文章詳情頁

spring boot security設置忽略地址不生效的解決

瀏覽：2日期：2023-07-01 09:53:16

spring boot security設置忽略地址不生效

最近在試下微服務改造，出現這樣一個問題所有請求都經過spring cloud gateway進行認證授權后再訪問后端數據方服務，但有些需要合作機構回調，由于進行了security認證，最終的方案是對回調地址進行忽略auth認證。

最終security主要代碼如下：

@Configuration@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers('/v1/prNotifyBack'); } @Override protected void configure(HttpSecurity http) throws Exception { /**表示所有的訪問都必須進行認證處理后才可以正常進行*/ http.httpBasic().and().authorizeRequests().anyRequest().fullyAuthenticated(); /**所有的Rest服務一定要設置為無狀態，以提升操作性能*/ http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.csrf().disable(); }}這個過程遇到了幾個問題：1、繼承WebSecurityConfigurerAdapter

后我們重寫configure方法，這個方法需要注意：他有兩個不同的參數。

HttpSecurity 及WebSecurity 作用是不一樣的，WebSecurity 主要針對的全局的忽略規則，HttpSecurity主要是權限控制規則。

所以一開始用HttpSecurity是達不到忽略地址的目的。

protected void configure(HttpSecurity http){.......} public void configure(WebSecurity web) {.........}

WebSecurity

全局請求忽略規則配置（比如說靜態文件，比如說注冊頁面）、全局HttpFirewall配置、是否debug配置、全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor、

HttpSecurity

具體的權限控制規則配置。

2、忽略不生效問題

web.ignoring().antMatchers('/pr/v1/prNotifyBack');

如上代碼如果帶上/pr就不會生效，訪問依然會出現401錯誤。/pr是配置的項目路徑。但帶上項目路徑就不生效，這個問題很疑惑。

server:port: 8089servlet:context-path: /prSpringBoot SpringSecurity, web.ignore失效

@Configuration@EnableGlobalMethodSecurity(prePostEnabled=true)public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception {http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().csrf().disable().authorizeRequests().antMatchers('/api/**').authenticated().and().addFilterBefore(new TokenFilter(), UsernamePasswordAuthenticationFilter.class); } @Override public void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers('/').antMatchers('/swagger-ui.html').antMatchers('/swagger-resources/**').antMatchers('/webjars/springfox-swagger-ui/**').antMatchers('/v2/api-docs/**'); }}這是修改后正常工作的配置文件

之前使用@component注解, 然后使用@Resource注入進來.

導致過濾器全局生效.

正常配置，應該手動new, 而且過濾器類不能加@Component注解

具體原因，之后有空研究一下.

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。

Spring

上一條：spring aop execution表達式的用法下一條：spring cloud gateway集成hystrix全局斷路器操作

相關文章：

1. Gitlab CI-CD自動化部署SpringBoot項目的方法步驟2. Idea 快速生成方法返回值的操作3. 基于javascript處理二進制圖片流過程詳解4. Docker 部署 Prometheus的安裝詳細教程5. 使用Python和百度語音識別生成視頻字幕的實現6. ajax請求添加自定義header參數代碼7. idea開啟代碼提示功能的方法步驟8. idea刪除項目的操作方法9. JAVA上加密算法的實現用例10. JS sort方法基于數組對象屬性值排序

排行榜

					
					基于javascript處理二進制圖片流過程詳解
Docker 部署 Prometheus的安裝詳細教程
idea開啟代碼提示功能的方法步驟
使用Python和百度語音識別生成視頻字幕的實現
ajax請求添加自定義header參數代碼
JAVA上加密算法的實現用例
JS sort方法基于數組對象屬性值排序
idea刪除項目的操作方法
Idea 快速生成方法返回值的操作
Gitlab CI-CD自動化部署SpringBoot項目的方法步驟
教你如何寫出可維護的JS代碼
				