堆栈内存溢出
  繁体   English   中英

spring-boot 在单个 Web 应用程序路径上设置基本身份验证?

[英]spring-boot setup basic auth on a single web app path?

 原文  2014-07-09 15:50:50       java/ spring-mvc/ spring-security/ basic-authentication/ spring-boot

问题描述

我正在尝试在基于 spring-boot spring MVC 的应用程序中设置单个路径 (/basic) 以进行基本身份验证保护。 我只是要使用我自己的自定义配置参数来配置它,因此用户名和密码只是“admin”和“admin”。

这目前适用于 /basic 路径(我得到提示并且可以正确登录)。 问题是注销不起作用(我不知道为什么)并且还要求其他路径(如 /other 所示)提供基本身份验证凭据(在总是被拒绝之前)。

static class MyApplicationSecurity extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/open").permitAll();
        http.authorizeRequests().antMatchers("/other").denyAll(); // Block it for now
         http.authorizeRequests().antMatchers("/basic").authenticated().and().httpBasic().and().logout().logoutUrl("/basic/logout").invalidateHttpSession(true).logoutSuccessUrl("/");
    }
}

我希望 /other 总是被拒绝,但我不明白为什么会出现基本身份验证。 /open 按预期工作。 我也不明白为什么 /basic/logout 不会让我退出(它也不会产生错误消息)。 我确实有一些简单的代码作为注销端点的占位符,但如果我没有它,那么我会得到 404。“主页”视图是我的 Web 应用程序根,所以我只想在注销后将用户发送到那里。

@RequestMapping("/logout")
public ModelAndView logout() {
    // should be handled by spring security
    return new ModelAndView("home");
}

更新:这是最终似乎有效的解决方案(除了注销部分,仍然无效):

@Configuration
@Order(1) // HIGHEST
public static class OAuthSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/oauth").authorizeRequests().anyRequest().denyAll();
    }
}

@Configuration
public static class BasicAuthConfigurationAdapter extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/basic").authorizeRequests().anyRequest().authenticated().and().httpBasic();
        http.logout().permitAll().logoutUrl("/logout").logoutSuccessUrl("/").invalidateHttpSession(true);
        //.and().logout().logoutUrl("/basic/logout").invalidateHttpSession(true).logoutSuccessUrl("/");
    }
}

2 个解决方案

解决方案1
 9 已采纳  2014-07-10 01:33:12

我不确定注销,但我们遇到了类似的问题,我们的一些网站处于基本状态,而有些则不是。 我们的解决方案是仅对需要 http basic 的路径使用第二个嵌套配置类。 我们给这个配置一个@Order(1)..但我不确定这是否有必要。

用代码更新

@Configuration
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig {
    private static final Logger LOG = LoggerFactory.getLogger(SecurityConfig.class);

    @Autowired
    public void registerAuthentication(AuthenticationManagerBuilder auth, Config appConfig) throws Exception {
        auth.inMemoryAuthentication()
            .withUser(appConfig.getString(APIConfig.CONFIG_KEY_MANAGEMENT_USER_NAME))
            .password(appConfig.getString(APIConfig.CONFIG_KEY_MANAGEMENT_USER_PASS))
            .roles(HyperAPIRoles.DEFAULT, HyperAPIRoles.ADMIN);        
    }



    /**
     * Following Multiple HttpSecurity approach:
     * http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/#multiple-httpsecurity 
     */
    @Configuration
    @Order(1)
    public static class ManagerEndpointsSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
            .antMatcher("/management/**").authorizeRequests().anyRequest().hasRole(HyperAPIRoles.ADMIN).and()
            .httpBasic();
        }
    }

    /**
     * Following Multiple HttpSecurity approach:
     * http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/#multiple-httpsecurity 
     */
    @Configuration
    public static class ResourceEndpointsSecurityConfig extends WebSecurityConfigurerAdapter {        



       @Override
       protected void configure(HttpSecurity http) throws Exception {                  

            http
            //fyi: This adds it to the spring security proxy filter chain
            .addFilterBefore(createBBAuthenticationFilter(), BasicAuthenticationFilter.class)
            ;      
       }
    }
}

这似乎使用基本身份验证保护 /management 处的执行器端点,而其他人使用自定义身份验证令牌标头。 我们不会提示输入凭据(没有发出任何挑战),但我们必须注册一些其他东西才能实现(如果我们想要的话)。

希望这可以帮助

解决方案2
 1  2020-04-09 22:29:09

只有一条路径会受到保护

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth)
            throws Exception
    {
        auth.inMemoryAuthentication()
                .withUser("user").password(passwordEncoder().encode("user"))
                .roles("USER");
    }

    @Configuration
    @Order(1)
    public static class ManagerEndpointsSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                    .antMatchers("/add/**").authenticated()
                    .anyRequest().permitAll()
                    .and()
                    .httpBasic()
                    .and().csrf().disable();
        }
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 将 Swagger Basic AUTH 添加到 Spring Boot 应用程序 @Path等效于spring-boot Spring-Boot 应用程序不尊重 -Dloader.path 需要单个 bean,但在简单的 spring-boot 应用程序中找到了 2 个 Spring-Boot REST 服务基本 http auth 排除一个端点 用thymeleaf测试spring-boot web-app 验证Web应用程序中的注册用户(spring-boot + AngularJS) 找不到spring-boot基本JSP 404 使用Spring-Boot和Jetty设置SSL Spring Boot Admin - 基本身份验证
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM