如何从Spring Security中的默认过滤器堆栈中删除一个过滤器?

问题描述 投票:0回答:2

我必须从 Spring Security 堆栈中排除一个默认过滤器。所以所有过滤器都应该照常工作。看来我找到了这样做的方法,制作自定义 FilterChainProxy:

public class CustomFilterChainProxy extends FilterChainProxy {

Logger LOGGER = Logger.getLogger(CustomFilterChainProxy.class);

public CustomFilterChainProxy() {
    super();
    LOGGER.debug("Run custom filter proxy");
    LOGGER.debug("String filters: " + this.toString());
}

public CustomFilterChainProxy(SecurityFilterChain chain) {
    super(chain);
    LOGGER.debug("Run custom filter proxy with chains");
}
}

如您所见,它有一个获取过滤器列表的构造函数,因此我将能够根据需要从链中删除一个过滤器,其余所有过滤器将照常工作。但我无法在此类构造函数的安全配置中创建 bean。如果我用

<bean id="filterChainProxy" class="com.pkg.CustomFilterChainProxy">

它,当然是使用默认构造函数构建对象。好吧,我尝试用一些过滤器列表来制作 bean:

<bean id="filterChainProxy" class="ru.olekstra.backoffice.util.CustomFilterChainProxy">
<constructor-arg>
    <list>
        <sec:filter-chain pattern="/**" 
        filters="BasicUserApprovalFilter" />
    </list>
</constructor-arg>
</bean>

但是这不会编译,因为 BasicUserApprovalFilter 是未知的 bean。那么如何从默认过滤器堆栈中排除一个过滤器呢?如果我使用自定义过滤器链代理的方式是好的决定,那么如何使用默认过滤器链创建bean?

java spring spring-security
2个回答
6
投票

如果您提供更多有关您要删除的过滤器的内容以及原因的详细信息,可能会有所帮助。

如果您愿意,您可以在创建过滤器链后使用 

BeanPostProcessor
来修改过滤器链。在默认命名空间配置中,您可以为 
<http>
元素创建的过滤器链命名:

<http name="myFilterChain">
   ...

这会使用此名称注册一个类型为 

SecurityFilterChain
的 bean。 
FilterChainProxy
是根据这些列表创建的。

后处理器看起来像:

public class SecurityFilterChainPostProcessor implements BeanPostProcessor {
    
    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {

        if (beanName.equals("myFilterChain")) {
            DefaultSecurityFilterChain fc = (DefaultSecurityFilterChain)bean;
            List<Filter> filters = fc.getFilters();

            // Modify the filter list as you choose here.                
            List<Filter> newFilters = ...

            return new DefaultSecurityFilterChain(fc.getRequestMatcher(), newFilters);
        }

        return bean;
    }

    public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
        return bean;
    }
}

然后只需在应用程序上下文中注册该 bean 的实例,Spring 将完成剩下的工作。这样您就可以避免将所有 Spring Security 基础设施过滤器定义为单独的 bean。

更新

这里是实际示例及其配置的链接。

1
投票
您可以通过 SpringSecurity 配置中的

filter-chain-map 标签定义自己的过滤器链:

<bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy"> <security:filter-chain-map> <sec:filter-chain pattern="/**" filters=" ConcurrentSessionFilterAdmin, securityContextPersistenceFilter, logoutFilterAdmin, ..... anonymousAuthenticationFilter, sessionManagementFilterAdmin, exceptionTranslationFilter, filterSecurityInterceptorAdmin, MonitoringFilter"/> </security:filter-chain-map> </bean>
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.