問(wèn)題描述：

使用Spring Security時(shí)，在WebSecurityConfig中需要通過(guò)@bean注解注入Security的filter對(duì)象，但是不知是不是因?yàn)閟pring boot框架的原因還是什么未知原因，導(dǎo)致在這里注入，就會(huì)多注入一次這個(gè)對(duì)象，導(dǎo)致filter鏈走完之后，又會(huì)回到這個(gè)filter中再執(zhí)行一次。

@Bean
    public JwtAuthenticationTokenFilter authenticationTokenFilterBean() throws Exception {
        return new JwtAuthenticationTokenFilter();
    }

這是WebSecurityConfig.java中原本需要注入的對(duì)象。

httpSecurity
.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

添加到Security中，這時(shí)，可能就會(huì)因?yàn)檫@一次的注入，導(dǎo)致filter鏈在本應(yīng)該執(zhí)行完之后，再一次執(zhí)行添加到Security的filter……

解決辦法：

將這兩個(gè)代碼段注釋掉即可解決，當(dāng)然，只是解決filter鏈執(zhí)行完后再執(zhí)行Security的filter的問(wèn)題，本質(zhì)上來(lái)說(shuō)并不能真正的解決問(wèn)題。如果有更好的理解或者更好的解決方法，歡迎討論。

2019-5-9 16:49:00：之前這么做發(fā)現(xiàn)，這樣Spring Security就相當(dāng)于沒(méi)有作用了，但是filter還是會(huì)起作用，而如果啟用Spring Security，還是會(huì)進(jìn)入filter……如果授權(quán)自定義的話Spring Security感覺(jué)沒(méi)有用處了，當(dāng)然這是我碰到的問(wèn)題，框架也是別人搭起來(lái)的，但是用法是不對(duì)的，導(dǎo)致寫(xiě)的filter變成了自定義的，感覺(jué)跟Spring Security框架格格不入，如果有大佬知道的話歡迎指導(dǎo)！謝謝。

如果要使用Spring Security，那么就需要將JwtAuthenticationTokenFilter上的@Component注解刪除或者注釋掉，因?yàn)槎巫⑷氲念惗际沁@個(gè)，但是產(chǎn)生的類對(duì)象應(yīng)該是不一樣的，所以會(huì)導(dǎo)致二次進(jìn)入filter。

所以搞得我現(xiàn)在很懷疑Spring Security是不是有必要……

Spring Security3自定義安全過(guò)濾器位置及注意事項(xiàng)

當(dāng)auto-config="true"時(shí),springSecurity自動(dòng)創(chuàng)建過(guò)濾器鏈

1.自定義過(guò)濾器位置需要在已有過(guò)濾器之前或之后，否則會(huì)報(bào)錯(cuò)；

2.由于FilterSecurityInterceptor安全observeOncePerRequest（每個(gè)請(qǐng)求一次）默認(rèn)為true.

默認(rèn)情況下FilterSecurityInterceptor只會(huì)執(zhí)行一個(gè)，所以如果既要執(zhí)行默認(rèn)安全過(guò)濾器又要執(zhí)行自定義過(guò)濾器，自定義過(guò)濾器放到默認(rèn)安全過(guò)濾器之前，同時(shí)observeOncePerRequest設(shè)置為false.

如：

（1）

<custom-filter after="FILTER_SECURITY_INTERCEPTOR" ref="menuFilter" />

（2）

<beans:property name="observeOncePerRequest" value="false" />

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論