Spring Security - 多种配置 - 添加 LogoutHandler

【问题标题】:Spring Security - multiple configurations - add LogoutHandlerSpring Security - 多种配置 - 添加 LogoutHandler
【发布时间】:2018-04-14 08:51:12
【问题描述】:

我有一个使用 spring-security 的 spring-boot 应用程序。安全配置被拆分为多个WebSecurityConfigurerAdapter 实例。

我有一个配置注销的地方:

@Override
protected void configure(HttpSecurity http) throws Exception {

    // configure logout
    http
            .logout()
            .logoutUrl("/logout")
            .invalidateHttpSession(true)
            .addLogoutHandler((request, response, authentication) -> {
                System.out.println("logged out 1!");
            })
            .permitAll();

    // ... more security configuration, e.g. login, CSRF, rememberme
}

还有另一个WebSecurityConfigurerAdapter,我几乎什么都不想做,除了添加另一个LogoutHandler:

@Override
protected void configure(HttpSecurity http) throws Exception {

    // configure logout
    http
            .logout()
            .logoutUrl("/logout")
            .addLogoutHandler((request, response, authentication) -> {
                System.out.println("logged out 2!");
            });
}

两个configure() 方法都被调用。但是,如果我确实注销,则只会调用第一个 LogoutHandler。更改两种配置的@Order 不会改变结果。

我的配置中缺少什么?

【问题讨论】:

  • 您是在尝试将两个注销处理程序注册到同一个 url,还是要专门设置一个不运行其他所有内容的注销?
  • 两个 LogoutHandlers 应该在同一个注销时运行。
  • 试试那个链接,docs.spring.io/spring-security/site/docs/current/reference/… 我觉得你的网址是一样的。
  • 我当然知道那个链接,但我应该特别关注哪个部分?我的观点是模块化配置功能。
  • 他们有@Order(2) 和@Order(3),改变它不会影响调用哪个处理程序。它始终是更“宽”配置中的一个。无论如何,在这两种情况下,我都希望两者都被调用。但也许当前版本无法做到这一点?

标签: java spring spring-mvc security spring-security


【解决方案1】:

当您创建多个安全配置时,Spring Boot 将为每个配置创建一个单独的 SecurityFilterChain。见WebSecurity

@Override
protected Filter performBuild() throws Exception {
    // ...
    for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
        securityFilterChains.add(securityFilterChainBuilder.build());
    }
    // ...
}

当应用程序收到注销请求时FilterChainProxy将只返回一个SecurityFilterChain:

private List<Filter> getFilters(HttpServletRequest request) {
    for (SecurityFilterChain chain : filterChains) {
        // Only the first chain that matches logout request will be used:
        if (chain.matches(request)) {
            return chain.getFilters();
        }
    }

    return null;
}

如果您真的需要模块化安全配置,我建议为注销和其他领域创建单独的安全配置。您可以在不同的配置类中将注销处理程序定义为 bean(使用 @Bean 注释),并在注销配置中收集这些处理程序:

WebSecurityLogoutConfiguration.java

@Configuration
@Order(99)
public class WebSecurityLogoutConfiguration extends WebSecurityConfigurerAdapter {

    // ALL YOUR LOGOUT HANDLERS WILL BE IN THIS LIST
    @Autowired
    private List<LogoutHandler> logoutHandlers;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // configure only logout
        http
                .logout()
                .logoutUrl("/logout")
                .invalidateHttpSession(true)
                // USE CompositeLogoutHandler
                .addLogoutHandler(new CompositeLogoutHandler(logoutHandlers));
        http.csrf().disable(); // for demo purposes
    }
}

WebSecurity1Configuration.java

@Configuration
@Order(101)
public class WebSecurity1Configuration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // ... more security configuration, e.g. login, CSRF, rememberme
        http.authorizeRequests()
                .antMatchers("/secured/**")
                .authenticated();
    }

    // LOGOUT HANDLER 1
    @Bean
    public LogoutHandler logoutHandler1() {
        return (request, response, authentication) -> {
            System.out.println("logged out 1!");
        };
    }
}

WebSecurity2Configuration.java

@Configuration
@Order(102)
public class WebSecurity2Configuration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/api/**")
                .permitAll();
    }

    // LOGOUT HANDLER 2
    @Bean
    public LogoutHandler logoutHandler2() {
        return (request, response, authentication) -> {
            System.out.println("logged out 2!");
        };
    }
}

【讨论】:

  • 当我将所有LogoutHandlers 放在一个地方时,我还需要CompositeLogoutHandler 还是不能将它们全部添加到一个循环中?除此之外,您的答案看起来很有希望。
【解决方案2】:

您应该在单个 /logout 操作端点上使用 CompositeLogoutHandler 解决此问题。

您仍然可以根据需要保留两个 WebSecurityConfigurerAdapter,但您会将两个 LogoutHandlers 的注销功能合并到一个复合操作中:

new CompositeLogoutHandler(loggedOutHandler1, loggedOutHandler2);

【讨论】:

  • 这是我想避免的那种手动接线(CompositeLogoutHandler 内部不会发生太多魔法)。我想提供一个独立的WebSecurityConfigurerAdapter,它将添加自己工作的功能。最简单的示例是记录每次登录和注销。但似乎addLogoutHandler 的行为更像setLogoutHandler
【解决方案3】:

关键是你应该创建独立的 AuthenticationManger 实例。

Here is an sample for multiples WebSecurityAdapter

【讨论】:

    猜你喜欢
    • 2016-06-30
    • 1970-01-01
    • 2012-12-28
    • 2014-11-14
    • 2020-08-24
    • 2012-02-24
    • 2021-12-30
    • 2012-06-04
    • 2012-01-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode