文章詳情頁

spring boot security設置忽略地址不生效的解決

瀏覽：5日期：2023-07-01 09:53:16

spring boot security設置忽略地址不生效

最近在試下微服務改造，出現這樣一個問題所有請求都經過spring cloud gateway進行認證授權后再訪問后端數據方服務，但有些需要合作機構回調，由于進行了security認證，最終的方案是對回調地址進行忽略auth認證。

最終security主要代碼如下：

@Configuration@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers('/v1/prNotifyBack'); } @Override protected void configure(HttpSecurity http) throws Exception { /**表示所有的訪問都必須進行認證處理后才可以正常進行*/ http.httpBasic().and().authorizeRequests().anyRequest().fullyAuthenticated(); /**所有的Rest服務一定要設置為無狀態，以提升操作性能*/ http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.csrf().disable(); }}這個過程遇到了幾個問題：1、繼承WebSecurityConfigurerAdapter

后我們重寫configure方法，這個方法需要注意：他有兩個不同的參數。

HttpSecurity 及WebSecurity 作用是不一樣的，WebSecurity 主要針對的全局的忽略規則，HttpSecurity主要是權限控制規則。

所以一開始用HttpSecurity是達不到忽略地址的目的。

protected void configure(HttpSecurity http){.......} public void configure(WebSecurity web) {.........}

WebSecurity

全局請求忽略規則配置（比如說靜態文件，比如說注冊頁面）、全局HttpFirewall配置、是否debug配置、全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor、

HttpSecurity

具體的權限控制規則配置。

2、忽略不生效問題

web.ignoring().antMatchers('/pr/v1/prNotifyBack');

如上代碼如果帶上/pr就不會生效，訪問依然會出現401錯誤。/pr是配置的項目路徑。但帶上項目路徑就不生效，這個問題很疑惑。

server:port: 8089servlet:context-path: /prSpringBoot SpringSecurity, web.ignore失效

@Configuration@EnableGlobalMethodSecurity(prePostEnabled=true)public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception {http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().csrf().disable().authorizeRequests().antMatchers('/api/**').authenticated().and().addFilterBefore(new TokenFilter(), UsernamePasswordAuthenticationFilter.class); } @Override public void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers('/').antMatchers('/swagger-ui.html').antMatchers('/swagger-resources/**').antMatchers('/webjars/springfox-swagger-ui/**').antMatchers('/v2/api-docs/**'); }}這是修改后正常工作的配置文件

之前使用@component注解, 然后使用@Resource注入進來.

導致過濾器全局生效.

正常配置，應該手動new, 而且過濾器類不能加@Component注解

具體原因，之后有空研究一下.

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。

Spring

上一條：spring aop execution表達式的用法下一條：spring cloud gateway集成hystrix全局斷路器操作

相關文章：

1. vue實現web在線聊天功能2. IntelliJ IDEA設置自動提示功能快捷鍵的方法3. Java Bean與Map之間相互轉化的實現方法4. SpringBoot+TestNG單元測試的實現5. Springboot 全局日期格式化處理的實現6. Java使用Tesseract-Ocr識別數字7. Python使用urlretrieve實現直接遠程下載圖片的示例代碼8. Django使用HTTP協議向服務器傳參方式小結9. JAMon(Java Application Monitor)備忘記10. 完美解決vue 中多個echarts圖表自適應的問題

排行榜

					
					docker容器調用yum報錯的解決辦法
Django使用HTTP協議向服務器傳參方式小結
JAMon(Java Application Monitor)備忘記
IntelliJ IDEA設置自動提示功能快捷鍵的方法
完美解決vue 中多個echarts圖表自適應的問題
Springboot 全局日期格式化處理的實現
Java Bean與Map之間相互轉化的實現方法
Java使用Tesseract-Ocr識別數字
vue實現web在線聊天功能
Python使用urlretrieve實現直接遠程下載圖片的示例代碼
SpringBoot+TestNG單元測試的實現
				