java 安全过滤器配置在升级到Sping Boot 3后不工作[重复]

brvekthn  于 2024-01-05  发布在  Java
关注(0)|答案(1)|浏览(183)

此问题在此处已有答案

Spring security method cannot decide pattern is MVC or not Spring Boot application exception(8个回答)
2天前关闭。
我正在从Sping Boot 2.7.5升级到3.0.11,并且在SecurityFilter配置中有几个变化。我能够将现有的filter class转换为Sping Boot 3.x细节,但是,我在运行应用程序时遇到以下错误:
Error:无法示例化[org. springframework.security.web.SecurityFilterChain]:Factory方法'filterChain'抛出异常,并显示消息:Web安全配置错误:此方法无法决定这些模式是否为Spring MVC模式。如果此端点是Spring MVC端点,请使用requestMatchers(MvcRequestMatcher);否则,请使用requestMatchers(AntPathRequestMatcher)。
这是因为在servlet上下文中有多个可Map的servlet:{org.springframework.web.servlet.DispatcherServlet=[/],org.h2.server.web.JakartaWebServlet=[/h2-console/*]}。
这是我的配置类:

  1. @Configuration
  2. @EnableMethodSecurity(securedEnabled = true, jsr250Enabled = true)
  3. public class WebSecurityConfig {
  5.     private static final String[] AUTH_WHITELIST = {
  6.             // -- Swagger UI v2
  7.             "/v2/api-docs",
  8.             "v2/api-docs",
  9.             "/swagger-resources",
  10.             "swagger-resources",
  11.             "/swagger-resources/**",
  12.             "swagger-resources/**",
  13.             "/configuration/ui",
  14.             "configuration/ui",
  15.             "/configuration/security",
  16.             "configuration/security",
  17.             "/swagger-ui.html",
  18.             "swagger-ui.html",
  19.             "webjars/**",
  20.             // -- Swagger UI v3
  21.             "/api/template/v3/api-docs/**",
  22.             "v3/api-docs/**",
  23.             "/api/template/swagger-ui/**",
  24.             "swagger-ui/**",
  25.             // Actuators
  26.             "/actuator/**",
  27.             "/health/**"
  28.     };
  30.     /**
  31.      * Configures access to application with reduced requirements to security
  32.      * to allow local testing and h2 console.
  33.      *
  34.      * @param http security object
  35.      * @return instance of {@link SecurityFilterChain}
  36.      */
  37.     @Bean
  38.     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  39.         try {
  40.             http
  41.                     .csrf(AbstractHttpConfigurer::disable)
  42.                     .authorizeHttpRequests(auth -> auth
  43.                             .requestMatchers(AUTH_WHITELIST).permitAll()
  44.                             .anyRequest().authenticated()
  45.                     )
  46.                     .sessionManagement(session -> session.sessionCreationPolicy(STATELESS))
  47.                     .httpBasic(AbstractHttpConfigurer::disable) // disables pop-up
  48.                     .formLogin(AbstractHttpConfigurer::disable)
  49.                     .headers(httpSecurityHeadersConfigurer -> httpSecurityHeadersConfigurer
  50.                                     .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)) // to make accessible h2 console, disables xframe deny warnings
  51.                     .cors(); // uses cors settings - only disabled if WebConfigLocal running
  52.             return http.build();
  53.         } catch (Exception ex) {
  54.             throw new GenericRuntimeException(buildMessage(ERROR_WEB_SECURITY_FILTER.getText(ex.getMessage())), ex);
  55.         }
  56.     }
  57. }

字符串
谁能帮我弄明白哪里出错了吗?我无法从错误中理解任何东西。

Java

1条答案

按热度按时间
fafcakar

fafcakar1#

从Spring Security版本6.x开始,不再能够流畅地要求MvcRequestMatcher。相反,所需的模式被传递给一个通用的#requestMatchers方法,该方法默认使用MvcRequestMatcher在后台进行Map。如果需要,AntPathRequestMatcher现在必须显式地传递给这个#requestMatchers方法。
发现的安全漏洞CVE-2023-34035表明,如果Spring Security保护了多个可Map的servlet,则可能会发生错误配置。因此,从版本6.1.2开始,在两个servlet的情况下,必须显式指定RequestMatcher
例如,H2数据库在其端点的上下文中放置了自己专用的JakartaWebServlet,这迫使我们为Spring的DispatcherServlet处理的所有端点显式指定MvcRequestMatcher
cve-2023-34035-mitigations所述,您可以执行以下操作:
1.提供以下bean

  1. @Bean
  2. public MvcRequestMatcher.Builder mvc(HandlerMappingIntrospector introspector) {
  3.     return new MvcRequestMatcher.Builder(introspector);
  4. }

字符串
1.调整您的过滤器链:

  1. @Bean
  2. public SecurityFilterChain filterChain(MvcRequestMatcher.Builder mvc, HttpSecurity http) throws Exception {
  3.     try {
  4.         http
  5.                 .csrf(AbstractHttpConfigurer::disable)
  6.                 .authorizeHttpRequests(auth -> auth
  7.                         .requestMatchers(mvc.pattern(AUTH_WHITELIST)).permitAll()
  8.                         .anyRequest().authenticated()
  9.                 )
  10.                 .sessionManagement(session -> session.sessionCreationPolicy(STATELESS))
  11.                 .httpBasic(AbstractHttpConfigurer::disable) // disables pop-up
  12.                 .formLogin(AbstractHttpConfigurer::disable)
  13.                 .headers(httpSecurityHeadersConfigurer -> httpSecurityHeadersConfigurer
  14.                                 .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)) // to make accessible h2 console, disables xframe deny warnings
  15.                 .cors(); // uses cors settings - only disabled if WebConfigLocal running
  16.         return http.build();
  17.     } catch (Exception ex) {
  18.         throw new GenericRuntimeException(buildMessage(ERROR_WEB_SECURITY_FILTER.getText(ex.getMessage())), ex);
  19.     }
  20. }


如果这不能解决你的问题,你可能还想为H2数据库设置一个专用的过滤器链,但是我不认为这是必要的。

展开查看全部
赞(0)分享  回复(0)举报  2024-01-05
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com