堆棧內存溢出
  簡體   English   中英

spring-boot 在單個 Web 應用程序路徑上設置基本身份驗證?

[英]spring-boot setup basic auth on a single web app path?

 原文  2014-07-09 15:50:50       java/ spring-mvc/ spring-security/ basic-authentication/ spring-boot

問題描述

我正在嘗試在基於 spring-boot spring MVC 的應用程序中設置單個路徑 (/basic) 以進行基本身份驗證保護。 我只是要使用我自己的自定義配置參數來配置它,因此用戶名和密碼只是“admin”和“admin”。

這目前適用於 /basic 路徑(我得到提示並且可以正確登錄)。 問題是注銷不起作用(我不知道為什么)並且還要求其他路徑(如 /other 所示)提供基本身份驗證憑據(在總是被拒絕之前)。

static class MyApplicationSecurity extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/open").permitAll();
        http.authorizeRequests().antMatchers("/other").denyAll(); // Block it for now
         http.authorizeRequests().antMatchers("/basic").authenticated().and().httpBasic().and().logout().logoutUrl("/basic/logout").invalidateHttpSession(true).logoutSuccessUrl("/");
    }
}

我希望 /other 總是被拒絕,但我不明白為什么會出現基本身份驗證。 /open 按預期工作。 我也不明白為什么 /basic/logout 不會讓我退出(它也不會產生錯誤消息)。 我確實有一些簡單的代碼作為注銷端點的占位符,但如果我沒有它,那么我會得到 404。“主頁”視圖是我的 Web 應用程序根,所以我只想在注銷后將用戶發送到那里。

@RequestMapping("/logout")
public ModelAndView logout() {
    // should be handled by spring security
    return new ModelAndView("home");
}

更新:這是最終似乎有效的解決方案(除了注銷部分,仍然無效):

@Configuration
@Order(1) // HIGHEST
public static class OAuthSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/oauth").authorizeRequests().anyRequest().denyAll();
    }
}

@Configuration
public static class BasicAuthConfigurationAdapter extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/basic").authorizeRequests().anyRequest().authenticated().and().httpBasic();
        http.logout().permitAll().logoutUrl("/logout").logoutSuccessUrl("/").invalidateHttpSession(true);
        //.and().logout().logoutUrl("/basic/logout").invalidateHttpSession(true).logoutSuccessUrl("/");
    }
}

2 個解決方案

解決方案1
 9 已采納  2014-07-10 01:33:12

我不確定注銷,但我們遇到了類似的問題,我們的一些網站處於基本狀態,而有些則不是。 我們的解決方案是僅對需要 http basic 的路徑使用第二個嵌套配置類。 我們給這個配置一個@Order(1)..但我不確定這是否有必要。

用代碼更新

@Configuration
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig {
    private static final Logger LOG = LoggerFactory.getLogger(SecurityConfig.class);

    @Autowired
    public void registerAuthentication(AuthenticationManagerBuilder auth, Config appConfig) throws Exception {
        auth.inMemoryAuthentication()
            .withUser(appConfig.getString(APIConfig.CONFIG_KEY_MANAGEMENT_USER_NAME))
            .password(appConfig.getString(APIConfig.CONFIG_KEY_MANAGEMENT_USER_PASS))
            .roles(HyperAPIRoles.DEFAULT, HyperAPIRoles.ADMIN);        
    }



    /**
     * Following Multiple HttpSecurity approach:
     * http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/#multiple-httpsecurity 
     */
    @Configuration
    @Order(1)
    public static class ManagerEndpointsSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
            .antMatcher("/management/**").authorizeRequests().anyRequest().hasRole(HyperAPIRoles.ADMIN).and()
            .httpBasic();
        }
    }

    /**
     * Following Multiple HttpSecurity approach:
     * http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/#multiple-httpsecurity 
     */
    @Configuration
    public static class ResourceEndpointsSecurityConfig extends WebSecurityConfigurerAdapter {        



       @Override
       protected void configure(HttpSecurity http) throws Exception {                  

            http
            //fyi: This adds it to the spring security proxy filter chain
            .addFilterBefore(createBBAuthenticationFilter(), BasicAuthenticationFilter.class)
            ;      
       }
    }
}

這似乎使用基本身份驗證保護 /management 處的執行器端點,而其他人使用自定義身份驗證令牌標頭。 我們不會提示輸入憑據(沒有發出任何挑戰),但我們必須注冊一些其他東西才能實現(如果我們想要的話)。

希望這可以幫助

解決方案2
 1  2020-04-09 22:29:09

只有一條路徑會受到保護

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth)
            throws Exception
    {
        auth.inMemoryAuthentication()
                .withUser("user").password(passwordEncoder().encode("user"))
                .roles("USER");
    }

    @Configuration
    @Order(1)
    public static class ManagerEndpointsSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                    .antMatchers("/add/**").authenticated()
                    .anyRequest().permitAll()
                    .and()
                    .httpBasic()
                    .and().csrf().disable();
        }
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 將 Swagger Basic AUTH 添加到 Spring Boot 應用程序 @Path等效於spring-boot Spring-Boot 應用程序不尊重 -Dloader.path 需要單個 bean,但在簡單的 spring-boot 應用程序中找到了 2 個 Spring-Boot REST 服務基本 http auth 排除一個端點 用thymeleaf測試spring-boot web-app 驗證Web應用程序中的注冊用戶(spring-boot + AngularJS) 找不到spring-boot基本JSP 404 使用Spring-Boot和Jetty設置SSL Spring Boot Admin - 基本身份驗證
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM