Spring Security：推迟使用 HTTP 基本身份验证之前的 IP 地址白名单

发布于 2024-10-19 17:02:05 字数 307 浏览 3 评论 0原文

我有一个可通过 servlet 访问的 URL，我已使用 Spring Security 的 DaoAuthenticationProvider 锁定该 URL。我现在要求某些传入 IP 地址必须列入白名单，因此不需要进行身份验证。

如果 IP 地址与已知的 IP 地址匹配，我可以通过覆盖 DaoAuthenticationProvider 的验证方法并绕过超类的实现来轻松解决这个问题，但这仅在请求的发送者提供用户名和密码时才起作用（即使它是无意义的）。否则，提供商不会被调用。

最好的方法是什么？如果传入已知 IP 地址，我是否应该使用过滤器来绕过身份验证过程？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

丢了幸福的猪 2024-10-26 17:02:05

您可以使用 hasIpAddress() 表达式？我们正在针对类似的案例这样做。

    <security:intercept-url pattern="/services/**" access="hasIpAddress('192.168.1.0/24')"/>

Could you just use the hasIpAddress() expression? We're doing that for what appears to be a similar case.

    <security:intercept-url pattern="/services/**" access="hasIpAddress('192.168.1.0/24')"/>

回复收藏 0 原文

没有你我更好 2024-10-26 17:02:05

我认为惯用的 Spring Security 方法是实现一个预身份验证过滤器，当客户端位于白名单中时，该过滤器将使用有效的 Authentication 对象填充安全上下文。您可以从头开始实现这样的过滤器（例如，如此处）或使用 AbstractPreAuthenticatedProcessingFilter （尽管它对于您的任务来说似乎过于复杂）。

回复收藏 0 原文

~没有更多了~