我有一个Spring Boot WebMVC应用程序,以及一个继承自AbstractPreAuthenticatedProcessingFilter的bean,我明确地将其添加到Spring Security过滤器链中的特定位置。我的Spring Security配置如下所示:
<http pattern="/rest/**">
<intercept-url pattern="/**" access="ROLE_USER"/>
<http-basic/>
<custom-filter after="BASIC_AUTH_FILTER" ref="preAuthenticationFilter"/>
</http>
<beans:bean id="preAuthenticationFilter" class="a.b.PreAuthenticationFilter">
<beans:property name="authenticationManager" ref="customAuthenticationManager"/>
</beans:bean>
安全配置有效。问题是,因为PreAuthenticationFilter类继承自AbstractPreAuthenticatedProcessingFilter,所以Spring Boot将其视为通用servlet过滤器,并将其添加到servlet过滤器链中以用于所有请求。我不希望此过滤器成为所有请求的过滤器链的一部分。我只希望它成为我配置的特定Spring Security过滤器链的一部分。有没有办法阻止Spring Boot自动将preAuthenticationFilter bean添加到过滤器链?
答案 0 :(得分:44)
默认情况下,Spring Boot会为应用程序上下文中的每个FilterRegistrationBean
创建一个Filter
FilterRegistrationBean
已经存在FilterRegistrationBean
。这样,您就可以通过为Filter
声明自己的PreAuthenticationFilter
来控制注册过程,包括停用注册。对于@Bean
public FilterRegistrationBean registration(PreAuthenticationFilter filter) {
FilterRegistrationBean registration = new FilterRegistrationBean(filter);
registration.setEnabled(false);
return registration;
}
,所需的配置如下所示:
Filter
您可能还对this Spring Boot issue感兴趣,其中讨论了如何禁用Servlet
和{{1}} bean的自动注册。
答案 1 :(得分:6)
如果您想一次取消注册所有过滤器,这就是我的诀窍:
public class DefaultFiltersBeanFactoryPostProcessor implements BeanFactoryPostProcessor {
@Override
public void postProcessBeanFactory(ConfigurableListableBeanFactory bf)
throws BeansException {
DefaultListableBeanFactory beanFactory = (DefaultListableBeanFactory) bf;
Arrays.stream(beanFactory.getBeanNamesForType(javax.servlet.Filter.class))
.forEach(name -> {
BeanDefinition definition = BeanDefinitionBuilder
.genericBeanDefinition(FilterRegistrationBean.class)
.setScope(BeanDefinition.SCOPE_SINGLETON)
.addConstructorArgReference(name)
.addConstructorArgValue(new ServletRegistrationBean[]{})
.addPropertyValue("enabled", false)
.getBeanDefinition();
beanFactory.registerBeanDefinition(name + "FilterRegistrationBean",
definition);
});
}
}
关于这项技术的更多信息 - here。