如何在运行时修改Spring Security过滤器链？

在运行时修改Spring Security过滤器链可以通过以下步骤实现：

创建一个自定义的过滤器链类，继承自AbstractSecurityInterceptor，并实现FilterInvocationSecurityMetadataSource接口和AccessDecisionManager接口。这个类将负责动态管理过滤器链。
在自定义的过滤器链类中，重写getFilters方法，根据需要动态添加、删除或修改过滤器。可以使用FilterChainProxy类的getFilterChains方法获取当前的过滤器链。
在Spring Security的配置类中，使用http.addFilterBefore、http.addFilterAfter和http.addFilterAt方法将自定义的过滤器链类添加到过滤器链中的指定位置。
在运行时，通过调用自定义的过滤器链类的方法，根据需求动态修改过滤器链。例如，可以根据用户角色或权限动态添加或删除某些过滤器。

以下是一个示例代码：

public class CustomFilterChain extends AbstractSecurityInterceptor implements FilterInvocationSecurityMetadataSource {

    private FilterInvocationSecurityMetadataSource securityMetadataSource;
    private AccessDecisionManager accessDecisionManager;

    public CustomFilterChain(FilterInvocationSecurityMetadataSource securityMetadataSource, AccessDecisionManager accessDecisionManager) {
        this.securityMetadataSource = securityMetadataSource;
        this.accessDecisionManager = accessDecisionManager;
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化操作
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        // 进行权限验证等操作
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    @Override
    public void destroy() {
        // 销毁操作
    }

    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    @Override
    public void setAccessDecisionManager(AccessDecisionManager accessDecisionManager) {
        this.accessDecisionManager = accessDecisionManager;
    }

    @Override
    public AccessDecisionManager getAccessDecisionManager() {
        return this.accessDecisionManager;
    }
}

在Spring Security的配置类中，可以这样使用自定义的过滤器链类：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomFilterChain customFilterChain;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .addFilterBefore(customFilterChain, FilterSecurityInterceptor.class);
    }
}

这样，就可以在运行时修改Spring Security过滤器链了。根据具体需求，可以在自定义的过滤器链类中实现动态添加、删除或修改过滤器的逻辑。