仅针对 spring 安全性中的少数路径禁用过滤器

Disabling a filter for only a few paths in spring security

除了我想忽略的请求之外,我如何获得一个过滤器以应用于根路径之外的每个请求?这是我的例子:

我有一个 Spring 安全过滤器,如下所示:

    private static class SecurityConfiguration extends WebSecurityConfigurerAdapter {

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.csrf().disable().antMatcher("/**")
                    .addFilterBefore(new AuthenticationFilter(), BasicAuthenticationFilter.class);
        }

        @Override
        public void configure(WebSecurity web) {
            web.ignoring().requestMatchers(SecurityServletRequestMatchers.servletIgnoreAuthMatcher());
        }

    }

此过滤器填充 CustomApiToken object,其中包含我们所有的 header 信息,并将其放入 spring 安全上下文 SecurityContextHolder.getContext().setAuthentication(token) 以便于访问令牌请求控制器。

我正在尝试将 springfox 添加到项目中,这意味着我想禁用 UI 和 api 文档页面的过滤器。

我最初的尝试是在方法中添加一个子句:

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.csrf().disable().antMatcher("/**")
                    .addFilterBefore(new AuthenticationFilter(), BasicAuthenticationFilter.class);

            http.requestMatcher(SecurityServletRequestMatchers.servletIgnoreAuthMatcher()).headers() //.servletIgnoreAuthMatchers has all the swagger urls also
                    .defaultsDisabled()
                    .disable()
                    .authorizeRequests()
                    .anyRequest().authenticated();
        }

但是我发现这只考虑了第二个子句,因为 spring 安全只接受最后一个子句。

我已经尝试过:

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.csrf().disable()
                    .antMatcher("/**")
                    .addFilterBefore(new AuthenticationFilter(), BasicAuthenticationFilter.class)
                    .requestMatcher(SecurityServletRequestMatchers.servletIgnoreAuthMatcher()).headers()
                    .defaultsDisabled()
                    .disable()
                    .authorizeRequests()
                    .anyRequest().authenticated();
        }

但是 springfox 上的 webfilter url 给我一个缺少身份验证令牌的错误。

我试过在这里和互联网上四处寻找,但是 none 个例子已经给了我一个可以接受的答复。

在您的自定义 AuthenticationFilter 中,您可以定义一个 RequestMatcher 并在执行您的逻辑之前使用它,如下所示:

public class AuthenticationFilter extends OncePerRequestFilter {
    private final RequestMatcher ignoredPaths = new AntPathRequestMatcher("/swagger-ui");

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) {
        if (this.ignoredPaths.matches(request)) { 
             filterChain.doFilter(request, response);
             return;
        }

        // do your logic
        filterChain.doFilter(request, response);
    }
}