Ajouter http filtre de sécurité dans java config

J'essaie d'ajouter de la sécurité sur le web au printemps mais je ne veux pas le filtre à appliquer à certaines choses. Comment est-ce fait en java?

Et peut-être il ya une meilleure façon de le faire car j'ai créé un filtre personnalisé, mais c'est la seule façon que je peux penser de l'instancier en raison de ses dépendances.

Dans l'ensemble, ce que je veux faire, c'est ceci:

/resources/** Ne DOIT PAS passer par le filtre,
/login (POST) ne DEVRAIT PAS passer à travers le filtre,
tout le reste DOIT passer par le filtre

Par le biais de divers exemple, j'ai trouvé par le biais de printemps, j'ai été en mesure de venir avec ce que pour un début, mais il est évident qu'elle ne fonctionne pas:

@Configuration
@EnableWebSecurity
@Import(MyAppConfig.class)
public class MySecurityConfig extends WebSecurityConfigurerAdapter
{
    @Override
    public void configure(WebSecurity webSecurity) throws Exception
    {
        webSecurity.ignoring().antMatchers("/resources/**");
    }

    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception
    {
        httpSecurity
                .authorizeRequests()
                .antMatchers("/resources/**").permitAll()
                .antMatchers("/login").permitAll();

        httpSecurity.httpBasic();
        httpSecurity.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    @Bean
    @Autowired
    public TokenFilterSecurityInterceptor<TokenInfo> tokenInfoTokenFilterSecurityInterceptor(MyTokenUserInfoCache userInfoCache, ServerStatusService serverStatusService, HttpSecurity httpSecurity) throws Exception
    {
        TokenService<TokenInfo> tokenService = new TokenServiceImpl(userInfoCache);
        TokenFilterSecurityInterceptor<TokenInfo> tokenFilter = new TokenFilterSecurityInterceptor<TokenInfo>(tokenService, serverStatusService, "RUN_ROLE");
        httpSecurity.addFilter(tokenFilter);
        return tokenFilter;
    }
}
InformationsquelleAutor jensengar | 2013-11-11
  1. 27

    Êtes-vous intéressé à tous de Printemps de Sécurité en ignorant l'Url ou vous voulez seulement que filtre spécifique pour ignorer la demande? Si vous souhaitez tout de Printemps de Sécurité pour ignorer la demande, il peut être fait en utilisant les éléments suivants:

    @Configuration
@EnableWebSecurity
@Import(MyAppConfig.class)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private MyTokenUserInfoCache userInfoCache;
    @Autowired
    private ServerStatusService serverStatusService;

    @Override
    public void configure(WebSecurity webSecurity) throws Exception
    {
        webSecurity
            .ignoring()
                //All of Spring Security will ignore the requests
                .antMatchers("/resources/**")
                .antMatchers(HttpMethod.POST, "/login");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .addFilter(tokenInfoTokenFilterSecurityInterceptor())
            .authorizeRequests()
                //this will grant access to GET /login too do you really want that?
                .antMatchers("/login").permitAll()
                .and()
            .httpBasic().and()
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    @Bean
    public TokenFilterSecurityInterceptor<TokenInfo> tokenInfoTokenFilterSecurityInterceptor() throws Exception
    {
        TokenService<TokenInfo> tokenService = new TokenServiceImpl(userInfoCache);
        return new TokenFilterSecurityInterceptor<TokenInfo>(tokenService, serverStatusService, "RUN_ROLE");
    }
}

    Si vous voulez avoir seulement cette Filtre à ignorer les demandes particulières, vous pouvez faire quelque chose comme ceci:

    @Configuration
@EnableWebSecurity
@Import(MyAppConfig.class)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private MyTokenUserInfoCache userInfoCache;
@Autowired
private ServerStatusService serverStatusService;
@Override
public void configure(WebSecurity webSecurity) throws Exception
{
webSecurity
.ignoring()
//... whatever is here is ignored by All of Spring Security
}
@Override
public void configure(HttpSecurity http) throws Exception {
http
.addFilter(tokenInfoTokenFilterSecurityInterceptor())
.authorizeRequests()
//this will grant access to GET /login too do you really want that?
.antMatchers("/login").permitAll()
.and()
.httpBasic().and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
@Bean
public TokenFilterSecurityInterceptor<TokenInfo> tokenInfoTokenFilterSecurityInterceptor() throws Exception
{
TokenService<TokenInfo> tokenService = new TokenServiceImpl(userInfoCache);
TokenFilterSecurityInterceptor tokenFilter new TokenFilterSecurityInterceptor<TokenInfo>(tokenService, serverStatusService, "RUN_ROLE");
RequestMatcher resourcesMatcher = new AntPathRequestMatcher("/resources/**");
RequestMatcher posLoginMatcher = new AntPathRequestMatcher("/login", "POST");
RequestMatcher ignored = new OrRequestMatcher(resourcesMatcher, postLoginMatcher);
return new DelegateRequestMatchingFilter(ignored, tokenService);
}
}
public class DelegateRequestMatchingFilter implements Filter {
private Filter delegate;
private RequestMatcher ignoredRequests;
public DelegateRequestMatchingFilter(RequestMatcher matcher, Filter delegate) {
this.ignoredRequests = matcher;
this.delegate = delegate;
}
public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) {
HttpServletRequest request = (HttpServletRequest) req;
if(ignoredRequests.matches(request)) {
chain.doFilter(req,resp,chain);
} else {
delegate.doFilter(req,resp,chain);
}
}
}
    • ne devriez-vous pas passer le tokenFilter au lieu de la tokenService le constructeur de votre DelegateRequestMachingFilter? Dans le tokenInfoTokenFilterSecurityInterceptor méthode, vous créez un filtre, mais vous ne l'utilisez pas.
    • J'ai été plut everhwere si permitall url peuvent être transmis à mon filtre personnalisé comme le http de base du filtre. Mais je vois maintenant que c'est impossible.
    • Je sais que tout le monde l'utilise, mais je ne vois pas l'avantage de cette méthode de chaînage dans configure(HttpSecurity http) , d'autant plus que le changement de type long. N'est-ce pas tout (beaucoup) plus clair si on enlève ceux and() et écrire une nouvelle http.something() déclaration ? Ce qui me manque ici?
    InformationsquelleAutor Rob Winch
  2. 1

    1 Dans la configuration xml de spring-security-je utiliser

    <http pattern="/resources/**" security="none"/> 
<http use-expressions="true">
<intercept-url pattern="/login" access="permitAll"/> 
</http>

    le récupérer à partir de vérification de sécurité.

    2 Après que ajouter mvc:resource balise dans votre configuration spring

    <mvc:resources mapping="/resource/**" location="/resource/"/>

    Important: cette configuration ne fonctionnera que si l'url est gérée par le répartiteur de la servlet. Cela signifie que, dans web.xml vous devez avoir

       <servlet-mapping>
<servlet-name>dispatcher</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
    • Eh bien, j'en ai un similaire de configuration xml pour une application différente, mais je suis vraiment en train de le faire en java, pour diverses raisons. Le problème, c'est la version de printemps de la sécurité qui prend en charge java config est 3.2.0.RC2 de sorte qu'il n'est même pas encore sorti....
    InformationsquelleAutor mvb13