Spring Boot ,Spring Security的Filter在Tomcat正常,部署在Weblogic 12c Filter順序出錯,導致攔截權限問題

原創 dowler 2020-06-16 15:34

Spring Boot使用main函數啓動或在tomcat中啓動時,Filter是按照正常的順序執行攔截,將工程打包爲war包,部署到weblogic上時,Filter執行順序錯亂,導致權限攔截出錯。

最近公司的一個項目使用Spring Boot開發,前期也做了技術評估,打包成war到Tomcat和Weblogic 12c上運行,靜態資源和RequestMapping訪問均正常,以爲萬事大吉,就開幹了,由於Spring Boot提供了main方式啓動,開發效率確實提高不少,所以團隊都使用這種方式開發,最近項目做的差不多了,要求測試,將工程打包爲war包,部署到weblogic上,問題來了,授權的url始終被一個攔截器優先攔截導致授權通不過,將war包放到Tomcat中,運行正常,百思不得其解。

抓捕問題步驟:

將出問題的Filter(我這裏爲MyFilterSecurityInterceptor)不addFilter到Spring Security的HttpSecurity中,打包部署到weblogic上,問題依舊,查看log日誌,還是進入到MyFilterSecurityInterceptor,oh my god.

於是將 @EnableWebSecurity(debug=true) debug打開,發現打印的Log 的 Security filter chain:  [] 確實沒有MyFilterSecurityInterceptor,可是爲啥還是進入到此MyFilterSecurityInterceptor,當時也沒多想,以爲weblogic的bug,上百度,google 查看了下,說需要重寫SpringBootServletInitializer的onStartup(ServletContext servletContext) ,查看了 SpringBootServletInitializer的方法,也不知道從何寫起,於是在源碼中打斷點追蹤代碼,發現只要是 實現了 Filter的類 ,並且 @Component 註解的,都進入 org.springframework.boot.web.servlet.AbstractFilterRegistrationBean.onStartup(ServletContext) 方法,被 FilterRegistration.Dynamic added = servletContext.addFilter(name, filter); addFilter添加到 servletContext中,難道系統對Filter的Bean默認註冊麼,經過搜索,果然是默認Filter自動註冊,spring boot官方文檔說明默認情況下對 @WebServlet@WebFilter, and @WebListener 以及 @Bean,@Component 這些只要是implements Filter的類,自動添加,默認的過濾路徑爲 /* 。


更改方式,

去掉 @Component

        MyFilterSecurityInterceptor myFilterSecurityInterceptor = new MyFilterSecurityInterceptor();
        myFilterSecurityInterceptor.setAccessDecisionManager(myAccessDecisionManager);
        myFilterSecurityInterceptor.setSecurityMetadataSource(securityMetadataSourceService);
        httpSecurity
        //添加JWT filter
        .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
        //添加 攔截權限 filter
        .addFilterBefore(myFilterSecurityInterceptor, FilterSecurityInterceptor.class);

通過new 方式,即可解決此問題。


其他解決方式:Spring Boot對Servlet,Filter提供了相應的註冊類,可以使用 FilterRegistrationBean 來講進行Filter的精細化配置:

官方給出示例:

@Bean
public FilterRegistrationBean registration(MyFilter filter) {
    FilterRegistrationBean registration = new FilterRegistrationBean(filter);
    registration.setEnabled(false);
    return registration;
}

看來真是得好好看官方文檔啊,不瞭解Spring Boot,還真是很容易入坑。

將此問題記下,以免再次犯錯誤。


參考資料:

Spring Boot Document

Spring Boot: 取消Filter自動註冊

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(二)java版spring boot 社交電子商務平臺-security簡單使用

security的簡單原理: 使用衆多的攔截器對url攔截,以此來管理權限。但是這麼多攔截器,不可能對其一一來講,主要講裏面核心流程的兩個。 首先,權限管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessing

原創 2023-10-10 11:05:06

(三)java版spring cloud+spring boot+redis多租戶社交電子商務平臺-Spring Cloud實戰隨機端口

我們經常會需要啓動多個實例的情況來測試註冊中心、配置中心等基礎設施的高可用,也會用來測試客戶端負載均衡的調用等。但是,我們一個應用只能有一個端口號,這就使得在本機測試的時候,不得不爲同一個服務設置不同的端口來進行啓動。 在本地用不同端口啓動

