6

对于一个项目,我尝试使用 Spring Security 3.2 作为基础安全性。因为这个项目已经启动并运行了,所以我已经有了另一个(自己的)安全层。因此,我制作了一个自定义身份验证提供程序来融化安全层。工作正常,直到我还需要进行自定义匿名身份验证(Spring Security Documentation,第 13 章)。

所以我做了一个自定义过滤器并删除了原始过滤器:

<http request-matcher="regex" use-expressions="true">
    <anonymous enabled="false" />
    <custom-filter ref="anonymousAuthFilter" position="ANONYMOUS_FILTER"/>
    ...
</http>

豆子:

<beans:bean id="anonymousAuthFilter" class="own.package.auth.SecurityAnonymousAuthenticationFilter">
    <beans:property name="key" value="anonymousKey "/>
    <beans:property name="userAttribute" value="anonymous,ROLE_ANONYMOUS"/>
</beans:bean>

和 te Java 类:

public class SecurityAnonymousAuthenticationFilter extends GenericFilterBean implements InitializingBean {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        logger.info("Entering doFilter method");
        //implementation code here
    }

    //other methods
}

问题是请求服务器时没有调用doFilter方法。但是正在调用 init 方法 afterPropertiesSet()... 有谁明白为什么我的 customFilter 没有被触发?

PS 我确实在 web.xml 文件中命名了 delegatingFilterProxy,所以这不是问题。

4

1 回答 1

1

由于ANONYMOUS_FILTER是与命名空间相关的过滤器。您必须避免引用特定过滤器位置的任何命名空间标记:

   <http auto-config='false' request-matcher="regex" use-expressions="true">
    <custom-filter ref="anonymousAuthFilter" position="ANONYMOUS_FILTER"/>
    ...
   </http>

如需进一步参考,请参阅第 2.3.5 节中的 Spring 安全文档:http: //static.springsource.org/spring-security/site/docs/3.0.x/reference/ns-config.html

编辑:一定要留下<anonymous-enabled=false/>标签。

编辑2:更正了我的答案。此配置应该可以工作。如果没有,那么我们需要开始考虑更大的图景,并且您必须发布更多您的应用程序,从完整的配置开始。

于 2013-05-27T16:00:48.280 回答