Spring webSecurity.ignoring() 不会忽略自定义过滤器

Question

我在我的 Spring 4 MVC + Security + Boot 项目中设置了一个自定义身份验证过滤器。过滤器做得很好，现在我想禁用某些 URI 的安全性（如/api/**）。这是我的配置：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    public void configure(WebSecurity webSecurity) throws Exception {
        webSecurity.ignoring().antMatchers("/api/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       http.authorizeRequests()
                 .anyRequest().authenticated()
              .and()
                 .addFilterBefore(filter, BasicAuthenticationFilter.class);
    }
}

不幸的是，当我调用/api/... 下的资源时，过滤器仍处于链接状态。我在过滤器中添加了println，并在每次调用时将其写入控制台。你知道我的配置有什么问题吗？

更新

过滤代码：

@Component
public class EAccessAuthenticationFilter extends RequestHeaderAuthenticationFilter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("FILTER");
        if(SecurityContextHolder.getContext().getAuthentication() == null){
            //Do my authentication stuff
            PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(user, credential, authorities);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }  
        super.doFilter(request, response, chain);
     }

    @Override
    @Autowired
    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
        super.setAuthenticationManager(authenticationManager);
    }

}

Answer 1

我认为您在 Filter 类中也需要它（extends RequestHeaderAuthenticationFilter），即

public class EAccessAuthenticationFilter extends RequestHeaderAuthenticationFilter {
    public EAccessAuthenticationFilter() {
        super(new RequestMatcher() {
                        RequestMatcher matcher = new AntPathRequestMatcher("/v1/api1");
            return matcher.matches(request);    

        });
    }
}

Answer 2

我有正确的配置来忽略网络安全配置中的某些上下文路径，如下所示..

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/v1/api1").antMatchers("/v1/api2");
}

但我错误地在我的控制器方法上添加了@PreAuthorize(...)，并且方法级别的安全性似乎覆盖了开始时设置的任何安全性配置。

Answer 3

我没有足够的声誉来添加评论，但是对于像我这样正在为kimhom's answer 寻找更多解释的人来说，WebSecurityConfigurerAdapter 会告诉 Spring Security 忽略通过它添加的任何过滤器。然后过滤器仍然被调用，因为@Component（或任何形式的@Bean）注释告诉Spring（再次）将过滤器添加到安全链之外。因此，当过滤器在安全链中被忽略时，它并没有被另一个（非安全？）链忽略。

这解决了我两周的头痛问题。在我的情况下，我的自定义过滤器需要 SecurityContext 给出的 Authentication 对象，因为从未执行过安全链，所以它一直显示为 null。

Answer 4

我总是发现最简单的方法是将此配置放入您的application.properties：

security.ignored=/api/**

Answer 5

删除类 EAccessAuthenticationFilter 上的@Component，如下所示：

@Override
protected void configure(HttpSecurity http) throws Exception {
   http.authorizeRequests()
             .anyRequest().authenticated()
          .and()
             .addFilterBefore(new EAccessAuthenticationFilter(), BasicAuthenticationFilter.class);
}

https://github.com/spring-projects/spring-security/issues/3958

Answer 6

经过几次测试，我意识到实际上我的配置没问题，只是理解问题。 spring.security.ignored=/api/** 不会绕过或关闭过滤器。实际上，每个请求仍然通过我的自定义过滤器，但不同之处在于 Spring Security 不介意身份验证状态或来自自定义过滤器的授予权限。

我想知道“忽略”属性只是绕过弹簧安全过滤器。听起来我完全错了......