CharacterEncodingFilter не работает вместе с Spring Security 3.2.0
Я новичок в Spring MVC Framework и у меня есть проблема, которую я не могу решить самостоятельно. Все началось, когда я интегрировал Spring Security с моим приложением, после этого все значения Unicode из HTML-формы не были закодированы (Spring Security работает правильно). Я пришел к выводу, что это происходит, вероятно, потому что мой DelegatingFilterProxy называется первым фильтром в цепочке.
Вот моя конфигурация, которая, как я думал, будет работать, но это не так:
1) Я расширяю AbstractSecurityWebApplicationInitializer - из javadoc:
Registers the DelegatingFilterProxy to use the springSecurityFilterChain() before any
other registered Filter.
Из этого класса я также переопределяю метод beforeSpringSecurityFilterChain, который относится к javadoc:
Invoked before the springSecurityFilterChain is added.
Поэтому я подумал, что это будет лучшее место для регистрации CharacterEncodingFilter:
public class MessageSecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
@Override
protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
FilterRegistration.Dynamic characterEncodingFilter = servletContext.addFilter("encodingFilter", new CharacterEncodingFilter());
characterEncodingFilter.setInitParameter("encoding", "UTF-8");
characterEncodingFilter.setInitParameter("forceEncoding", "true");
characterEncodingFilter.addMappingForUrlPatterns(null, true, "/*");
}
}
Но это не работает.
Другой вариант, который мне надоел, - зарегистрировать фильтр через класс AbstractAnnotationConfigDispatcherServletInitializer, переопределив метод getServletFilters():
public class WebAppInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
//{!begin addToRootContext}
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class<?>[] { SecurityConfig.class, DatabaseConfig.class, InternationalizationConfig.class };
}
//{!end addToRootContext}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class<?>[] { WebAppConfig.class };
}
@Override
protected String[] getServletMappings() {
return new String[] { "/" };
}
@Override
protected Filter[] getServletFilters() {
CharacterEncodingFilter characterEncodingFilter = new CharacterEncodingFilter();
characterEncodingFilter.setEncoding("UTF-8");
characterEncodingFilter.setForceEncoding(true);
return new Filter[] { characterEncodingFilter};
}
}
Но это тоже не работает. Кто-нибудь сталкивался с той же проблемой или есть идеи, как решить эту проблему?
Вот моя полная конфигурация для первого варианта, где я регистрирую фильтр кодирования через AbstractSecurityWebApplicationInitializer:
@Order(1)
public class MessageSecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
@Override
protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
FilterRegistration.Dynamic characterEncodingFilter = servletContext.addFilter("encodingFilter", new CharacterEncodingFilter());
characterEncodingFilter.setInitParameter("encoding", "UTF-8");
characterEncodingFilter.setInitParameter("forceEncoding", "true");
characterEncodingFilter.addMappingForUrlPatterns(null, true, "/*");
}
}
@Order(2)
public class WebAppInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
//{!begin addToRootContext}
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class<?>[] { SecurityConfig.class, DatabaseConfig.class, InternationalizationConfig.class };
}
//{!end addToRootContext}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class<?>[] { WebAppConfig.class };
}
@Override
protected String[] getServletMappings() {
return new String[] { "/" };
}
}
@EnableWebMvc
//@Import(value = {DatabaseConfig.class, InternationalizationConfig.class, SecurityConfig.class})
@ComponentScan(basePackages = {"com.ajurasz.controller", "com.ajurasz.service", "com.ajurasz.model"})
@Configuration
public class WebAppConfig extends WebMvcConfigurerAdapter {
@Bean
public UrlBasedViewResolver viewResolver() {
UrlBasedViewResolver urlBasedViewResolver = new UrlBasedViewResolver();
urlBasedViewResolver.setViewClass(TilesView.class);
urlBasedViewResolver.setContentType("text/html;charset=UTF-8");
return urlBasedViewResolver;
}
@Bean
public TilesConfigurer tilesConfigurer() {
TilesConfigurer tilesConfigurer = new TilesConfigurer();
tilesConfigurer.setDefinitions(new String[] {"/WEB-INF/tiles.xml"});
return tilesConfigurer;
}
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/resources/**").addResourceLocations("/resources/**");
registry.addResourceHandler("/documents/**").addResourceLocations("/WEB-INF/pdfs/documents/**");
}
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
PageableHandlerMethodArgumentResolver pageableHandlerMethodArgumentResolver =
new PageableHandlerMethodArgumentResolver();
pageableHandlerMethodArgumentResolver.setFallbackPageable(new PageRequest(0, 4, new Sort(Sort.Direction.DESC, "id")));
argumentResolvers.add(pageableHandlerMethodArgumentResolver);
}
}
зависимости:
spring-mvc 3.2.5. РЕЛИЗ
Spring-Security-Config, Spring -Security-Web, Spring -Security-Core 3.2.0.RELEASE
Я работаю над этим по следующей ссылке: https://github.com/ajurasz/Manager
6 ответов
Есть такая же проблема. Моим решением было использовать фильтр необработанных сервлетов:
public void onStartup(ServletContext servletContext) throws ServletException {
FilterRegistration.Dynamic encodingFilter = servletContext.addFilter("encoding-filter", new CharacterEncodingFilter());
encodingFilter.setInitParameter("encoding", "UTF-8");
encodingFilter.setInitParameter("forceEncoding", "true");
encodingFilter.addMappingForUrlPatterns(null, true, "/*");
}
Обратите внимание, что эта проблема возникает только с Tomcat, но не с Jetty.
Нам нужно добавить CharacterEncodingFilter перед фильтрами, которые читают свойства запроса в первый раз. Существует securityFilterChain (стоит вторым после метрического фильтра), и мы можем добавить наш фильтр внутри него. Первым фильтром (внутри цепочки безопасности), который читает свойства, является CsrfFilter, поэтому мы помещаем CharacterEncodingFilter перед ним.
Краткое решение:
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
CharacterEncodingFilter filter = new CharacterEncodingFilter();
filter.setEncoding("UTF-8");
filter.setForceEncoding(true);
http.addFilterBefore(filter,CsrfFilter.class);
//rest of your code
}
//rest of your code
}
Недавно я столкнулся с той же проблемой, и ваша первая попытка на самом деле очень близка к решению, которое я в итоге использовал (вот ваш код, исправлено):
public class MessageSecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
@Override
protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
FilterRegistration.Dynamic characterEncodingFilter = servletContext.addFilter("encodingFilter", new CharacterEncodingFilter());
characterEncodingFilter.setInitParameter("encoding", "UTF-8");
characterEncodingFilter.setInitParameter("forceEncoding", "true");
characterEncodingFilter.addMappingForUrlPatterns(null, false, "/*");
}
}
Единственное отличие - второй аргумент при добавлении сопоставления фильтров для шаблонов URL. Javadoc для этого параметра гласит:
isMatchAfter - true, если данное сопоставление фильтра должно сопоставляться после любых объявленных сопоставлений фильтра, и false, если предполагается, что оно сопоставляется до любых объявленных сопоставлений фильтра ServletContext, из которого была получена эта FilterRegistration
Таким образом, установка его в false должна полностью решить вашу проблему (без какого-либо участия XML).
Я не знаю, в чем именно проблема, но я бы никогда не настроил такой простой фильтр внутри Spring. Скорее делайте это правильно в web.xml - легче разрабатывать, понимать и отлаживать.
<!-- Hint: http://wiki.apache.org/tomcat/FAQ/CharacterEncoding#Q8 -->
<filter>
<filter-name>characterEncodingFilter</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
<init-param>
<param-name>forceEncoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>characterEncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Важное замечание: настройте сопоставление этого фильтра до цепочки фильтров Spring Security (т.е. до сопоставления фильтра для DelegatingFilterProxy).
Я использовал
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
CharacterEncodingFilter filter = new CharacterEncodingFilter();
filter.setEncoding("UTF-8");
filter.setForceEncoding(true);
http.addFilterBefore(filter,CsrfFilter.class);
//rest of your code
}
//rest of your code
}
Мне не нравятся ответы, опубликованные до сих пор, потому что либо используются непонятные классы Spring, либо полагаются на детали реализации.
По моему мнению, все должно работать, просто определяя стандарт @Bean с высоким @OrderТак что это ошибка Boot - но, к счастью, все работает как положено (?), если мы используем FilterRegistrationBean вместо равнины Filter (Я использую Boot 1.1.5):
@Bean
public FilterRegistrationBean filterRegistrationBean() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean();
CharacterEncodingFilter characterEncodingFilter = new CharacterEncodingFilter();
registrationBean.setFilter(characterEncodingFilter);
characterEncodingFilter.setEncoding("UTF-8");
characterEncodingFilter.setForceEncoding(true);
registrationBean.setOrder(Integer.MIN_VALUE);
registrationBean.addUrlPatterns("/*");
return registrationBean;
}