使用多个servlet时Spring security需要指明路由匹配策略问题

更新时间：2024年08月14日 10:53:41 作者：mosplus

这篇文章主要介绍了使用多个servlet时Spring security需要指明路由匹配策略问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

多个servlet时Spring security需要指明路由匹配策略

项目原本是 SpringBoot-3.1.3 + druid-1.2.21 ，并且 Druid 开启了可视化监控页 stat-view-servlet 。

将项目升级到 SpringBoot-3.1.4 后，启动项目时报错。

摘取部分内容：

Failed to instantiate [org.springframework.security.web.SecurityFilterChain]: Factory method ‘filterChain’ threw exception with message: This method cannot decide whether these patterns are Spring MVC patterns or not. If this endpoint is a Spring MVC endpoint, please use requestMatchers(MvcRequestMatcher); otherwise, please use requestMatchers(AntPathRequestMatcher).

This is because there is more than one mappable servlet in your servlet context: {org.springframework.web.servlet.DispatcherServlet=[/], com.alibaba.druid.support.jakarta.StatViewServlet=[/druid/*]}.

原因分析

错误信息可以看出来配置 Spring security 的放行策略时路由匹配的策略选择不当，

根据spring官方在关于 CVE-2023-34035 的安全报告中提到

Spring Security versions 5.8 prior to 5.8.5, 6.0 prior to 6.0.5 and 6.1 prior to 6.1.2 could be susceptible to authorization rule misconfiguration if the application uses or and multiple servlets, one of them being Spring MVC’s DispatcherServlet.

如果应用程序使用或和多个servlet（其中一个是Spring MVC的DispatcherServlet），则Spring Security 5.8.5之前的5.8版本、6.0.5之前的6.0版本和6.1.2之前的6.1版本可能容易受到授权规则错误配置的影响。

即除了 DispatcherServlet 以外，还存在其他 Servlet 时， Spring security 的路由匹配策略需要明确哪些路由模式是Spring MVC的。

修复问题

例如旧版放行路径使用的是

http.authorizeHttpRequests(authorize -> authorize.requestMatchers("/user/register").permitAll())

改为

// MvcRequestMatcher策略
authorize.requestMatchers(new MvcRequestMatcher(new HandlerMappingIntrospector(), "/user/register")).permitAll()
                           
// AntPathRequestMatcher策略
authorize.requestMatchers(new AntPathRequestMatcher("/user/register")).permitAll()

其中 MvcRequestMatcher 和 AntPathRequestMatcher 是两种不同的匹配规则。

具体概念不再赘述，核心点就是 MvcRequestMatcher 基于 DispatcherServlet 进行匹配。

路由策略区别

调整放行 Druid 的路径，使用 MvcRequestMatcher 策略匹配，正常启动。

但是访问网页的时候发现放行没生效，被 Spring security 拦截了，需要认证才能访问，调整为 AntPathRequestMatcher 则是正常放行。

因为 Druid 提供了自己的监控数据的 Servlet ，其是作为一个独立的 Servlet 映射到容器中，而并非通过 DispatcherServlet ，所以放行 Druid 就需要使用 AntPathRequestMatcher 方式。

authorize.requestMatchers(new AntPathRequestMatcher("/druid/**")).permitAll()

而对于 Swagger，通常它的页面和API文档都会被包括在 Spring MVC 的控制器里面，并且其URL路径会通过 @RequestMapping 注解映射，所以使用 MvcRequestMatcher 和 AntPathRequestMatcher 都可以正确匹配到。

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

SpringMVC使用MultipartFile实现文件上传
这篇文章主要为大家详细介绍了SpringMVC使用MultipartFile实现文件上传功能，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-04-04
批量将现有Jar包上传到Maven私服
今天小编就为大家分享一篇关于批量将现有Jar包上传到Maven私服，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2018-12-12
详解如何Java中实现Excel的注释和批注
注释及批注是 Excel 中比较常用的功能,这篇文章主要为大家详细介绍了如何在Java中实现Excel的注释和批注,感兴趣的小伙伴可以跟随小编一起学习一下
2023-12-12
thymeleaf实现前后端数据交换的示例详解
Thymeleaf 是一款用于渲染 XML/XHTML/HTML5 内容的模板引擎，当通过 Web 应用程序访问时，Thymeleaf 会动态地替换掉静态内容，使页面动态显示，这篇文章主要介绍了thymeleaf实现前后端数据交换,需要的朋友可以参考下
2022-07-07
IDEA如何解决代码没有提示问题
文章介绍了如何解决IDEA中代码提示功能缺失的问题,首先,需要调整快捷键设置,将CyclicExpandWord键映射为Ctrl+/,其次,确保输入框中设置为Basic,然后添加键盘快捷键Alt+/,如果问题依然存在,可能是由于电脑省电模式导致的,需要取消相关设置
2024-11-11
Java 是如何读取和写入浏览器Cookies的实例详解
这篇文章主要介绍了Java 是如何读取和写入浏览器Cookies的实例的相关资料,需要的朋友可以参考下
2016-09-09
JVM与操作系统之间的关系详解
JVM与操作系统之间是依赖与被依赖的关系,JVM依赖于操作系统提供的资源和服务,同时JVM也起到了抽象与隔离的作用,为Java程序提供了一个统一的、与平台无关的运行环境,提高了Java程序的安全性
2025-03-03
java实现肯德基收银系统
这篇文章主要为大家详细介绍了java实现肯德基收银系统，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2019-05-05
mybatis update更新字段的使用操作
这篇文章主要介绍了mybatis update更新字段的使用操作，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2021-01-01
Java实例讲解动态代理
动态代理指的是，代理类和目标类的关系在程序运行的时候确定的，客户通过代理类来调用目标对象的方法，是在程序运行时根据需要动态的创建目标类的代理对象。本文将通过案例详细讲解一下动态代理，需要的可以参考一下
2022-06-06