向 Spring 安全添加过滤器以实现多租户
Add filter to Spring security to implement multi tenant
我需要更新我的 Spring 安全配置以引入多租户管理(我为每个 Web 请求获得 URL 并通过配置文件检索正确的架构)。
所以我向我的 spring 安全配置添加了一个过滤器(因为使用处理程序,登录页面没有正确的模式,因为处理程序是在 spring 安全之后调用的),但现在我捕获了 URL, 设置模式,但页面仍然是空的,不会重定向到登录页面,而且如果我写 /login 没有 HTML 页面出现。
这就是我配置 spring 安全性的方式:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private DataSource dataSource;
@Autowired
private RoleServices roleServices;
@Autowired
private CustomSuccessHandler customSuccessHandler;
@Autowired
public void configAuthentication(AuthenticationManagerBuilder auth)throws Exception {
auth.jdbcAuthentication().dataSource(dataSource)
.passwordEncoder(passwordEncoder())
.usersByUsernameQuery("select username,password,enabled from user where username=?")
.authoritiesByUsernameQuery("select u.username, CONCAT('ROLE_' , r.role) from user u inner join role r on u.idRole = r.idRole where lower(u.username) = lower(?)");
}
@Bean
public PasswordEncoder passwordEncoder(){
PasswordEncoder encoder = new BCryptPasswordEncoder();
return encoder;
}
@Override
public void configure(WebSecurity web) throws Exception {
web
//Spring Security ignores request to static resources such as CSS or JS files.
.ignoring()
.antMatchers("/static/**","/users/{\d+}/password/recover","/users/{\d+}/token/{\d+}/password/temporary")
.antMatchers(HttpMethod.PUT,"/users/{\d+}/token/{\d+}/password/temporary");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
List<Role> roles=roleServices.getRoles();
//Retrieve array of roles(only string field without id)
String[] rolesArray = new String[roles.size()];
int i=0;
for (Role role:roles){
rolesArray[i++] = role.getRole();
}
http
.authorizeRequests() //Authorize Request Configuration
.anyRequest().hasAnyRole(rolesArray)//.authenticated()
.and()//Login Form configuration for all others
.formLogin()
.loginPage("/login").successHandler(customSuccessHandler)
//important because otherwise it goes in a loop because login page require authentication and authentication require login page
.permitAll()
.and()
.exceptionHandling().accessDeniedPage("/403")
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.deleteCookies("JSESSIONID", "JSESSIONID")
.invalidateHttpSession(true)
.permitAll()
.and()
.sessionManagement().invalidSessionUrl("/login")
.and()
.addFilterAfter(new MultiTenancyInterceptor(), BasicAuthenticationFilter.class);
}
}
我在设置租户的位置添加了 MultiTenancyInterceptor 过滤器
@Component
public class MultiTenancyInterceptor extends OncePerRequestFilter {
@Override
public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain)
throws IOException, ServletException {
String url = request.getRequestURL().toString();
URI uri;
try {
uri = new URI(url);
String domain = uri.getHost();
if(domain!=null){
TenantContext.setCurrentTenant(domain);
}
} catch (URISyntaxException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
但是当我写登录页面的控制器时没有收到调用:
@Override
@RequestMapping(value = { "/login" }, method = RequestMethod.GET)
public String loginPage(){
return "login";
}
您是否发现我的 configure 方法有错误?如果您需要更多信息,我可以添加其他 类。谢谢
PS:我注意到每个页面请求doFilter被调用了两次
根据 dur 的建议,我添加了代码
filterChain.doFilter(request, response);
过滤方法结束时
最好的方法是实现过滤器接口并执行一些您的 url 逻辑,然后使用 filterChain.doFilter(request, response);[=19= 将其转发到下一个操作]
确保在 web.xml.
