Spring Security自定义过滤器多次执行的问题

已于 2022-07-26 00:36:44 修改
阅读量1.9k 收藏 4
点赞数 2
分类专栏: java 文章标签: spring
于 2022-05-05 18:32:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44225096/article/details/124594824
版权
博客探讨了Spring Security中自定义Filter执行两次的问题,原因是FilterChainProxy和ApplicationFilterChain两条过滤器链都包含该Filter。分析了FilterChainProxy的doFilter方法,发现当所有额外过滤器执行完后,会触发原始过滤器链ApplicationFilterChain。Filter的添加是通过Spring的Bean管理和Tomcat的生命周期完成的。解决办法在于理解并正确配置过滤器的注册方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

public class TokenFilter implements Filter {
    public static final String HEADER_AUTH_NAME = "Authorization";

    @Autowired
    JWTProvider jwtProvider;

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {
        try {
            HttpServletRequest httpServletRequest = (HttpServletRequest) req;
            String authToken = httpServletRequest.getHeader(HEADER_AUTH_NAME);
            if (StringUtils.isNotBlank(authToken)) {
                // 从自定义tokenProvider中解析用户
                Authentication authentication = this.jwtProvider.getAuthentication(authToken);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
            // 调用后续的Filter,如果上面的代码逻辑未能复原“session”,SecurityContext中没有想过信息,后面的流程会检测出"需要登录"
            chain.doFilter(req, res);
        } catch (Exception ex) {
            throw new RuntimeException(ex);
        }
    }
}

当我们直接或间接的继承了Filter之后,Spring Security 会自动将过滤器添加多执行列表中。
如果我们仍将其添加到 WebSecurityConfigurerAdapter 中

@Configuration
public class MySecurityConfiguration extends WebSecurityConfigurerAdapter {


    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Autowired
    private LoginAuthenticationFilter loginAuthenticationFilter;

    @Autowired
    private TokenFilter tokenFilter;

    @Autowired
    private CorsConfigurationSource configurationSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(loginAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
//                .addFilterBefore(tokenFilter,UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .authorizeRequests()
                .antMatchers("/login","/register").permitAll()
                .anyRequest().authenticated()
                .and()
                .cors().configurationSource(configurationSource)
                // 关闭 csrf 保护
                .and()
                .csrf().disable()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        // 返回 json 格式的数据
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter writer = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<>(16);
                        map.put("status:", 200);
                        map.put("msg:","注销登录成功!");
                        writer.write(new ObjectMapper().writeValueAsString(map));
                        writer.flush();
                        writer.close();
                    }
                });
    }

    @Bean
    public PasswordEncoder passwordEncoderBean() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
}

就会对此过滤词执行两次。

分界线

在这里插入图片描述
有个朋友指出了问题,我会看了上面的说法,感觉之前的记录有比较大的问题。并没有把结论是怎么得来的放上去,现在回想也想不起来了。索性再次研究一下Spring中filter的运行机制。
首先从自定义的Filter执行了两次的问题出发,我们发现,这两次的执行是两条不同的过滤器链分别为:FilterChainProxy和ApplicationFilterChain。如下面两张图。
请添加图片描述
请添加图片描述
接下来我们就要了解一下这两条链
首先是FilterChainProxy:
下面这段代码是FilterChainProxy的doFilter方法也就是我们的TokenFilter的doFilter方法调用的chain.doFilter。

	@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
			if (currentPosition == size) {
				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " reached end of additional filter chain; proceeding with original chain");
				}

				// Deactivate path stripping as we exit the security filter chain
				this.firewalledRequest.reset();

				originalChain.doFilter(request, response);
			}
			else {
				currentPosition++;

				Filter nextFilter = additionalFilters.get(currentPosition - 1);

				if (logger.isDebugEnabled()) {
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+ " at position " + currentPosition + " of " + size
							+ " in additional filter chain; firing Filter: '"
							+ nextFilter.getClass().getSimpleName() + "'");
				}

				nextFilter.doFilter(request, response, this);
			}
		}
	}

从上面的代码我们可以看出当currentPosition == size时即chain内部的filter都执行之后,接下来会出现另外一个filterChain->
originalChain。而这个originalChain正是ApplicationFilterChain。自然的,接下来就会执行到ApplicationFilterChain中Filter,而这两个FilterChain中都包含了我们定义的TokenFilter。
在这里插入图片描述
了解到是因为两条FilterChain中都有customFilter的问题,但是为什么会是这样呢。
FilterChainProxy时我们通过addFilterBefore添加的
同时通过debug发现,
ApplicationFilterChain是StandardWrapperValue的invoke方法内创建的

ApplicationFilterChain filterChain =
                ApplicationFilterFactory.createFilterChain(request, wrapper, servlet);

这里wrapper的值是关键
在这里插入图片描述
StandardEngine[Tomcat].StandardHost[localhost].TomcatEmbeddedContext[].StandardWrapper[dispatcherServlet]
继续往下看来到ApplicationFilterFactory.createFilterChain()内部
在ApplicationFilterFactory的第83行有这样两行代码:

StandardContext context = (StandardContext) wrapper.getParent();
        FilterMap filterMaps[] = context.findFilterMaps();

在这里插入图片描述
通过这两行代码可知ApplicationChain的Filter来源是wrapper.parent.filterMaps的值。
在ApplicationFilterFactory的109-115行是遍历这个map,将值add到ApplicationFilterChain中。

现在问题来到了wrapper.parent.filterMaps是何时初始化的问题上。
StandardWrapperValue103行

StandardWrapper wrapper = (StandardWrapper) getContainer();

在这里插入图片描述
通过ApplicationContext.addFilter向TomcatEmbeddedContext中添加FilterMap。这里不是通过addFilterBefore。具体通过什么方式,感兴趣的可以再去深入探究一下。
大致需要满足
1.Filter必须是Spring的Bean对象,才会被添加。
2.必须是Filter。

SpringBoot - 解决Spring Security自定义过滤器重复执行问题
CyberByte的博客
09-04 570
来配置自定义过滤器,并设置合适的执行顺序,我们可以解决Spring Security自定义过滤器重复执行问题。需要注意的是,如果在Spring Security的配置类中已经对过滤器进行了配置,那么我们需要将自定义过滤器的配置从Spring Security的配置类中移除,以避免重复执行。这通常是因为我们在配置Spring Security过滤器链时,将自定义过滤器配置在了多个位置上,导致它被多次执行。通过以上配置,我们可以确保自定义过滤器只会在过滤器链中的指定位置执行一次,避免了重复执行问题
SpringBoot 学习指南:解决 Spring Security 自定义 Filter 重复执行问题
Byte_O_O的博客
08-14 590
当我们在 Spring Security 中配置多个 Filter 时,这些 Filter 将按照配置的顺序依次执行。总结一下,Spring Security 是一个强大的安全框架,而自定义 Filter 是实现特定需求的常用方法之一。通过设置 Filter 的顺序和条件,我们可以确保自定义 Filter 只执行一次,以满足我们的需求。例如,在 Filter 中添加一个标志位来判断是否已经执行过,或者将 Filter 放置在 Filter Chain 的末尾等。这样就避免了重复执行问题
Spring Security3.1实践
竹林幽深
03-02 1362
本例子是我在spring MVC3.0.5的基础上进行修改的,用的Spring Security3.1.2。             数据库:mysql,开发工具:myeclipse8.6,tomcat6.0。   1.收集资料 http://blog.youkuaiyun.com/k10509806/article/details/6369131 http://www.cnblogs.com/w
Spring Security 入门
最新发布
hubery_hubery的博客
03-25 1685
UserDetailsService用于处理自定义认证逻辑,它可以帮助我们检查用户密码是否正确,以及封装用户信息等操作。执行流程:用户提交表单,执行重写的loadUserByUsername方法,根据传入的用户名查找数据库(需程序员手动编写),如果用户为空,抛出异常,非空则封装权限,将用户名密码及权限封装为UserDetails对象,框架会将UserDetails中的密码项与表单中的密码自动进行比对。@Service。
spring security过滤器执行两次
weixin_43900374的博客
10-27 2185
这是因为你的过滤器声明时使用了@bean,所以这个过滤器注册到了spring mvc中,才导致执行两次spring mvc执行了一次,spring security执行了一次。 解决办法:简单的就是把@bean给删除掉,但有可能会引发一些问题,不知道你有没有 比如,在过滤器定义了@Autowired,@Value("${token.header}")这些注解,在有@bean的情况下,这些注解spring都会解析,但没了@bean这些注解也没用了,可以把这些变量写在spring security配置
Java Web开发中,自定义过滤器执行两次的原因分析及解决办法
maozhuxigood
06-08 1745
本文出处:http://blog.youkuaiyun.com/chaijunkun/article/details/7646338,转载请注明。由于本人不定期会整理相关博文,会对相应内容作出完善。因此强烈建议在原始出处查看此文。 在Java Web开发过程中,我们可以使用过滤器Spring框架提供的拦截器来对请求进行处理,从而实现对整个Web应用的权限控制。在这里我简单介绍一下我在使用过滤器实现权限验证...
springboot过滤器执行两次的解决及跨域过滤器
qq_39210972的博客
12-03 4476
在进行springboot整合过滤器的过程中可能会遇到过滤器执行两次问题,针对这个问题可能出现的一种原因就是因为在请求执行完之后浏览器会再发一次请求.ico的请求,解决的方法就是在执行过滤器方法之前再加一层判断就好了. HttpServletRequest request = (HttpServletRequest)servletRequest; if (request.getRequestUR...
分析spring拦截器为什么会执行两次或者更多次
TTruYi的博客
04-08 1855
注解Spring会尝试将方法作为视图解析,请求到达方法的时候,此时这个方法会被当作视图解析也就是再发送一次请求,找不到这个视图,重定向到/error也会执行一次。(视图解析+ 你发送的请求+/error=等于三次)。1.当一个客户端发出请求访问某个资源,当该资源不存在,springboot默认会重定向到/error路径。(/error + 你发送的请求=等于两次)。注解时,Spring会将方法的返回值直接写入HTTP响应体中。控制台打印信息(拦截器执行两次)控制台打印信息(拦截器执行三次)
Spring Security--自定义过滤器拦截多次错误登录,阻止登录
大风起兮云飞扬
01-16 2474
前提 因为Spring Security没有对登录接口的错误次数做限制,所以登录接口可以被频繁访问。因为内部具体是通过UsernamePasswordAuthenticationFilter.java来实现登录逻辑的,所以每一次的登录请求其实都请求了数据库。故提出登录次数限制错10次以上则3分钟之内不允许登录。 分析 1 Spring Security允许自定义filter并将filter插入到Spring Security过滤器链中且可插入指定的某个过滤器前面或者后面。 2 将错误次数以及多长时间不允许
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 705
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
spring security 自定义认证
migo_的专栏
03-02 978
当用户提交凭据时接下来,身份验证被传递到 AuthenticationManager 以进行身份验证如果身份验证失败,则为“失败”如果身份验证成功,则为“成功”。如下我们只需要实现 UserDetailsService 接口,spring就会自动注入我们的认证方法(可以引入其他存储中间件做替换)@Service@Autowired@Override// 模拟jdbc获取用户信息// 设置登录角色。
自定义Filter后,我的业务代码怎么被执行多次
JavaEdge全是干货的技术号
01-22 2217
实际生产过程中,若要求构建的过滤器针对全局路径有效,且无任何特殊需求(主要针对 Servlet 3.0 的一些异步特性支持),则完全可直接使用 Filter 接口(或继承 Spring 对 Filter 接口的包装类 OncePerRequestFilter),并使用**@Component** 将其包装为 Spring 中的普通 Bean,也可达到预期需求。 不过不管使用哪种方式,可能都遇到问题:业务代码重复执行多次。 这里以 @Component + Filter 接口实现方式呈现案例。 创建一SB应用
Filter过滤器为啥会执行两次
Sunsetsunset的博客
04-23 2700
Filter过滤器为啥会执行两次
关于tomcat服务器启动,Filter过滤器实现类中的方法:doFilter()调用两次的原因
qq_43566714的博客
12-17 635
转载链接:https://www.cnblogs.com/ljfsmile0613/p/13485279.html
SpringBoot2 Filter执行两次问题解决
jcoiwenwfkowe的博客
06-02 629
SpringBoot2 Filter执行两次问题解决
解决spring security自定义filter重复执行问题
weixin_33704234的博客
11-27 2128
序 本文讲一个spring security自定义filter非常容易出现的一个问题,那就是filter被执行两遍。 复现 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public D...
Filter为什么会在一次请求执行多次doFilter?
BlizCp的博客
02-06 2873
问题如下: 解决办法: 如果IDEA出现windows 找不到文件Chrome,请移步:https://blog.youkuaiyun.com/BlizCp/article/details/113706663
Shiro自定义过滤器执行两次?看我怎么给你解决
Python专栏
06-07 1144
其中第一次是作为shiroFilterChain中的过滤器被shiroFilter调用的,另外又在全局过滤器注册了我们自定义过滤器,这就导致了在shirofilter之后,该过滤器又被被执行了一次!这个问题困扰了他一个下午都没有解决,最后不得不求助我来帮忙,那我们就来复现一下这个问题,并给出对应的解决方案吧。现在你会发现,Filter处理一次请求会被执行两次的情况就没有了,现在你知道如何解决这个bug了吗?从控制台的信息中我们可以看出,日志被打印了两次,那么这个问题到底是怎么产生的呢?
深入浅出Spring Security(三):FilterChainProxy的运行过程
紫眸的博客
10-09 5421
上篇回顾 我们已经知道了Spring Security的核心过滤器的创建和原理,本文主要介绍核心过滤器FilterChainProxy是如何在tomcat的ServletContext中生效的。 ServletContext如何拿到FilterChainProxy的过滤器对象 我们都知道,Bean都是存在Spring的Bean工厂里的,而且在Web项目中Servlet、Filter、Listen...
Spring Security中的所有过滤器及其作用
07-16
Spring Security 中的所有过滤器及其作用如下1. `ChannelProcessingFilter`:根据请求的协议(http 或 https)决定是否需要使用 SSL 安全连接。 2. `SecurityContextPersistenceFilter`:在请求处理过程中,负责将安全上下文存储到 `SecurityContextHolder` 中,并在请求完成后恢复上下文。 3. `ConcurrentSessionFilter`:用于处理并发会话控制,检测并处理用户多次登录或会话超过限制的情况。 4. `LogoutFilter`:处理注销功能,清除当前用户的身份认证信息并执行一些清理操作。 5. `UsernamePasswordAuthenticationFilter`:处理基于表单的用户名密码身份验证,验证用户的用户名和密码。 6. `DefaultLoginPageGeneratingFilter`:生成默认的登录页面,如果应用程序没有自定义登录页面,则使用过滤器。 7. `DefaultLogoutPageGeneratingFilter`:生成默认的注销页面,如果应用程序没有自定义注销页面,则使用过滤器。 8. `BasicAuthenticationFilter`:处理 HTTP Basic 认证,从请求头中提取用户名和密码进行验证。 9. `RequestCacheAwareFilter`:处理请求的缓存,当用户需要进行身份验证时,将当前请求缓存起来以便后续处理。 10. `SecurityContextHolderAwareRequestFilter`:对请求进行包装,以便在请求处理过程中可以访问 `SecurityContextHolder` 中的安全上下文。 11. `RememberMeAuthenticationFilter`:处理“记住我”功能,通过 cookie 或 token 记住用户的身份信息。 12. `AnonymousAuthenticationFilter`:处理匿名用户的身份验证,为未经身份验证的用户分配一个临时身份。 13. `SessionManagementFilter`:管理用户会话,处理会话并发控制、会话超时和会话固定攻击等问题。 14. `ExceptionTranslationFilter`:处理身份验证和授权过程中的异常,例如未经授权的访问或身份验证失败。 15. `FilterSecurityInterceptor`:实施访问控制决策,根据配置的访问规则拦截请求并进行授权判断。 这些过滤器共同工作,通过链式调用来保护应用程序的资源,并提供身份验证和授权功能。需要注意的是,具体使用哪些过滤器取决于你的配置和需求,在实际使用中可以选择性地配置和扩展这些过滤器
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值