防止 Spring Boot 注册 servlet 过滤器
Posted
技术标签:
【中文标题】防止 Spring Boot 注册 servlet 过滤器【英文标题】:Prevent Spring Boot from registering a servlet filter 【发布时间】:2015-04-09 21:53:54 【问题描述】:我有一个 Spring Boot WebMVC 应用程序和一个继承自 AbstractPreAuthenticatedProcessingFilter 的 bean,我明确地将其添加到 Spring Security 过滤器链中的特定位置。我的 Spring Security 配置如下所示:
<http pattern="/rest/**">
<intercept-url pattern="/**" access="ROLE_USER"/>
<http-basic/>
<custom-filter after="BASIC_AUTH_FILTER" ref="preAuthenticationFilter"/>
</http>
<beans:bean id="preAuthenticationFilter" class="a.b.PreAuthenticationFilter">
<beans:property name="authenticationManager" ref="customAuthenticationManager"/>
</beans:bean>
安全配置有效。问题是,因为 PreAuthenticationFilter 类继承自 AbstractPreAuthenticatedProcessingFilter,所以 Spring Boot 将其视为通用 servlet 过滤器,并将其添加到所有请求的 servlet 过滤器链中。我不希望此过滤器成为所有请求的过滤器链的一部分。我只希望它成为我配置的特定 Spring Security 过滤器链的一部分。有没有办法防止 Spring Boot 自动将 preAuthenticationFilter bean 添加到过滤器链中?
【问题讨论】:
【参考方案1】:如果您想一次性取消注册所有过滤器,这是我的窍门:
public class DefaultFiltersBeanFactoryPostProcessor implements BeanFactoryPostProcessor
@Override
public void postProcessBeanFactory(ConfigurableListableBeanFactory bf)
throws BeansException
DefaultListableBeanFactory beanFactory = (DefaultListableBeanFactory) bf;
Arrays.stream(beanFactory.getBeanNamesForType(javax.servlet.Filter.class))
.forEach(name ->
BeanDefinition definition = BeanDefinitionBuilder
.genericBeanDefinition(FilterRegistrationBean.class)
.setScope(BeanDefinition.SCOPE_SINGLETON)
.addConstructorArgReference(name)
.addConstructorArgValue(new ServletRegistrationBean[])
.addPropertyValue("enabled", false)
.getBeanDefinition();
beanFactory.registerBeanDefinition(name + "FilterRegistrationBean",
definition);
);
更多关于这种技术的信息 - here。
【讨论】:
【参考方案2】:默认情况下,Spring Boot 为应用程序上下文中的每个 Filter
创建一个 FilterRegistrationBean
,而 FilterRegistrationBean
尚不存在。这允许您通过为Filter
声明您自己的FilterRegistrationBean
来控制注册过程,包括禁用注册。对于您的PreAuthenticationFilter
,所需的配置如下所示:
@Bean
public FilterRegistrationBean registration(PreAuthenticationFilter filter)
FilterRegistrationBean registration = new FilterRegistrationBean(filter);
registration.setEnabled(false);
return registration;
您可能还对this Spring Boot issue 感兴趣,其中讨论了如何禁用Filter
和Servlet
bean 的自动注册。
【讨论】:
即使在registration.setEnabled(false)之后过滤器也能正常工作; @Nandhu 在这种情况下,我建议您使用minimal, complete, and verifiable example 提出您自己的问题。 @Nandhu 你最后做了什么?即使在 setEnabled(false); 之后,我也面临同样的问题过滤器正在注册。以上是关于防止 Spring Boot 注册 servlet 过滤器的主要内容,如果未能解决你的问题,请参考以下文章
防止 Spring Boot 注册 Spring Security 过滤器之一
Spring boot Embedded tomcat 中 jersey Servlet 注册的编程等效项