我正在尝试自定义Spring Security的会话管理过滤器,但是我收到的错误是我的过滤器和默认过滤器具有相同的'order'值(尽管我没有<session-managent>在我的<http>配置中,我有autoconfig = false,正如Spring Security在其文档中所说的那样。)
这是我的Spring Security配置:
<http auto-config="false" use-expressions="true">
<custom-filter position="SESSION_MANAGEMENT_FILTER" ref="filtroGestionSesion" />
<intercept-url pattern="/resources/**" filters="none"/>
<intercept-url pattern="/faces/javax.faces.resource/**" filters="none"/>
<intercept-url pattern="/faces/inicio.xhtml" access="permitAll"/>
<intercept-url pattern="/faces/paginas/autenticacion/login.xhtml*" access="permitAll"/>
<intercept-url pattern="/faces/paginas/administracion/**" access="isAuthenticated()"/>
<intercept-url pattern="/faces/paginas/barco/**" access="isAuthenticated()"/>
<intercept-url pattern="/faces/paginas/catalogo/**" access="permitAll"/>
<intercept-url pattern="/faces/paginas/error/**" access="permitAll"/>
<intercept-url pattern="/faces/paginas/plantillas/**" access="permitAll"/>
<intercept-url pattern="/**" access="denyAll" />
<form-login login-processing-url="/j_spring_security_check"
login-page="/faces/paginas/autenticacion/login.xhtml"
default-target-url="/faces/paginas/administracion/inicioAdmon.xhtml"
always-use-default-target="true"
authentication-failure-url="/faces/paginas/autenticacion/login.xhtml?error=authentication" />
<logout logout-url="/j_spring_security_logout"
logout-success-url="/faces/inicio.xhtml"
invalidate-session="true" />
</http>
<global-method-security pre-post-annotations="enabled" />
<authentication-manager>
<authentication-provider>
<user-service>
<user name="myuser" password="myuser" authorities="" />
</user-service>
</authentication-provider>
</authentication-manager>
<beans:bean id="filtroGestionSesion" class="springSecurity.FiltroGestionSesion">
<beans:constructor-arg ref="securityContextRepository" />
<beans:property name="invalidSessionUrl" value="/faces/paginas/autenticacion/login.xhtml?error=timeout" />
</beans:bean>
<beans:bean id="securityContextRepository" class="org.springframework.security.web.context.HttpSessionSecurityContextRepository" />
使用我的自定义过滤器(springSecurity.FiltroGestionSesion)的类是来自Spring Security(org.springframework.security.web.session.SessionManagementFilter)的类的复制粘贴,但更改了包名,类名和一些自定义代码我添加到doFilter方法。
为什么它不起作用并抛出错误说两个过滤器具有相同的顺序?
我已通过从<session-mangement>删除相应的子元素<http>来禁用默认过滤器,以便我的过滤器的位置不会与默认过滤器冲突。
我是否必须删除任何其他元素或自定义其他内容?
任何人都知道如何自定义过滤器在SESSION_MANAGEMENT_FILTER位置禁用默认过滤器吗?
提前谢谢。
答案 0 :(得分:9)
我终于找到了解决方案。如果有人感兴趣我就把它放在这里。
禁用默认会话管理过滤器的方法不是从<session-mangement>删除<http>元素,而是添加没有会话固定保护的元素:
<session-management session-fixation-protection="none" />
这样,默认会话管理过滤器不会触发,您可以在该位置添加自定义过滤器,而过滤器链中不会发生冲突。
我已经检查过它在我的webapp中查看spring security的调试日志。
希望它有所帮助。