多次调用 Spring 安全自定义过滤器

Question

我有一个自定义注销过滤器调用了六次。我尝试访问应用程序两次，输入用户名/密码并单击“登录”两次，然后单击“注销”再次两次。

我做错了什么？

配置：

<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN_FUNCTIONS')" />      
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />

    <form-login login-page="/login"
        authentication-success-handler-ref="customAuthenticationSuccessHandlerBean"
        authentication-failure-handler-ref="customAuthenticationFailureHandlerBean" />
    <logout invalidate-session="true" success-handler-ref="logoutHandlerBean" />
    <session-management session-fixation-protection="migrateSession">
        <concurrency-control max-sessions="1"
            expired-url="/login_sessionexpired" />
    </session-management>

    <custom-filter before="LOGOUT_FILTER" ref="customLogoutFilter" />
</http>

<beans:bean id="customLogoutFilter" class="com.hurontg.libms.security.CustomLogoutFilter" />

过滤器：

public class CustomLogoutFilter extends OncePerRequestFilter {
/**
 * 
 */
private XLogger logger = XLoggerFactory
        .getXLogger(CustomLogoutFilter.class.getName());

@Override
protected void doFilterInternal(HttpServletRequest req,
        HttpServletResponse res, FilterChain chain)
        throws ServletException, IOException {

    logger.error("========================================================================================");
    logger.error("$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ Custom Logout Filter $$$$$$$$$$$$$$$$$$$$$$$$$$$$$");
    logger.error("========================================================================================");

    chain.doFilter(req, res);
}

}

春季版：4.1.1 Spring 安全性：3.2.5

Answer 1

可能会为正在请求的其他 URL 调用它。例如，如果您在页面上加载了任何 css、javascript、图像，它将为每个页面调用。尝试添加一个显示当前请求信息的日志记录语句，以确定是否是这种情况。例如，

logger.error("URL = " + req.getRequestURL());

Answer 2

如果您使用的是 Spring Boot，上下文中的任何GenericFilterBean（OncePerRequestFilter 为一）都会自动添加到过滤器链中。这意味着您上面的配置将包含两次相同的过滤器。

最简单的解决方法是在上下文中定义FilterRegistrationBean，并禁用它：

<beans:bean id="customLogoutFilterRegistration" class="org.springframework.boot.context.embedded.FilterRegistrationBean">
    <beans:property name="filter" ref="customLogoutFilter"/>
    <beans:property name="enabled" value="false"/>
</beans:bean>

编辑（2020 年 11 月 3 日）：

对于在 SpringBoot 中工作并希望使用注释注册 bean 的任何人。在 Spring Boot 应用初始化程序文件中添加以下代码（带有@SpringBootApplication 注解）：

@Bean
public FilterRegistrationBean filterRegistrationBean() {
    FilterRegistrationBean registrationBean = new FilterRegistrationBean();
    registrationBean.setFilter(new YourCustomFilterClassName());
    registrationBean.setEnabled(false);
    return registrationBean;
}

Answer 3

只是分享我的案例:(

我没有在 AuthenticationProvider 中设置 authentication.setAuthenticated(true)。

因此，AbstractPreAuthenticatedProcessingFilter 调用了一次authenticate，然后AbstractSecurityInterceptor 也调用了authenticateIfNeeded。

Answer 4

Spring security 有大约 12 个过滤器，其中一些会尝试检查用户是否经过身份验证。例如，有一个名为 AnonymousAuthenticationFilter 的过滤器。

如果您提供身份验证提供程序并且您已经对请求进行了一次身份验证，则应在安全上下文中设置身份验证对象。

SecurityContextHolder.getContext().setAuthentication(authentication)

在示例中，AnonymousAuthenticationFilter 尝试从安全上下文中获取身份验证。如果没有找到，它会再次拨打电话。