SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题

项目场景:

在使用SpringSecurity的过程中,我们一般会定义一个自定义过滤器来进行一些权限校验或者其他的操作,当然有某些特定的URL我们并不希望它们被过滤器拦截,那么我们会在SpringSecurity的Config中配置白名单来让我们的部分接口不需要token也可以访问


问题描述

在今天debug接口的时候,我发现了虽然我的白名单接口是可以正常获取到结果的,但是在我观察console的时候居然出了这么一行的日志
在这里插入图片描述
这个日志出现的原因当然是因为我本次请求没有携带token,这是当然的,白名单接口是不需要token的,但是问题来了,为什么这个请求会经过我自定义的过滤器呢,我不是在SpringSecurity的配置中配置了白名单么,为什么走了filter,但是又正确的返回了结果,没有被权限校验拦截呢。


解决方案:

1.SpringSecurity配置

出现这种情况是因为我们重写的是SpringSecurity的这个protected void configure(HttpSecurity httpSecurity) 方法

protected void configure(HttpSecurity httpSecurity) 中配置的白名单仅仅是让Security框架忽略对指定路径的权限校验,并不代表配置了白名单之后指定路径就不走过滤链了

public void configure(WebSecurity web) 我们需要在这个方法中定义忽略指定路径,例如

	@Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/test/**");
    }

这样配置之后指定的路径会绕过Security管理的所有Filter

2.SpringBean配置

在像上述配置之后,可能出现还是走自定义拦截器的情况,这个是因为我们将Filter作为Bean注册到Spring中了

更改前我们是这么配置的
SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题_第1张图片

SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题_第2张图片
更改后我们是这么配置的
SpringSecurity 配置permitAll之后仍然会走自定义过滤器Filter的问题_第3张图片

在这里插入图片描述
可以看到我们做的操作仅仅是将TokenFilter不作为Bean注入,在Security配置中使用new的方式让Security来管理他,这是因为我们将Filter作为Bean注入后,Spring会自动将其管理,即使你在Security中配置了忽略,Spring还是照样会将请求使用过滤器进行过滤

总结

在实际使用过程中,我们还是不要将接口使用web进行ignoring管理,因为我们的过滤器链中不仅有我们自定义的过滤器还会有一些Security原生的过滤器,为了避免引发更多问题我门仅仅用httpSecurity进行管理就好了,顺便说一下是参考了stackoverflow上的回答

2023-03更新

很多人不明白这篇文章是怎么解决双重过滤的问题的,简单的说一下就是不要在你的filter上使用@Component之类的注解,这样你会将filter注册到spring bean容器中,spring会将请求自动走一遍,同时security也会走一遍。所以改动只要去掉@Component注解,在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。如果还是不明白可以去看一下上面的stackoverflow中的原回答或者评论留言,还会的话都会解答,security我也很久不用了

你可能感兴趣的:(java,spring,restful)