更改 Spring Security WebFilter 的顺序
我有一个使用 Spring Cloud Gateway 实现的 API 网关,它使用 Spring Security。 WebFlux 的 Spring Security 在过滤器链的开头作为 WebFilter 实现。因此,在身份验证成功后,请求将被转发到 Spring Cloud Gateway 的 RoutePredicateHandlerMapping,它会尝试根据 URL 模式推断出目的地,然后它会转到 FilteringWebHandler 以执行 Spring Cloud Gateway 的其他过滤器。
我的问题如下:我已经实现了一个自定义的身份验证算法,它根据项目的要求使用查询字符串和 header 变量作为身份验证的凭据,这没有任何问题。当我们需要为独立于路径的身份验证算法添加一个小的定制时,问题就出现了。当请求到达Spring Security的WebFilter时,还没有进行模式匹配,不知道指向的是哪个应用,例如:
应用1:
-路径:/app1/**
应用2:
-路径:/app2/**
这意味着我不应该进行身份验证 -> 路由映射 -> 过滤 Web 处理程序,而是进行路由映射 -> 身份验证 -> 过滤 Web 处理程序。并不是说这三个组件不相似,其中一个是过滤器,另一个是映射器,最后一个是 Web 处理程序。现在我知道如何自定义它们,但问题是我不知道如何拦截 Netty 服务器构建过程以更改这些操作的顺序。我需要等待构建过程结束并在服务器启动之前更改服务器的内容。我该怎么做?
最佳答案
编辑:这是最终的解决方案: 所以我是这样做的:
目标:从默认的HttpHandler中去掉Spring Security的WebFilter,插入到RoutePredicateRouteMapping和Spring Cloud Gateway的FilteringWebHandler之间
原因:因为我在进行自定义身份验证过程时需要知道应用程序 ID。 RoutePredicateRouteMapping 通过将请求的 URL 与预定义列表匹配,将此应用程序 ID 附加到请求。
我是怎么做到的: 1- 删除 Spring Security 的 WebFilter 我创建了一个调用默认 WebHttpHandlerBuilder 的 HttpHandler bean,然后自定义过滤器。作为奖励,我删除了不需要的过滤器以提高我的 API 网关的性能
@Bean
public HttpHandler httpHandler() {
WebHttpHandlerBuilder webHttpHandlerBuilder = WebHttpHandlerBuilder.applicationContext(this.applicationContext);
MyAuthenticationHandlerAdapter myAuthenticationHandlerAdapter = this.applicationContext.getBean(MY_AUTHENTICATED_HANDLER_BEAN_NAME, MyAuthenticationHandlerAdapter.class);
webHttpHandlerBuilder
.filters(filters ->
myAuthenticationHandlerAdapter.setSecurityFilter(
Collections.singletonList(filters.stream().filter(f -> f instanceof WebFilterChainProxy).map(f -> (WebFilterChainProxy) f).findFirst().orElse(null))
)
);
return webHttpHandlerBuilder.filters(filters -> filters
.removeIf(f -> f instanceof WebFilterChainProxy || f instanceof WeightCalculatorWebFilter || f instanceof OrderedHiddenHttpMethodFilter))
.build();
}
2- 使用添加了 WebFilter 的 Spring Web 的 FilteringWebHandler 包装 Spring Cloud Gateway 的 FilteringWebHandler 我创建了自己的 HandlerAdapter,它将与 Spring Cloud Gateway 的 FilteringWebHandler 相匹配,并用 Spring Web 的 FilteringWebHandler 加上我在第一步中提取的安全过滤器对其进行包装
@Bean
public MyAuthenticationHandlerAdapter myAuthenticationHandlerAdapter() {
return new MyAuthenticationHandlerAdapter();
}
public class MyAuthenticationHandlerAdapter implements HandlerAdapter {
@Setter
private List<WebFilter> securityFilter = new ArrayList<>();
@Override
public boolean supports(Object handler) {
return handler instanceof FilteringWebHandler;
}
@Override
public Mono<HandlerResult> handle(ServerWebExchange exchange, Object handler) {
org.springframework.web.server.handler.FilteringWebHandler filteringWebHandler = new org.springframework.web.server.handler.FilteringWebHandler((WebHandler) handler, securityFilter);
Mono<Void> mono = filteringWebHandler.handle(exchange);
return mono.then(Mono.empty());
}
}
这样我就可以通过高度定制的 HttpHandler 管道实现更好的性能,我认为它是面向 future 的
结束编辑
WebFlux 的 Spring Security 是作为 WebFilter 实现的,它几乎在收到请求后立即执行。我已经实现了自定义身份验证转换器和身份验证管理器,它们将从 header 和 URL 中提取一些变量并将它们用于身份验证。这没有任何问题。
现在我需要在身份验证完成之前添加另一个从 RoutePredicateRouteMapping 获取的变量。我真正想要的是从当前位置删除 WebFilter(称为 WebFilterChainProxy)并将其放在 RoutePredicateRouteMapping 和 FilteringWeHandler 之间。
这是默认流程:
ChannelOperations 调用 ReactorHttpHandlerAdapter,后者调用 HttpWebHandlerAdapter、ExceptionHandlingWebHandler,然后是 org.springframework.web.server.handler.FilterWebHandler。
此 WebHandler 将调用其过滤器,然后调用 DispatchHandler。其中一个过滤器是为 Spring Security 执行身份验证的 WebFilterChainProxy。所以第一步是从这里移除过滤器。
现在在过滤器之后调用的 DispatchHandler 将调用 RoutePredicateHandlerMapping,它将分析路由并为我提供我需要的路由 ID,然后它将调用 org.springframework.cloud.gateway.handler.FilteringHandler(这与上面的 FilteringHandler 不同),这又会调用 Spring Cloud Gateway 的其他过滤器。我在这里想要的是在 RoutePredicatehandlerMapping 之后和 org.springframework.cloud.gateway.handler.FilteringHandler 之前调用过滤器。 我最后做了以下事情:
我创建了 WebHttpHandlerBuilder,它将删除 WebFilterChainProxy 并将其作为参数传递给自定义的 DispatcherHandler。现在删除了过滤器,请求将通过第一层而不需要身份验证。在我自定义的 DispatcherHandler 中,我会调用 RoutePredicateHandlerMapping,然后将交换变量传递给 WebFilterChainProxy 以进行身份验证,然后再将其传递给 org.springframework.cloud.gateway.handler.FilteringHandler,效果非常好! 我仍然认为我对它进行了过度设计,我希望有一种方法可以使用注释和配置 bean 来代替所有这些自定义类(WebHttpHandlerBuilder 和 DispatcherHandler)。
关于spring-security - 更改 Spring Security WebFilter 的顺序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52637351/