Spring Security和自定义filter的冲突导致多执行的解决方案

问题描述:

使用Spring Security时,在WebSecurityConfig中需要通过@bean注解注入Security的filter对象,但是不知是不是因为spring boot框架的原因还是什么未知原因,导致在这里注入,就会多注入一次这个对象,导致filter链走完之后,又会回到这个filter中再执行一次。

@Bean
    public JwtAuthenticationTokenFilter authenticationTokenFilterBean() throws Exception {
        return new JwtAuthenticationTokenFilter();
    }

这是WebSecurityConfig.java中原本需要注入的对象。

httpSecurity
.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

添加到Security中,这时,可能就会因为这一次的注入,导致filter链在本应该执行完之后,再一次执行添加到Security的filter……

解决办法:

将这两个代码段注释掉即可解决,当然,只是解决filter链执行完后再执行Security的filter的问题,本质上来说并不能真正的解决问题。如果有更好的理解或者更好的解决方法,欢迎讨论。

2019-5-9 16:49:00:之前这么做发现,这样Spring Security就相当于没有作用了,但是filter还是会起作用,而如果启用Spring Security,还是会进入filter……如果授权自定义的话Spring Security感觉没有用处了,当然这是我碰到的问题,框架也是别人搭起来的,但是用法是不对的,导致写的filter变成了自定义的,感觉跟Spring Security框架格格不入,如果有大佬知道的话欢迎指导!谢谢。

如果要使用Spring Security,那么就需要将JwtAuthenticationTokenFilter上的@Component注解删除或者注释掉,因为二次注入的类都是这个,但是产生的类对象应该是不一样的,所以会导致二次进入filter。

所以搞得我现在很怀疑Spring Security是不是有必要……

Spring Security3自定义安全过滤器位置及注意事项

当auto-config="true"时,springSecurity自动创建过滤器链

1.自定义过滤器位置需要在已有过滤器之前或之后,否则会报错;

2.由于FilterSecurityInterceptor安全observeOncePerRequest(每个请求一次)默认为true.

默认情况下FilterSecurityInterceptor只会执行一个,所以如果既要执行默认安全过滤器又要执行自定义过滤器,自定义过滤器放到默认安全过滤器之前,同时observeOncePerRequest设置为false.

如:

(1)

<custom-filter after="FILTER_SECURITY_INTERCEPTOR" ref="menuFilter" />

(2)

<beans:property name="observeOncePerRequest" value="false" />

以上为个人经验,希望能给大家一个参考。

猜你在找的Spring Security和自定义filter的冲突导致多执行的解决方案相关文章

JNI是Java Native Interface的缩写,通过使用 Java本地接口书写程序,可以确保代码在不同的平台上方便移植。从Java1.1开始,JNI标准成为java平台的一部分,它允许Java代
今天给大家带来的是关于Java虚拟机的相关知识,文章围绕着JVM堆区展开,文中有非常详细的介绍及代码示例,需求的大佬可以参考下
本篇总结的是Java多线程相关的面试题,后续会持续更新,希望我的分享可以帮助到正在备战面试的实习生或者已经工作的同行,如果发现错误还望大家多多包涵,不吝赐教,谢谢
Spring为大家内置了不少开箱即用的转换类,如字符串转数字、字符串转时间等,但有时候需要使用自定义的属性,则需要自定义转换类了
今天给大家带来的是关于Java的相关知识,文章围绕着在没有编辑器的环境下如何创建Servlet(Tomcat+Java)项目展开,文中有非常详细的介绍及代码示例,需求的大佬可以
文详细讲述了线程、进程的关系及在操作系统中的表现,这是多线程学习必须了解的基础。本文将接着讲一下Java线程同步中的一个重要的概念synchronized,希望能够给你有
我们大概知道AQS就是一个框架,把很多功能都给实现了(比如入队规则,唤醒节点中的线程等),我们如果要使用的话只需要实现其中的一些方法(比如tryAcquire等)就行了!这次主
了idea maven项目无法识别jar包里的class解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
Spring Batch是一个轻量级的、完善的批处理框架,作为Spring体系中的一员,它拥有灵活、方便、生产可用的特点。在应对高效处理大量信息、定时处理大量数据等场景十分
本文展示通过一个案例来自己手写IOC和AOP代码,通过银行转账案例详细的代码编写和文档解释来说明IOC和AOP的思想,会分享存在的问题和解决问题的思路
不少同学开始慢慢接触多线时候,对线程之间为了保障数据安全性,一致性有所了解,本文详细解介绍java中的21种锁 ,需求的大佬可以参考下
今天给大家带来的是关于Springboot的相关知识,文章围绕着RestTemplate未使用线程池展开,文中有非常详细的介绍及代码示例,需求的大佬可以参考下