gpt4 book ai didi

Spring Security 向所有端点添加过滤器,除了一个

转载 作者:行者123 更新时间:2023-12-04 23:42:44 25 4
gpt4 key购买 nike

我对此进行了研究,发现了 Answer就这样。

不过,我确实有一个补充问题:

我有一组过滤器,我想将其应用于所有请求,除了特殊情况(例如:除/mgmt/** 和/error/** 之外的所有路径)。

这不能使用链接答案中提供的相同方法来完成,因为我会将过滤器添加到默认的 http-security 对象,然后它也适用于特殊情况。

有没有像“否定匹配器”这样的东西,让我可以做这样的事情:

http.negativeAntMatchers("/mgmt/**).addFilter(...)

为除/mgmt/** 之外的所有内容添加过滤器?

我的代码:

这是“/mgmt”的配置,将 ManagementBasicAuthFilter 放在链中 - 这是可行的,因为除了“/mgmt/**”之外没有端点要求基本身份验证。

@Order(1)
@Configuration
@RequiredArgsConstructor
public static class ManagementSecurityConfig extends WebSecurityConfigurerAdapter {

private final AuthenticationManager authenticationManager;

@Override
protected void configure(HttpSecurity http) throws Exception {
http.antMatcher("mgmt/**")
.csrf().disable()
.headers().frameOptions().sameOrigin()
.cacheControl().disable()
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.addFilterBefore(new ManagementBasicAuthenticationFilter(authenticationManager,
getAuthenticationEntryPoint(), "/mgmt"), BasicAuthenticationFilter.class)
.authorizeRequests()
.anyRequest()
.permitAll();
}

private BasicAuthenticationEntryPoint getAuthenticationEntryPoint() {
BasicAuthenticationEntryPoint entryPoint = new BasicAuthenticationEntryPoint();
entryPoint.setRealmName("myApp");
return entryPoint;
}
}

这是所有入口点的配置,除了 mgmt - 此文件中的所有过滤器都不应应用于/mgmt/**

@Order(2)
@Configuration
@RequiredArgsConstructor
@Import({ ResourceServerTokenServicesConfiguration.class })
@EnableOAuth2Client
public static class OAuthSecurityConfig extends WebSecurityConfigurerAdapter {

private final OAuth2ClientContextFilter clientContextFilter;
private final OAuth2ClientAuthenticationProcessingFilter ssoFilter;
private final StatePropagatingLoginRedirectFilter statePropagatingLoginRedirectFilter;


@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/mgmt/**");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.headers().frameOptions().sameOrigin()
.cacheControl().disable()
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.exceptionHandling()
.defaultAuthenticationEntryPointFor(
new LoginUrlAuthenticationEntryPoint("/login"),
request -> true)
.and()
.addFilterAfter(statePropagatingLoginRedirectFilter, AbstractPreAuthenticatedProcessingFilter.class)
.addFilterAfter(ssoFilter, statePropagatingLoginRedirectFilter.getClass())
.addFilterAfter(clientContextFilter, ssoFilter.getClass())
.authorizeRequests()
.anyRequest()
.authenticated();
}
}

当我请求例如:“/mgmt/health”时,系统会提示我进行基本身份验证,但登录后,(statePropagating,sso,clientContext)中的过滤器仍然会被应用 - 为什么会这样?

最佳答案

如果我正确理解您的问题,您不希望将过滤器应用于 /mgmt 那么您可以使用

    @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override
public void configure(WebSecurity web) {
// Overridden to exclude some url's
web.ignoring().antMatchers("/mgmt");
}


@Override
protected void configure(HttpSecurity http) throws Exception {
// configure the other url's as required
}

}

关于Spring Security 向所有端点添加过滤器,除了一个,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52039388/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com