问题：

Spring Security身份验证过滤器url被忽略

许鸿志

2023-03-14

我试图完成的是为我的 rest api 提供基于 jwt 令牌的身份验证。/api 下的所有内容只能使用令牌进行访问。

我在 Web 安全配置中具有以下配置方法：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authenticationProvider(authenticationProvider())
        .csrf().disable()
        .authorizeRequests().antMatchers("/api/**").authenticated()
    .and()
        .exceptionHandling()
        .authenticationEntryPoint(authenticationEntryPoint())
    .and()
        .addFilterBefore(authenticationFilter(),BasicAuthenticationFilter.class)
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}

这是过滤器:

public class JwtAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

public JwtAuthenticationFilter(AuthenticationManager manager) {
    super("/api/**");
    this.setAuthenticationManager(manager);
}

@Override
protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response) {
    return true;
}

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

    String header = request.getHeader("Authorization");

    if (header == null || !header.startsWith("Bearer ")) {
        throw new JwtTokenMissingException("No JWT token found in request headers");
    }

    String authToken = header.substring(7);

    JwtAuthenticationToken authRequest = new JwtAuthenticationToken(authToken);

    return getAuthenticationManager().authenticate(authRequest);
}

@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult)
        throws IOException, ServletException {
    super.successfulAuthentication(request, response, chain, authResult);
    chain.doFilter(request, response);
}
}

我的问题是过滤器现在应用于每个url，而不仅仅是具有 /api前缀的url。

我知道我的“配置”方法可能是错误的，但它应该是什么样子？我想要完成的就是为/api路径使用过滤器。

1 个问题：为什么有两个值来配置将应用筛选器的路径？（一次作为配置中antMatchers方法的参数，然后是抽象身份验证处理过滤器的构造函数参数“filterProcessesUrl”）。这些值如何相互关联，我应该使用哪一个？

共有1个答案

皇甫高阳

2023-03-14

问题出在这一部分：

@Override
protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response) {
    return true;
}

我复制了它，但从未意识到它在那里。

类似资料：

SpringSecurity-自定义自动身份验证

问题内容：这是我的情况：一个Web应用程序对许多应用程序执行某种SSO 登录的用户，而不是单击链接，该应用就会向正确的应用发布包含用户信息（名称，pwd [无用]，角色）的帖子我正在其中一个应用程序上实现SpringSecurity以从其功能中受益（会话中的权限，其类提供的方法等）因此，我需要开发一个自定义过滤器 -我猜想-能够从请求中检索用户信息，通过自定义 DetailsUserSe
通过过滤器在Servlet中设置身份验证标头

问题内容：前言这是我第一次尝试过滤器，要小心。项目介绍我正在尝试为我们的一些应用程序最终确定SSO的构建，而且似乎步履维艰。我尝试连接的Webapp使用“身份验证”标头来确定应用程序内的用户凭据。我构建了一个Filter，希望在将标头传递到Web应用程序之前对其进行设置。问题该代码通过Eclipse验证，编译，加载到Tomcat，然后传递到Webapp。唯一缺少的是Authentica
通过selenium webdriver-Chrome使用HTTP url身份验证时，HTTP url身份验证不起作用

在浏览器中直接键入下面的url，它可以工作，但是，当我使用相同的url，用于selenium网络驱动程序测试时，它连接到以及请求HTTP身份验证。我是否需要更改chrome浏览器中的任何设置，或调整默认配置文件？
LDAP身份验证过滤器验证哪个员工属于哪个组

我正在为用户进行LDAP身份验证。步骤是-1。当用户在登录屏幕上输入用户名时。2.请求转到LDAP服务器，并将尝试根据其相应的组验证用户过滤器：=“（|（employeeNumber=deeps）（memberOf=CN=DEV_Admin，OU=LDAP，DC=TEMP，DC=com））” 这个过滤器工作正常，并给我相关组的员工详细信息。现在，需求发生了变化- 当用户输入他的employee
Spring Security自定义身份验证过滤器和授权

我实现了一个自定义的身份验证过滤器，效果很好。在设置会话并将身份验证对象添加到安全上下文后，我使用外部身份提供程序并重定向到最初请求的URL。安全配置过滤逻辑目前，我的自定义过滤器（身份确认后）只需硬编码一个角色：然后将该身份验证对象（上面返回）添加到我的SecurityContext，然后再重定向到所需的endpoint： SecurityContextHolder.getContext
Spring Boot HttpSecurity - @PreAuthorize - 如何设置身份验证过滤器？

我目前正在开发一个 API 授权。所以基本上我有一个过滤器。例如，在我的 RestController 中，我想注释应该通过过滤的请求。所以我的问题是：我如何设置（或任何其他东西）来将注释与JwtAuthorizationFilter链接？谢谢！向塞巴斯蒂安问好

Spring Security身份验证过滤器url被忽略

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档