转载

SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题

项目场景:

在使用SpringSecurity的过程中,我们一般会定义一个自定义过滤器来进行一些权限校验或者其他的操作,当然有某些特定的URL我们并不希望它们被过滤器拦截,那么我们会在SpringSecurity的Config中配置白名单来让我们的部分接口不需要token也可以访问

问题描述

在今天debug接口的时候,我发现了虽然我的白名单接口是可以正常获取到结果的,但是在我观察console的时候居然出了这么一行的日志 a036224260a243df8f4edc8fb1afd261 这个日志出现的原因当然是因为我本次请求没有携带token,这是当然的,白名单接口是不需要token的,但是问题来了,为什么这个请求会经过我自定义的过滤器呢,我不是在SpringSecurity的配置中配置了白名单么,为什么走了filter,但是又正确的返回了结果,没有被权限校验拦截呢。

解决方案:

1.SpringSecurity配置

出现这种情况是因为我们重写的是SpringSecurity的这个protected void configure(HttpSecurity httpSecurity) 方法 protected void configure(HttpSecurity httpSecurity)中配置的白名单仅仅是让Security框架忽略对指定路径的权限校验,并不代表配置了白名单之后指定路径就不走过滤链了 public void configure(WebSecurity web) 我们需要在这个方法中定义忽略指定路径,例如
@Override
 public void configure(WebSecurity web) throws Exception {
 web.ignoring().antMatchers("/test/**");
 }
这样配置之后指定的路径会绕过Security管理的所有Filter

2.SpringBean配置

在像上述配置之后,可能出现还是走自定义拦截器的情况,这个是因为我们将Filter作为Bean注册到Spring中了 更改前我们是这么配置的 87946b2d887a4760afcee54801a1ec8e 1f3fd457c9b8497b9f20a3ef41890126 更改后我们是这么配置的 fc06d793c47a4d2a8092d604f9cab64c a85875c0873d49ff8ca306ab42aaa93c 可以看到我们做的操作仅仅是将TokenFilter不作为Bean注入,在Security配置中使用new的方式让Security来管理他,这是因为我们将Filter作为Bean注入后,Spring会自动将其管理,即使你在Security中配置了忽略,Spring还是照样会将请求使用过滤器进行过滤

总结

在实际使用过程中,我们还是不要将接口使用web进行ignoring管理,因为我们的过滤器链中不仅有我们自定义的过滤器还会有一些Security原生的过滤器,为了避免引发更多问题我门仅仅用httpSecurity进行管理就好了,顺便说一下是参考了stackoverflow上的回答
正文到此结束
Loading...