为什么我们需要在spring security configure(HttpSecurity http)方法中调用http.addFilterBefore()方法？

Question

我想了解为什么我们通常需要在初始 configure(HttpSecurity http) 方法中调用 http.addFilterBefore(jwtAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class) 方法？ 据我了解，它将首先添加 jwtAuthenticationFilter() 的结果，然后是 UsernamePasswordAuthenticationFilter 但我不知道为什么？ jwtAuthenticationFilter() 实现：

@Override
protected  void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder.userDetailsService(customerService).passwordEncoder(bCryptPasswordEncoder());
    }

难道扩展WebSecurityConfigurerAdapter的安全类只会在启动时调用一次？

Answer 1

1. 为什么我们通常需要调用

我们正在配置。不打电话！

1. 难道扩展WebSecurityConfigurerAdapter的安全类只会在启动时调用一次？

是的，配置方法将在启动时执行（Run-Time-Polymorphism）以设置 HttpSecurity 或配置 spring 安全过滤器。

---

简单来说，Spring Security 是一个基于过滤器的框架。我们要么启用现有过滤器并对其进行配置或添加我们的自定义过滤器。

1. configure() 方法用于设置现有过滤器，设置后我们可以修改这些过滤器配置。如果您对配置的修改不能满足您的要求，那么您可以定义自己的自定义文件管理器。
   

2. 要定义自定义过滤器，有以下三个*规定
   _{（实际上是4个addFilterAt()，很少使用）}

 --------------------------------------------------------------------------------------
| java-config                      | xml-config                                        |
 --------------------------------------------------------------------------------------
| .addFilter()                     | <custom-filter  position="BASIC_AUTH_FILTER"/>    |
 --------------------------------------------------------------------------------------
| .addFilterBefore()               | <custom-filter  before="LAST" />                  |
 --------------------------------------------------------------------------------------
| .addFilterAfter()                | <custom-filter  after="FIRST" />                  |
 -------------------------------------------------------------------------------------- 

1. 简单来说。

• .addFilter() 您可以仅添加弹簧定义过滤器的实例，也可以添加这些弹簧安全定义过滤器的子类。 例如
  .addFilter(customAuthFilter, UsernamePasswordAuthenticationFilter.class)customAuthFilter 应该是UsernamePasswordAuthenticationFilter 子类的实例或UsernamePasswordAuthenticationFilter 的实例。

• .addFilterAfter() 和 .addFilterBefore() 这里的过滤器可以是任何自定义过滤器。但是，自定义过滤器应该是GenericFilterBean 的实现。大多数情况下会使用OncePerRequestFilter的实现。

详细分析可以参考sequence of execution in spring security。