spring boot 3.1.10
spring-boot-starter-security 3.1.10spring security web 6.1.8
--
ben发布于博客园
序章
自定义了 Bean SecurityFilterChain,在 http.authorizeHttpRequests 中放行了 接口“/system/register”,还定义了 session管理 的 invalidSessionStrategy。
|
@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { .authorizeHttpRequests((authorize) -> authorize .requestMatchers("/system/register").permitAll() .anyRequest().authenticated() ) .sessionManagement(sm -> sm .invalidSessionStrategy(new AppInvalidSessionStrategy()) )) return http.build(); } |
可是,遇到了问题:访问 /system/register 时,提示 “无效凭证”——由 invalidSessionStrategy 触发。
无效凭证的原因 是 请求自带了 Cookie JSESSIONID,触发了 SESSION 验证机制,验证无效,由 自定义的 invalidSessionStrategy 处理——返回错误信息。
期望:接口 /system/register 无需验证、授权即可访问。
解决方案1:添加Bean WebSecurityCustomizer
根据 参考资料#1 的介绍,添加了一个 Bean WebSecurityCustomizer,解决了问题。
@Bean
public WebSecurityCustomizer ignoringCustomizer() {
// 忽略注册接口
return (web) -> web.ignoring()
.requestMatchers("/system/register");
}更多介绍,请查看 参考资料#1。
ben发布于博客园
解决方案2:添加 空Filter列表 的 Bean SecurityFilterChain(推荐)
根据 官网文档:
Spring Security > Servlet Applications > Architecture(https://docs.spring.io/spring-security/reference/servlet/architecture.html) 的介绍,
可以 添加多个 SecurityFilterChain 实例(multiple SecurityFilterChain instances),各个实例 处理 不同的请求。
官方图官方图-multi-securityfilterchain.png:
在官文 中有这样一句话:
|
It is important to note that each SecurityFilterChain can be unique and can be configured in isolation. In fact, a SecurityFilterChain might have zero security Filter instances if the application wants Spring Security to ignore certain requests. |
|
翻译(金山词霸): 需要注意的是,每个安全过滤器链都可以是 唯一的,并且可以 进行 隔离配置。 实际上,如果应用程序 希望Spring安全程序 忽略 某些请求,那么 安全过滤器链 可能 没有任何安全过滤器实例。 |
这不正是自己想要的吗——忽略某些请求(/system/register)?
鼓捣了好一会儿,最终,直接 添加一个 空Filter列表 的 Bean SecurityFilterChain 从而实现了需求。
@Bean
public SecurityFilterChain securityFilterChainEmpty() {
return new SecurityFilterChain() {
private RequestMatcher requestMatcher = request -> request
.getRequestURI().startsWith("/system/register");
@Override
public boolean matches(HttpServletRequest request) {
return requestMatcher.matches(request);
}
@Override
public List<Filter> getFilters() {
return new ArrayList<>();
}
};
}ben发布于博客园
小结
推荐使用 解决方案#2。
没事多看看 官方文档。
---END---
ben发布于博客园
本文链接:
https://www.cnblogs.com/luo630/p/18125429
ben发布于博客园
参考资料
1、SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
吃青椒的秋草鹦鹉
已于 2023-06-04 22:02:31 修改
https://blog.csdn.net/m0_54250110/article/details/131037578
2、
ben发布于博客园
ben发布于博客园
标签:ben,spring,博客园,system,SecurityFilterChain,Bean,放行,security From: https://www.cnblogs.com/luo630/p/18125429