防止 Spring Boot 注册 servlet 过滤器

Posted

技术标签:

【中文标题】防止 Spring Boot 注册 servlet 过滤器【英文标题】:Prevent Spring Boot from registering a servlet filter 【发布时间】:2015-04-09 21:53:54 【问题描述】:

我有一个 Spring Boot WebMVC 应用程序和一个继承自 AbstractPreAuthenticatedProcessingFilter 的 bean,我明确地将其添加到 Spring Security 过滤器链中的特定位置。我的 Spring Security 配置如下所示:

<http pattern="/rest/**">
  <intercept-url pattern="/**" access="ROLE_USER"/>
  <http-basic/>
  <custom-filter after="BASIC_AUTH_FILTER" ref="preAuthenticationFilter"/>
</http>

<beans:bean id="preAuthenticationFilter" class="a.b.PreAuthenticationFilter">
  <beans:property name="authenticationManager" ref="customAuthenticationManager"/>
</beans:bean>

安全配置有效。问题是,因为 PreAuthenticationFilter 类继承自 AbstractPreAuthenticatedProcessingFilter,所以 Spring Boot 将其视为通用 servlet 过滤器,并将其添加到所有请求的 servlet 过滤器链中。我不希望此过滤器成为所有请求的过滤器链的一部分。我只希望它成为我配置的特定 Spring Security 过滤器链的一部分。有没有办法防止 Spring Boot 自动将 preAuthenticationFilter bean 添加到过滤器链中?

【问题讨论】:

【参考方案1】:

如果您想一次性取消注册所有过滤器,这是我的窍门:

public class DefaultFiltersBeanFactoryPostProcessor implements BeanFactoryPostProcessor 

    @Override
    public void postProcessBeanFactory(ConfigurableListableBeanFactory bf)
            throws BeansException 
        DefaultListableBeanFactory beanFactory = (DefaultListableBeanFactory) bf;

        Arrays.stream(beanFactory.getBeanNamesForType(javax.servlet.Filter.class))
                .forEach(name -> 

                    BeanDefinition definition = BeanDefinitionBuilder
                            .genericBeanDefinition(FilterRegistrationBean.class)
                            .setScope(BeanDefinition.SCOPE_SINGLETON)
                            .addConstructorArgReference(name)
                            .addConstructorArgValue(new ServletRegistrationBean[])
                            .addPropertyValue("enabled", false)
                            .getBeanDefinition();

                    beanFactory.registerBeanDefinition(name + "FilterRegistrationBean",
                            definition);
                );

更多关于这种技术的信息 - here。

【讨论】:

【参考方案2】:

默认情况下,Spring Boot 为应用程序上下文中的每个 Filter 创建一个 FilterRegistrationBean,而 FilterRegistrationBean 尚不存在。这允许您通过为Filter 声明您自己的FilterRegistrationBean 来控制注册过程,包括禁用注册。对于您的PreAuthenticationFilter,所需的配置如下所示:

@Bean
public FilterRegistrationBean registration(PreAuthenticationFilter filter) 
    FilterRegistrationBean registration = new FilterRegistrationBean(filter);
    registration.setEnabled(false);
    return registration;

您可能还对this Spring Boot issue 感兴趣,其中讨论了如何禁用FilterServlet bean 的自动注册。

【讨论】:

即使在registration.setEnabled(false)之后过滤器也能正常工作; @Nandhu 在这种情况下,我建议您使用minimal, complete, and verifiable example 提出您自己的问题。 @Nandhu 你最后做了什么?即使在 setEnabled(false); 之后,我也面临同样的问题过滤器正在注册。

以上是关于防止 Spring Boot 注册 servlet 过滤器的主要内容,如果未能解决你的问题,请参考以下文章

在不同端口上注册 Spring Boot Servlet

防止 Spring Boot 注册 Spring Security 过滤器之一

Spring boot Embedded tomcat 中 jersey Servlet 注册的编程等效项

Spring Boot Servlet 过滤 监听

在spring boot的管理端口中使用prometheus metrics servlet

一个依赖解决 Spring Boot 反爬虫,防止接口盗刷