1

如何将标准 Http 过滤器的多个自定义实现添加到 Spring Security 命名空间 FilterChainProxy?我知道我可以通过使用 after、before 或 position 属性向链中添加一个过滤器。但是如何添加多个过滤器?这是我的安全配置文件

<http pattern="/javax.faces.resource/**" security="none"/>
<http pattern="/resources/**" security="none"/> 
<http pattern="/session_list.jsp" security="none"/>
<http pattern="/security/cas_logout.jsf" security="none"/>
<http pattern="/user/account_signup.jsf" security="none"/>
<http pattern="/user/company_user_association.jsf" security="none"/>
<http pattern="/user/account_signup_review.jsf" security="none"/>                       

<http auto-config="true" use-expressions="true" entry-point-ref="casEntryPoint" access-decision-manager-ref="accessDecisionManager">            
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>
    <logout logout-success-url="/security/cas_logout.jsf" invalidate-session="true"/>
    <custom-filter position="CAS_FILTER" ref="casFilter"/>
    <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>
    <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/>       
</http>

     <beans:bean id="portalSessionFilter" class="org.x.web.security.PortalSessionInterceptor"/>     
     <beans:bean id="requestUrlStackFilter" class="org.x.web.security.RequestUrlStackFilter"/>

我想将portalSessionFilter 和 requestUrlStackFilter添加到上面的过滤器链中。我可以做到这一点

<custom-filter ref="portalSessionFilter" before="LAST"/>

但是如何在 LAST 之前和portalSessionFilter之后添加requestUrlStackFilter顺便说一句,它们都是简单的 GenericFilterBean 实现。

我尝试在其链列表中创建另一个具有上述两个过滤器的FilterChainProxy bean,并将该 bean 作为自定义过滤器添加到 LAST 之前的命名空间配置中,过滤器似乎工作但我的 JSF 导航被破坏,尤其是使用 commandLink(我认为 AJAX使用此 FilterChainProxy 时调用失败)

任何人都可以就如何将这两个过滤器和可能的其他过滤器添加到 Spring Security 过滤器链提出任何想法吗?

4

1 回答 1

2

我找到了解决我遇到的问题的方法。我通过实现我自己的过滤器链而不是使用弹簧安全过滤器链代理来链接我的过滤器来解决它。FilterChainProxy 的问题在于它在过滤器链的末尾使用了 reset 方法,如果将它注入到主 spring 安全过滤器链代理之间会导致问题。

自定义过滤器链只处理所需的过滤器并将控制权交还给主弹簧安全过滤器链代理。这是更改后配置的外观

<http auto-config="false" use-expressions="true" entry-point-ref="casEntryPoint" access-decision-manager-ref="accessDecisionManager">           
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>
    <logout logout-success-url="/security/cas_logout.jsf" invalidate-session="true"/>
    <custom-filter position="CAS_FILTER" ref="casFilter"/>
    <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>
    <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/>
    <custom-filter ref="customFilterChain" before="LAST"/>
</http>

<beans:bean id="customFilterChain" class="org.x.web.security.CustomFilterChain">
<beans:constructor-arg>
    <beans:list>
        <filter-chain pattern="/javax.faces.resource/**" filters="none"/>
        <filter-chain pattern="/resources/**" filters="none"/>
        <filter-chain pattern="/**" filters="portalSessionFilter,requestUrlStackFilter"/>
    </beans:list>
</beans:constructor-arg>


这里CustomFilterChain扩展了GenericFilterBean但在doFilter方法中链接过滤器(匹配请求模式)并最终将控制权传递回主 spring 安全 FilterChainProxy

于 2012-08-04T23:30:27.323 回答