[英]Spring Boot with Spring Security formlogin in memory auth Whitelabel Status 404
[英]Spring Security, disable formLogin() for REST requests
我正在使用 Spring Boot、Spring Security、Spring Data REST、Hibernate。 我正在创建一个 REST API 服务器。
我将安全性配置为访问我的 REST API:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@CrossOrigin(origins = "*")
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Autowired
private TenantFilter tenantFilter;
@Autowired
public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(User.PASSWORD_ENCODER);
}
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public JwtAuthenticationTokenFilter jwtTokenFilter() throws Exception {
return new JwtAuthenticationTokenFilter();
}
@Bean
public CookieAuthFilter cookieAuthFilter() throws Exception {
return new CookieAuthFilter();
}
@Bean
public CustomWebAuthenticationDetailsSource customWebAuthenticationDetailsSource() {
return new CustomWebAuthenticationDetailsSource();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
//********************************************************************
// PERMIT OPTIONS
//********************************************************************
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
//********************************************************************
//WEBSOCKET
//********************************************************************
.antMatchers("/socket/**").permitAll()
.antMatchers("/images/**").permitAll()
.antMatchers("/resources/templates/**").permitAll()
.antMatchers("/api/v1/notifications/**").permitAll()
//********************************************************************
// SWAGGER
//********************************************************************
.antMatchers("/v2/api-docs", "/swagger-accounts/configuration/ui", "/swagger-accounts", "/swagger-accounts/configuration/security",
"/swagger-ui.html", "/webjars/**", "/swagger-resources/**").permitAll()
.antMatchers("/api/v1/").permitAll()
.antMatchers("/api/v1/auth/**").permitAll()
.antMatchers("/api/v1/formLogin/**").permitAll()
.antMatchers("/api/v1/logout").permitAll()
.antMatchers("/api/v1/agents/verifyEmail").permitAll()
.antMatchers("/api/v1/agents/**/verificationToken").permitAll()
.antMatchers("/api/v1/agents/**/resetPassword").permitAll()
.antMatchers("/api/v1/agents/**/verifyPasswordReset").permitAll()
.antMatchers("/api/v1/agents/**/changePassword").permitAll()
.antMatchers("/api/v1/errors/**").permitAll()
.antMatchers("/api/v1/verifyCaptcha").permitAll()
.antMatchers("/api/v1/ping").permitAll()
.antMatchers("/api/v1/tenants/**").permitAll()
// all other endpoints are authenticated
.antMatchers("/**").authenticated()
// global settings
.and()
.csrf()
.disable();
http.formLogin().loginPage("/login").permitAll();
// Custom JWT based security filter
http.addFilterBefore(tenantFilter, UsernamePasswordAuthenticationFilter.class);
http.addFilterBefore(jwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
http.addFilterBefore(cookieAuthFilter(), UsernamePasswordAuthenticationFilter.class);
http.headers().cacheControl().disable();
}
}
我想要达到的目标是:
当用户尝试访问像http://myhost/swagger-ui.html#/这样的 url 时显示表单登录,以便能够轻松使用 swagger
当使用 REST 调用(通过 Angular 或 Postman 或其他方式)调用服务器时,避免表单登录。 其实不然,如果auth失败,服务器回复登录页面的html代码
有没有办法在不关闭 formLogin() 的情况下使用 Spring 完成此操作?
其他配置看起来不错
如果您注意到 swagger 相关的 url 也被标记为permitAll().
只需删除 swagger 的 permitAll 部分并将其添加到最后作为身份验证()这样的东西
.antMatchers("/v2/api-docs", "/swagger-accounts/configuration/ui", "/swagger-accounts", "/swagger-accounts/configuration/security",
"/swagger-ui.html", "/webjars/**", "/swagger-resources/**").authenticated()
对于 REST 调用,只需查看是否将它们添加到permitAll()
另请注意:规则的顺序很重要,更具体的规则应该先行
例如
.antMatchers("/admin/**").authenticated()
.antMatchers("/admin/login").permitAll()
这里/admin/login
也将被认证。
看看结合基本身份验证和表单登录为同一个 REST Api ,我相信它满足您的要求。
我认为您可能需要更改的唯一一件事是在ApiWebSecurityConfigurationAdapter
因为您只询问 403,内容应如下所示(如果您不喜欢它太严格,可以将hasRole(String...)
替换为authenticated()
) .
http.antMatcher("/api/**").authorizeRequests().anyRequest().hasRole("ADMIN")
我不知道你是否或如何解决这个问题,但我正在寻找类似的东西。 所以对于任何也在寻找这个的人,我的想法是:
您可以配置 2 个 HttpSecurity 元素。 所以你扩展了 WebSecurityConfigurerAdapter 2 次。 让你的端点像这样:
然后在一个安全配置中使用 .formlogin() 配置 /view/ 在另一个安全中不要配置 .formlogin()
可以在此处找到一个应用程序中 2 个 securityConfig 的示例: https : //www.baeldung.com/spring-security-two-login-pages但是在那篇文章中,他们使用它来显示 2 个不同的登录页面,您可以使用这在一种情况下不显示表单登录...
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.