Как написать собственный фильтр в Spring Security?
Я хочу получать некоторую информацию по каждому запросу, поэтому я думаю, что вместо того, чтобы иметь функцию для каждого запроса и получать эту информацию из запросов по отдельности, лучше иметь фильтр.
Таким образом, каждый запрос проходит этот фильтр, и я получаю то, что хочу.
Вопрос в том, как мне написать собственный фильтр?
Предположим, что он не похож на любые предопределенные пружинные защитные фильтры и совершенно новый.
2 ответа
Вы можете использовать стандартный фильтр Java. Просто поместите его после фильтра аутентификации в web.xml (это означает, что он будет добавлен позже в цепочку фильтров и будет вызываться после цепочки фильтров безопасности).
public class CustomFilter implements Filter{
@Override
public void destroy() {
// Do nothing
}
@Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
Set<String> roles = AuthorityUtils.authorityListToSet(authentication.getAuthorities());
if (roles.contains("ROLE_USER")) {
request.getSession().setAttribute("myVale", "myvalue");
}
chain.doFilter(req, res);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
// Do nothing
}
}
Фрагмент web.xml:
<!-- The Spring Security Filter Chain -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- Your filter definition -->
<filter>
<filter-name>customFilter</filter-name>
<filter-class>com.yourcompany.test.CustomFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>customFilter</filter-name>
<url-pattern>/VacationsManager.jsp</url-pattern>
</filter-mapping>
Также вы можете добавить обработчик, который будет вызываться после успешного входа в систему (необходимо расширить SavedRequestAwareAuthenticationSuccessHandler). Посмотрите здесь, как это сделать. И я думаю, что это даже лучшая идея.
ОБНОВЛЕНО:
Или вы можете иметь этот фильтр в конце ваших фильтров безопасности, например:
<security:filter-chain-map>
<sec:filter-chain pattern="/**"
filters="
ConcurrentSessionFilterAdmin,
securityContextPersistenceFilter,
logoutFilterAdmin,
usernamePasswordAuthenticationFilterAdmin,
basicAuthenticationFilterAdmin,
requestCacheAwareFilter,
securityContextHolderAwareRequestFilter,
anonymousAuthenticationFilter,
sessionManagementFilterAdmin,
exceptionTranslationFilter,
filterSecurityInterceptorAdmin,
MonitoringFilter"/> <!-- Your Filter at the End -->
</security:filter-chain-map>
И чтобы иметь свой фильтр, вы можете использовать это:
public class MonitoringFilter extends GenericFilterBean{
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
//Implement this Function to have your filter working
}
Просто добавляю это в смесь; как насчет использования custom-filter внутри http элемент:
<security:http auto-config="false" ...>
...
<security:custom-filter position="FORM_LOGIN_FILTER" ref="MyCustomFilter" />
</security:http>