PermitAll 在 Spring Security 中不起作用
[英]PermitAll not working in Spring Security
問題描述
我有兩個規則,第一個來自 oauth/** 的每個 url 應該沒有安全性,而其他 url 必須安全。 但是現在所有的 url 都是安全的,包括來自 oauth/** 的 url。 這是我的安全配置規則。
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
// JWT dont need CSRF
httpSecurity.csrf().disable().exceptionHandling().and().sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests()
.antMatchers("oauth/**").permitAll().and()
.addFilterBefore(new JwtAuthenticationTokenFilter(), BasicAuthenticationFilter.class);
// disable page caching
httpSecurity.headers().cacheControl();
}
}
當我請求輸入我的 JwtAuthenticationTokenFilter 的 url http://localhost:8080/oauth/fb 時,我希望這個 url 不要輸入這個過濾器。
3 個解決方案
解決方案1
2 2017-05-18 15:16:10
您可以使用 WebSecurity 參數覆蓋配置方法。
@Override
public void configure(final WebSecurity web) throws Exception
{
web.ignoring().antMatchers("oauth/**");
}
在提供文檔中建議的 css/* js/* 等靜態內容時應使用此方法,但是我找不到另一種方法來允許使用 Spring Security 中的自定義過濾器進行 URL 映射。
解決方案2
0 2017-03-27 16:19:59
<security:http pattern="/support/**" security="none"/>
您可能需要編寫與上述 XML 配置等效的 Java。 基本上,您正在為上述模式設置一個沒有安全性的新過濾器鏈。
解決方案3
0 2021-12-07 11:08:34
我遇到了類似的問題。 我的安全配置:
// ... imports
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private final UserDetailsService userDetailsService;
private final PasswordEncoder passwordEncoder;
private final JwtFilter jwtFilter;
@Autowired
public SecurityConfig(@Qualifier("userDetailsServiceImpl") UserDetailsService userDetailsService,
PasswordEncoder passwordEncoder,
JwtFilter jwtFilter) {
this.userDetailsService = userDetailsService;
this.passwordEncoder = passwordEncoder;
this.jwtFilter = jwtFilter;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.httpBasic().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(HttpMethod.POST, "/auth/**").permitAll()
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(daoAuthenticationProvider());
}
protected DaoAuthenticationProvider daoAuthenticationProvider() {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setUserDetailsService(userDetailsService);
provider.setPasswordEncoder(passwordEncoder);
return provider;
}
}
還有我的安全過濾器:
// ... imports
@Component
public class JwtFilter extends GenericFilterBean {
public static final String AUTHORIZATION_HEADER = "Authorization";
public static final String TOKEN_PREFIX = "Bearer ";
public static final int TOKEN_START_POSITION = 7;
private final JwtProvider jwtProvider;
@Autowired
public JwtFilter(JwtProvider jwtProvider) {
this.jwtProvider = jwtProvider;
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
String token = getTokenFromRequest((HttpServletRequest) servletRequest);
if (token != null && jwtProvider.validateToken(token)) {
Map<String, Object> properties = jwtProvider.getUserPropertiesFromToken(token);
UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
properties.get("login"),
null,
(Set<GrantedAuthority>) properties.get("authirities"));
SecurityContextHolder.getContext().setAuthentication(auth);
}
filterChain.doFilter(servletRequest, servletResponse);
}
private String getTokenFromRequest(HttpServletRequest request) {
String bearer = request.getHeader(AUTHORIZATION_HEADER);
if (bearer != null && bearer.startsWith(TOKEN_PREFIX)) {
return bearer.substring(TOKEN_START_POSITION);
}
return null;
}
}
我的代碼對我不起作用的原因是我跳過了filterChain.doFilter(servletRequest, servletResponse); 在我的過濾器中,即我沒有將請求和響應傳遞給鏈中的下一個實體。
Spring MVC安全性permitAll / /但拒絕所有/ / **不起作用
[英]Spring MVC Security permitAll to / but denyAll to /** not working
H2 控制台和 Spring Security - permitAll() 不起作用
[英]H2 console and Spring Security - permitAll() not working
Spring Boot 3 安全 requestMatchers.permitAll 不工作
[英]Spring Boot 3 Security requestMatchers.permitAll not working
春季安全性:authorizeRequests()。antMatchers()。permitAll()不起作用
[英]Spring Security: authorizeRequests().antMatchers().permitAll() is not working
配置中的 Spring Security hasRole('ROLE_ADMIN') 和 @PreAuthorize("permitAll") 不起作用?
[英]Spring Security hasRole('ROLE_ADMIN') in config and @PreAuthorize("permitAll") not working?
為什么Spring Security permitAll()無法與OAuth2.0一起使用?
[英]Why Spring Security permitAll() is not working with OAuth2.0?
一起使用denyAll()和permitAll()Spring Security 3.0.8無法正常工作
[英]Using denyAll() and permitAll() together Spring security 3.0.8 not working
帶有permitAll()和過期身份驗證令牌的URL的Spring Security
[英]Spring Security for URL with permitAll() and expired Auth Token
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
春季安全許可證全部不起作用
帶有過濾器許可的Spring Security全部不起作用
Spring MVC安全性permitAll / /但拒絕所有/ / **不起作用
H2 控制台和 Spring Security - permitAll() 不起作用
Spring Boot 3 安全 requestMatchers.permitAll 不工作
春季安全性:authorizeRequests()。antMatchers()。permitAll()不起作用
配置中的 Spring Security hasRole('ROLE_ADMIN') 和 @PreAuthorize("permitAll") 不起作用?
為什么Spring Security permitAll()無法與OAuth2.0一起使用?
一起使用denyAll()和permitAll()Spring Security 3.0.8無法正常工作
帶有permitAll()和過期身份驗證令牌的URL的Spring Security
相關標簽