Spring Security 多重过滤器链问题
Posted
技术标签:
【中文标题】Spring Security 多重过滤器链问题【英文标题】:Spring Security multiple filter chain issue 【发布时间】:2018-07-08 15:21:52 【问题描述】:我们有一个具有多个过滤器链配置的正常运行的应用程序。第一个过滤器链属于不需要身份验证的 REST POST 请求:
...
<http pattern="/*.info**" entry-point-ref="infoEntryPoint" use-expressions="true" create-session="never">
<intercept-url pattern="/*.info" access="permitAll" />
</http>
<beans:bean id="infoEntryPoint" class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint">
<beans:property name="realmName" value="Info REST Realm" />
</beans:bean>...
它适用于 GET 和 POST 请求,但升级到 Spring Security 4 后,该过滤器链不会捕获 POST 请求,但下一个过滤器链会捕获它们(并创建会话并抛出 403,做正确的工作) .
我该如何解决?
【问题讨论】:
【参考方案1】:CSRF 保护在 Spring Security 中默认开启,之前默认关闭。以下条目(在 http 标签内)解决了这个问题:
<csrf disabled="true"/>
【讨论】:
以上是关于Spring Security 多重过滤器链问题的主要内容,如果未能解决你的问题,请参考以下文章
spring security - 针对不同 CURL 模式的多重身份验证
在 Spring Security 过滤器链之前记录请求标头
Spring Security Reactive WebFilterChainProxy 仅调用单个过滤器链
在 Spring Boot 库的上下文中添加新的 spring-security 链过滤器的预期方法