Spring Security自定义拦截器

Posted 2023-04-13

参考技术A HttpSecurity实际上就是在配置Spring security的过滤器链，比如：CSRF，CORS，表单登录等，每个配置器对应一个过滤器，可以通过HttpSecurity配置过滤器的行为。

甚至可以像CRSF一样直接关闭过滤器，例如：SessionManagement

Spring Security通过SessionManagermentConfigurer来配置SessionManagerment的行为，与SessionManagermentConfigurer类似的配置器还有CorsConfigurer，RememberMeConfigurer等，他们都实现了SecurityConfigurer的标准接口。

SessionManagementConfigurer是在configure方法中将最终的SessionManagementFilter插入过滤器链来实现会话管理的。

除了Spring security提供的过滤器外，我们还可以添加自己的过滤器以实现更多的功能，这些都是可以在HttpSecurity中实现

虽然Spring Security 的过滤器链对过滤器没有特殊要求，只要继承了Filter即可，但是在Spring体系中，推荐使用OnePerRequestFilter来实现，它可以确保一次请求只会通过一次该过滤器（Filter实际并不能保证这一点）

其实关于这个自定义Filter，我个人感觉有个比较danteng的地方，比如：我们在实现图片验证码或者一些其他的登录相关的验证码的时候，我们可能会做到在账号跟密码验证了之后对这个验证码进行验证，然后我就必须有个这种操作: http.addFilterBefore(filter,UsernamePasswordAuthenticationFilter.class); 因为如果验证码验证错误，我们就不需要也没必要再往后验证了，所以我们得知道我们定义的这个验证码过滤器得在什么时候验证在哪个过滤器之前或者之后验证，那么问题来了，或许我们并不知道Spring Security给我们提供了哪些或者什么样的过滤器，我们得去记住这些过滤器，这就有点不友好了。在HttpSecurityBuilder接口中，有一段这样的注释:

非常爽眼~

spring security - 编写自定义 SPEL 访问表达式。我的方法正确吗？

【中文标题】spring security - 编写自定义 SPEL 访问表达式。我的方法正确吗？

【英文标题】：spring security - writing a custom SPEL access expression. Is my approach correct?

【发布时间】：2012-04-22 16:58:32

【问题描述】：

我希望指定一个拦截 URL 模式，例如 pattern = hasCollege('college1',college2')。为此，我正在考虑以下方法：

a) 配置 WebExpressionVoter 以使用自定义表达式处理程序

<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:property name="decisionVoters">
        <beans:list>
            <beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter">
                <beans:property name="expressionHandler" ref="myWebSecurityExpressionHandler"/>
            </beans:bean>
        </beans:list>
    </beans:property>
</beans:bean>
<beans:bean id="myWebSecurityExpressionHandler" class="com.daud.security.EEWebSecurityExpressionHandler"/>

b) 使EEWebSecurityExpressionHandler 以DefaultWebSecurityExpressionHandler 的方式实现WebSecurityExpressionHandler 并使用createEvaluationContext 设置自定义根对象。

@Override
    public EvaluationContext createEvaluationContext(Authentication authentication, FilterInvocation fi) 
        StandardEvaluationContext ctx = new StandardEvaluationContext();
        SecurityExpressionRoot root = new MyWebSecurityExpressionRoot(authentication, fi);
        root.setTrustResolver(trustResolver);
        root.setRoleHierarchy(roleHierarchy);
        ctx.setRootObject(root);
        return ctx;
    

c) 使MyWebSecurityExpressionRoot 扩展WebSecurityExpressionRoot 并声明对应于新SPEL 表达式的新方法：

public final boolean hasCollege(String... colleges)
       // logic goes here
    

这是解决问题的正确方法吗？

【问题讨论】：

还讨论了here和here

【参考方案1】：

在您的 spring 安全配置中，您可以执行以下操作。

<http use-expressions="true">
    <intercept-url pattern="/**" access="isFullyAuthenticated() and principal.college matches 'Duke|USC'"/>

这是假设您的主体上有一个 getCollege() 方法。