
09-11 10万+
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <group.
spring security中自带的过滤器和 自定义过滤器的执行顺序
04-21
可以回答该问题。在Spring Security中,自带的过滤器在自定义过滤器之前执行。这意味着自定义过滤器可以修改自带过滤器所产生的结果。如果某个自定义过滤器需要在自带过滤器执行之后执行,可以通过配置指定该过滤器在自带过滤器之后执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 42
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值