Spring 安全 401 未經授權,即使有 permitAll
[英]Spring security 401 Unauthorized even with permitAll
問題描述
我正在使用 Spring 安全性來保護我的 REST 服務中的一些端點。
這是安全配置 class:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, jsr250Enabled = true, prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// Other methods
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors()
.and()
.csrf()
.disable()
.exceptionHandling()
.authenticationEntryPoint(this.jwtAuthenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/",
"/favicon.ico",
"/**/*.png",
"/**/*.gif",
"/**/*.svg",
"/**/*.jpg",
"/**/*.html",
"/**/*.css",
"/**/*.js")
.permitAll()
.antMatchers(HttpMethod.POST, "/api/auth/**")
.permitAll()
.anyRequest()
.authenticated();
// Add our custom JWT security filter
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
}
如您所見,我通過使用以下方式獲得了對/api/auth/signup和/api/auth/ signin 的完全訪問權限: .antMatchers(HttpMethod.POST, "/api/auth/**").permitAll()
出於某種原因,當我在 postman 中嘗試這些請求時, “注冊”請求運行良好,但“登錄”不起作用並給了我“401 Unauthorized”
我也試過.antMatchers("/**").permitAll()
這是我的 controller:
@RestController
public class UserController {
private UserService userService;
@Autowired
public UserController(UserService userService) {
this.userService = userService;
}
@PostMapping("/api/auth/signup")
public ResponseEntity<RestResponse> registerUser(@Valid @RequestBody SignUpRequest signUpRequest,
UriComponentsBuilder uriComponentsBuilder) {
RestResponse restResponse = this.userService.register(signUpRequest);
UriComponents uriComponents = uriComponentsBuilder.path("/users").buildAndExpand();
return ResponseEntity.created(uriComponents.toUri()).body(restResponse);
}
@PostMapping("/api/auth/signin")
public ResponseEntity<JwtAuthenticationResponse> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {
return ResponseEntity.ok(this.userService.login(loginRequest));
}
}
7 個解決方案
解決方案1
5 已采納 2018-10-24 11:28:27
我有同樣的問題,不確定,但我認為你需要這個訂單:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers(HttpMethod.POST, "/api/auth/**")
.permitAll()
.antMatchers("/",
"/favicon.ico",
"/**/*.png",
"/**/*.gif",
"/**/*.svg",
"/**/*.jpg",
"/**/*.html",
"/**/*.css",
"/**/*.js")
.permitAll()
.anyRequest()
.authenticated()
.and()
.cors()
.and()
.exceptionHandling()
.authenticationEntryPoint(this.jwtAuthenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.csrf()
.disable();
// Add our custom JWT security filter
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
解決方案2
1 2018-10-27 11:38:16
由於評估antMatcher的順序,您的配置無法正常工作
.and()
.authorizeRequests()
.antMatchers("/",
"/favicon.ico",
"/**/*.png",
"/**/*.gif",
"/**/*.svg",
"/**/*.jpg",
"/**/*.html",
"/**/*.css",
"/**/*.js")
.permitAll()
.antMatchers(HttpMethod.POST, "/api/auth/**")
.permitAll()
.anyRequest()
.authenticated();
請求匹配規則的順序很重要,更具體的規則應該放在第一位。 兩個antMatcher規則之間存在一些沖突,因此第二個規則即.antMatchers(HttpMethod.POST, "/api/auth/ ")** 被忽略。
因此順序應如下:-
.antMatchers(HttpMethod.POST, "/api/auth/**")
.permitAll()
.antMatchers("/",
"/favicon.ico",
"/**/*.png",
"/**/*.gif",
"/**/*.svg",
"/**/*.jpg",
"/**/*.html",
"/**/*.css",
"/**/*.js")
.permitAll()
解決方案3
0 2018-10-24 03:16:01
我上次這樣做時,我記得訂單很重要。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors()
