Spring Security，禁用 REST 请求的 formLogin()

Question

我正在使用 Spring Boot、Spring Security、Spring Data REST、Hibernate。 我正在创建一个 REST API 服务器。

我将安全性配置为访问我的 REST API：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@CrossOrigin(origins = "*")
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private TenantFilter tenantFilter;


    @Autowired
    public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(User.PASSWORD_ENCODER);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public JwtAuthenticationTokenFilter jwtTokenFilter() throws Exception {
        return new JwtAuthenticationTokenFilter();
    }

    @Bean
    public CookieAuthFilter cookieAuthFilter() throws Exception {
        return new CookieAuthFilter();
    }

    @Bean
    public CustomWebAuthenticationDetailsSource customWebAuthenticationDetailsSource() {
        return new CustomWebAuthenticationDetailsSource();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //********************************************************************
                // PERMIT OPTIONS
                //********************************************************************
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()

                //********************************************************************
                //WEBSOCKET
                //********************************************************************
                .antMatchers("/socket/**").permitAll()

                .antMatchers("/images/**").permitAll()

                .antMatchers("/resources/templates/**").permitAll()

                .antMatchers("/api/v1/notifications/**").permitAll()

                //********************************************************************
                // SWAGGER
                //********************************************************************
                .antMatchers("/v2/api-docs", "/swagger-accounts/configuration/ui", "/swagger-accounts", "/swagger-accounts/configuration/security",
                        "/swagger-ui.html", "/webjars/**", "/swagger-resources/**").permitAll()


                .antMatchers("/api/v1/").permitAll()

                .antMatchers("/api/v1/auth/**").permitAll()
                .antMatchers("/api/v1/formLogin/**").permitAll()

                .antMatchers("/api/v1/logout").permitAll()

                .antMatchers("/api/v1/agents/verifyEmail").permitAll()

                .antMatchers("/api/v1/agents/**/verificationToken").permitAll()

                .antMatchers("/api/v1/agents/**/resetPassword").permitAll()

                .antMatchers("/api/v1/agents/**/verifyPasswordReset").permitAll()

                .antMatchers("/api/v1/agents/**/changePassword").permitAll()

                .antMatchers("/api/v1/errors/**").permitAll()

                .antMatchers("/api/v1/verifyCaptcha").permitAll()

                .antMatchers("/api/v1/ping").permitAll()

                .antMatchers("/api/v1/tenants/**").permitAll()

                // all other endpoints are authenticated
                .antMatchers("/**").authenticated()

                // global settings
                .and()
                .csrf()
                .disable();

       http.formLogin().loginPage("/login").permitAll();


        // Custom JWT based security filter
        http.addFilterBefore(tenantFilter, UsernamePasswordAuthenticationFilter.class);
        http.addFilterBefore(jwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        http.addFilterBefore(cookieAuthFilter(), UsernamePasswordAuthenticationFilter.class);

        http.headers().cacheControl().disable();
    }
}

我想要达到的目标是：

当用户尝试访问像http://myhost/swagger-ui.html#/这样的 url 时显示表单登录，以便能够轻松使用 swagger
当使用 REST 调用（通过 Angular 或 Postman 或其他方式）调用服务器时，避免表单登录。 其实不然，如果auth失败，服务器回复登录页面的html代码

有没有办法在不关闭 formLogin() 的情况下使用 Spring 完成此操作？

Answer 1

其他配置看起来不错

如果您注意到 swagger 相关的 url 也被标记为permitAll().

只需删除 swagger 的 permitAll 部分并将其添加到最后作为身份验证（）这样的东西

.antMatchers("/v2/api-docs", "/swagger-accounts/configuration/ui", "/swagger-accounts", "/swagger-accounts/configuration/security",
                        "/swagger-ui.html", "/webjars/**", "/swagger-resources/**").authenticated()

对于 REST 调用，只需查看是否将它们添加到permitAll()

另请注意：规则的顺序很重要，更具体的规则应该先行

例如

.antMatchers("/admin/**").authenticated()
.antMatchers("/admin/login").permitAll()

这里/admin/login也将被认证。

Answer 2

看看结合基本身份验证和表单登录为同一个 REST Api ，我相信它满足您的要求。

我认为您可能需要更改的唯一一件事是在ApiWebSecurityConfigurationAdapter因为您只询问 403，内容应如下所示（如果您不喜欢它太严格，可以将hasRole(String...)替换为authenticated() ） .

http.antMatcher("/api/**").authorizeRequests().anyRequest().hasRole("ADMIN")

Answer 3

我不知道你是否或如何解决这个问题，但我正在寻找类似的东西。 所以对于任何也在寻找这个的人，我的想法是：

您可以配置 2 个 HttpSecurity 元素。 所以你扩展了 WebSecurityConfigurerAdapter 2 次。 让你的端点像这样：

'/view/**/*' 用于需要表单登录的所有内容
'/api/**/*' 对于所有需要 403 的东西

然后在一个安全配置中使用 .formlogin() 配置 /view/ 在另一个安全中不要配置 .formlogin()

可以在此处找到一个应用程序中 2 个 securityConfig 的示例： https : //www.baeldung.com/spring-security-two-login-pages但是在那篇文章中，他们使用它来显示 2 个不同的登录页面，您可以使用这在一种情况下不显示表单登录...

Spring Security，禁用 REST 请求的 formLogin()

问题描述

3 个解决方案

解决方案1
2 2019-07-01 09:09:58

解决方案2
1 2021-09-24 16:17:01

解决方案3
0 2020-04-05 15:21:12

Spring Security，禁用 REST 请求的 formLogin()

问题描述

3 个解决方案

解决方案1 2 2019-07-01 09:09:58

解决方案2 1 2021-09-24 16:17:01

解决方案3 0 2020-04-05 15:21:12

解决方案1
2 2019-07-01 09:09:58

解决方案2
1 2021-09-24 16:17:01

解决方案3
0 2020-04-05 15:21:12