我有一个可以通过我使用Spring Security的DaoAuthenticationProvider锁定的servlet访问的URL。我现在要求某些传入的IP地址必须列入白名单,因此不要求进行身份验证。
如果IP地址与已知的IP地址匹配,我可以通过覆盖DaoAuthenticationProvider的身份验证方法并绕过超类的实现来轻松解决这个问题,但这只适用于请求的发件人提供用户名和密码(即使它是无意义的) )。否则,提供者不会被调用。
最好的方法是什么?如果传入已知的IP地址,我是否应该使用过滤器绕过身份验证过程?
答案 0 :(得分:10)
你能使用hasIpAddress() expression吗?我们这样做似乎是一个类似的案例。
<security:intercept-url pattern="/services/**" access="hasIpAddress('192.168.1.0/24')"/>
答案 1 :(得分:2)
我认为习惯性的Spring Security方法是实现一个预身份验证过滤器,当客户端在白名单中时,该过滤器会使用有效的Authentication对象填充安全上下文。您可以从头开始实现这样的过滤器(例如,as here)或使用AbstractPreAuthenticatedProcessingFilter(尽管它对您的任务来说似乎过于复杂)。