原創 2023-10-10 11:05:04

idea 創建簡單的Spring boot項目

1、 2、 3、 4、 5、 6、 7、運行 HelloWorld 啓動後內置的Tomcat服務器也同時啓動起來了,然後在瀏覽器中輸入  localhost:8080/hello 

原創 2023-02-25 00:27:09

springboot集成swagger,並掃描多個包路徑

1、引入依賴 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>

原創 2021-09-10 21:35:14

springboot微服務的開發利器

一、微服務和微服務架構 1.1)什麼是微服務         把一個單一的應用程序劃分爲一組小 的服務,每個小的服務都會運行在自己的進程中,服務之間通過輕量級的通信機制(http的rest api)進行通信,那麼 一個個的小服務就是微服務。

原創 2021-09-10 21:35:12

WebSocket實現羣發和單聊--Springboot實現

一:WebSocket原理 1、要談WebSocket就不得不提起HTTP連接     WebSocket是HTML5出的東西(協議,就是大家一起約定好的東西),也就是說HTTP協議沒有變化,或者說沒關係,但HTTP是不支持持久連接的(

原創 2021-07-03 21:23:33

線程池參數原理及應用

線程池原理     Java創建一個線程很方便,只需new Thread()就可以, 但是當有多個任務需要進行進行處理時,頻繁的進行創建和啓用線程同樣需要系統開銷,也不利於管理,於是同mysql的連接池一樣,自然有對線程的管理池即線程池。

原創 2021-07-03 21:23:32

使用Swagger2構建Spring Boot RESTful AIP 文檔

    上一篇我們介紹瞭如何使用Spring Boot快速構建RESTful API “Spring Boot與RESTful API ” ,本篇則介紹一個配合Spring Boot快速構建RESTful文檔的工具     由於Spri

原創 2021-04-23 21:34:13

微服務(spring cloud配置中心)

Spring  cloud配置中心 用於集中配置數據管理,簡化微服務集羣環境下大量配置的更新工作。 1:理解bootstrap.yaml    它會在application之前加載,如果和application有同名屬性,先啓動的會被覆

原創 2021-01-30 10:55:25

springboot 系列教程四:springboot thymeleaf配置

thymeleaf介紹 thymeleaf 是新一代的模板引擎,在spring4.0中推薦使用thymeleaf來做前端模版引擎。簡單說是一個跟 Velocity、FreeMarker 類似的模板引擎,它可以完全替代 JSP 。相較與其他的

原創 2021-01-30 10:25:33

springboot 系列教程五:springboot data jpa使用詳解

首先了解JPA是什麼? JPA(Java Persistence API)是Sun官方提出的Java持久化規範。它爲Java開發人員提供了一種對象-關係表關聯映射工具來管理Java應用中的關係數據。他的出現主要是爲了簡化現有的持久化開發工

原創 2021-01-30 10:25:32

springboot 系列教程一:基礎項目搭建

使用 spring boot 有什麼好處 其實就是簡單、快速、方便!平時如果我們需要搭建一個 spring web 項目的時候需要怎麼做呢? 配置 web.xml,加載 spring 和 spring mvc 配置數據庫連接、配置 sp

原創 2021-01-30 10:25:32

JPA & Spring Data JPA詳解

JPA & Spring Data JPA 一、JPA 1. JPA是什麼 JPA(Java Persistence API)Java持久化 API,是一套基於ORM思想的規範。 ORM(Object Relational Map

稀里糊涂啊哈 2020-07-08 07:41:13

Spring Boot + Vue實現樹形結構

一、前言 開發過程中,涉及到多級菜單的應用,樹形結構比較常見,今天就做了一個Spring Boot + Vue + Element-UI 實現樹形結構的一個小demo。 Tree組件最適合的結構是無序列列表ul,創建一個遞歸組件Item表

素小暖 2020-07-08 06:49:16

Spring Cloud如何優雅打印日誌:slf4j+logback

最近在對項目的日誌進行優化,主要是如何減少不必要的日誌輸出,如何優化日誌輸出的性能, 以及當前code中,一些不規範的日誌輸出代碼的優化。基於此,對java日誌進行了一個系統的梳理。 今天這裏,主要分享一個點,乾貨!具體的理論就不再重複搬

春秋战国程序猿 2020-07-08 00:17:05