中添加此过滤器
无论哪种方式,您都可以使用 spring org.springframework.web.servlet.handler.HandlerInterceptorAdapter 进行预处理,并使用 post 处理 http 请求。 Spring 内部转发到下一个控制器请求方法。
示例:https://www.mkyong.com/spring-mvc/spring-mvc-handler-interceptors-example/
我需要更新我的 Spring 安全配置以引入多租户管理(我为每个 Web 请求获得 URL 并通过配置文件检索正确的架构)。 所以我向我的 spring 安全配置添加了一个过滤器(因为使用处理程序,登录页面没有正确的模式,因为处理程序是在 spring 安全之后调用的),但现在我捕获了 URL, 设置模式,但页面仍然是空的,不会重定向到登录页面,而且如果我写 /login 没有 HTML 页面出现。
这就是我配置 spring 安全性的方式:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private DataSource dataSource;
@Autowired
private RoleServices roleServices;
@Autowired
private CustomSuccessHandler customSuccessHandler;
@Autowired
public void configAuthentication(AuthenticationManagerBuilder auth)throws Exception {
auth.jdbcAuthentication().dataSource(dataSource)
.passwordEncoder(passwordEncoder())
.usersByUsernameQuery("select username,password,enabled from user where username=?")
.authoritiesByUsernameQuery("select u.username, CONCAT('ROLE_' , r.role) from user u inner join role r on u.idRole = r.idRole where lower(u.username) = lower(?)");
}
@Bean
public PasswordEncoder passwordEncoder(){
PasswordEncoder encoder = new BCryptPasswordEncoder();
return encoder;
}
@Override
public void configure(WebSecurity web) throws Exception {
web
//Spring Security ignores request to static resources such as CSS or JS files.
.ignoring()
.antMatchers("/static/**","/users/{\d+}/password/recover","/users/{\d+}/token/{\d+}/password/temporary")
.antMatchers(HttpMethod.PUT,"/users/{\d+}/token/{\d+}/password/temporary");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
List<Role> roles=roleServices.getRoles();
//Retrieve array of roles(only string field without id)
String[] rolesArray = new String[roles.size()];
int i=0;
for (Role role:roles){
rolesArray[i++] = role.getRole();
}
http
.authorizeRequests() //Authorize Request Configuration
.anyRequest().hasAnyRole(rolesArray)//.authenticated()
.and()//Login Form configuration for all others
.formLogin()
.loginPage("/login").successHandler(customSuccessHandler)
//important because otherwise it goes in a loop because login page require authentication and authentication require login page
.permitAll()
.and()
.exceptionHandling().accessDeniedPage("/403")
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.deleteCookies("JSESSIONID", "JSESSIONID")
.invalidateHttpSession(true)
.permitAll()
.and()
.sessionManagement().invalidSessionUrl("/login")
.and()
.addFilterAfter(new MultiTenancyInterceptor(), BasicAuthenticationFilter.class);
}
}
我在设置租户的位置添加了 MultiTenancyInterceptor 过滤器
@Component
public class MultiTenancyInterceptor extends OncePerRequestFilter {
@Override
public void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain)
throws IOException, ServletException {
String url = request.getRequestURL().toString();
URI uri;
try {
uri = new URI(url);
String domain = uri.getHost();
if(domain!=null){
TenantContext.setCurrentTenant(domain);
}
} catch (URISyntaxException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
但是当我写登录页面的控制器时没有收到调用:
@Override
@RequestMapping(value = { "/login" }, method = RequestMethod.GET)
public String loginPage(){
return "login";
}
您是否发现我的 configure 方法有错误?如果您需要更多信息,我可以添加其他 类。谢谢
PS:我注意到每个页面请求doFilter被调用了两次
根据 dur 的建议,我添加了代码
filterChain.doFilter(request, response);
过滤方法结束时
最好的方法是实现过滤器接口并执行一些您的 url 逻辑,然后使用 filterChain.doFilter(request, response);[=19= 将其转发到下一个操作] 确保在 web.xml.
中添加此过滤器无论哪种方式,您都可以使用 spring org.springframework.web.servlet.handler.HandlerInterceptorAdapter 进行预处理,并使用 post 处理 http 请求。 Spring 内部转发到下一个控制器请求方法。
示例:https://www.mkyong.com/spring-mvc/spring-mvc-handler-interceptors-example/