我必须从 Spring Security 堆栈中排除一个默认过滤器。所以所有过滤器都应该照常工作。看来我找到了这样做的方法,制作自定义 FilterChainProxy:
public class CustomFilterChainProxy extends FilterChainProxy {
Logger LOGGER = Logger.getLogger(CustomFilterChainProxy.class);
public CustomFilterChainProxy() {
super();
LOGGER.debug("Run custom filter proxy");
LOGGER.debug("String filters: " + this.toString());
}
public CustomFilterChainProxy(SecurityFilterChain chain) {
super(chain);
LOGGER.debug("Run custom filter proxy with chains");
}
}
如您所见,它有一个获取过滤器列表的构造函数,因此我将能够根据需要从链中删除一个过滤器,其余所有过滤器将照常工作。但我无法在此类构造函数的安全配置中创建 bean。如果我用
<bean id="filterChainProxy" class="com.pkg.CustomFilterChainProxy">
它,当然是使用默认构造函数构建对象。好吧,我尝试用一些过滤器列表来制作 bean:
<bean id="filterChainProxy" class="ru.olekstra.backoffice.util.CustomFilterChainProxy">
<constructor-arg>
<list>
<sec:filter-chain pattern="/**"
filters="BasicUserApprovalFilter" />
</list>
</constructor-arg>
</bean>
但是这不会编译,因为 BasicUserApprovalFilter 是未知的 bean。那么如何从默认过滤器堆栈中排除一个过滤器呢?如果我使用自定义过滤器链代理的方式是好的决定,那么如何使用默认过滤器链创建bean?
如果您提供更多有关您要删除的过滤器的内容以及原因的详细信息,可能会有所帮助。
如果您愿意,您可以在创建过滤器链后使用
BeanPostProcessor
来修改过滤器链。在默认命名空间配置中,您可以为 <http>
元素创建的过滤器链命名:
<http name="myFilterChain">
...
这会使用此名称注册一个类型为
SecurityFilterChain
的 bean。 FilterChainProxy
是根据这些列表创建的。
后处理器看起来像:
public class SecurityFilterChainPostProcessor implements BeanPostProcessor {
public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
if (beanName.equals("myFilterChain")) {
DefaultSecurityFilterChain fc = (DefaultSecurityFilterChain)bean;
List<Filter> filters = fc.getFilters();
// Modify the filter list as you choose here.
List<Filter> newFilters = ...
return new DefaultSecurityFilterChain(fc.getRequestMatcher(), newFilters);
}
return bean;
}
public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
return bean;
}
}
然后只需在应用程序上下文中注册该 bean 的实例,Spring 将完成剩下的工作。这样您就可以避免将所有 Spring Security 基础设施过滤器定义为单独的 bean。
filter-chain-map 标签定义自己的过滤器链:
<bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
<security:filter-chain-map>
<sec:filter-chain pattern="/**"
filters="
ConcurrentSessionFilterAdmin,
securityContextPersistenceFilter,
logoutFilterAdmin,
.....
anonymousAuthenticationFilter,
sessionManagementFilterAdmin,
exceptionTranslationFilter,
filterSecurityInterceptorAdmin,
MonitoringFilter"/>
</security:filter-chain-map>
</bean>