.and()
.csrf()
.disable()
.exceptionHandling()
.authenticationEntryPoint(this.jwtAuthenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(HttpMethod.POST, "/api/auth/**")
.permitAll()
.antMatchers("/",
"/favicon.ico",
"/**/*.png",
"/**/*.gif",
"/**/*.svg",
"/**/*.jpg",
"/**/*.html",
"/**/*.css",
"/**/*.js")
.permitAll()
.anyRequest()
.authenticated();
// Add our custom JWT security filter
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
解決方案4
0 2020-04-28 21:59:59
您需要在您的配置方法中添加以下內容 /error 是由於任何異常導致應用程序發生錯誤時的默認回退,並且默認情況下是安全的。
protected void configure(HttpSecurity httpSecurity) throws Exception {
//disable CRSF
httpSecurity
//no authentication needed for these context paths
.authorizeRequests()
.antMatchers("/error").permitAll()
.antMatchers("/error/**").permitAll()
.antMatchers("/your Urls that dosen't need security/**").permitAll()
還有下面的代碼片段
@Override
public void configure(WebSecurity webSecurity) throws Exception
{
webSecurity
.ignoring()
// All of Spring Security will ignore the requests
.antMatchers("/error/**")
}
現在,當 permitAll Urls 發生異常時,您將不會得到 401 並得到 500 異常和詳細信息
解決方案5
0 2021-02-24 00:23:09
我遇到了同樣的問題,這是因為我沒有使用默認的 jdbc 架構,所以我傳遞了默認 UserDetailsService 所需的查詢,而我的權限表是空的,所以它沒有得到結果搜索通過用戶名。
解決方案6
0 2022-06-21 15:30:46
我有同樣的錯誤,但我的錯是嘗試使用電子郵件登錄並傳遞憑據。 但是我的 userdetailsservice 按名稱而不是電子郵件加載用戶。 如下更改后,它成功運行
public class UserDetailsImplServices implements UserDetailsService {
@Autowired
private UserRepository UserRepository;
@Override
public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {
//edit here to findbyemail not byname
UserModel user=UserRepository.findByEmail(email).get();
return UserDetailsImpl.build(user);
}
}
解決方案7
0 2022-09-10 07:44:11
.anyRequest().authenticated()正在阻止允許所有配置。 我試圖用antMatchers("/<context-path>/**") 。 它對我有用。
protected void configure(HttpSecurity http) throws Exception {
http
.cors()
.and()
.csrf()
.disable()
.exceptionHandling()
.authenticationEntryPoint(this.jwtAuthenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/",
"/favicon.ico",
"/**/*.png",
"/**/*.gif",
"/**/*.svg",
"/**/*.jpg",
"/**/*.html",
"/**/*.css",
"/**/*.js")
.permitAll()
.antMatchers(HttpMethod.POST, "/api/auth/**")
.permitAll()
.antMatchers("/<context-path>/**")
.authenticated();
// Add our custom JWT security filter
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
Spring 安全 401 未授權。 看起來像過濾器或 permitAll() 的問題
[英]Spring security 401 unauthorized. Looks like problem with filter or permitAll()
獲得 401 Unauthorized 即使用戶已通過身份驗證(Spring Security)
[英]Getting 401 Unauthorized Even when the user is authenticated (Spring Security)
即使使用@PreAuthorize(“permitAll()”),Spring Security也會阻止匿名請求
[英]Spring Security blocks anonymous requests even with @PreAuthorize(“permitAll()”)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Spring 安全返回 401 甚至 permitAll()
Spring 安全 401 未授權。 看起來像過濾器或 permitAll() 的問題
Spring Security的許可證全部未經授權
獲得 401 Unauthorized 即使用戶已通過身份驗證(Spring Security)
Spring Security - 401 未經授權的訪問
Spring 安全中的 401 未經授權的錯誤
錯誤 401 在 spring 啟動/spring 安全中未經授權
即使沒有安全性,SpringBoot 401 也未授權
春季安全許可證全部不起作用
即使使用@PreAuthorize(“permitAll()”),Spring Security也會阻止匿名請求
相關標簽