文章詳情頁

spring boot security設置忽略地址不生效的解決

瀏覽：5日期：2023-07-01 09:53:16

spring boot security設置忽略地址不生效

最近在試下微服務改造，出現這樣一個問題所有請求都經過spring cloud gateway進行認證授權后再訪問后端數據方服務，但有些需要合作機構回調，由于進行了security認證，最終的方案是對回調地址進行忽略auth認證。

最終security主要代碼如下：

@Configuration@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers('/v1/prNotifyBack'); } @Override protected void configure(HttpSecurity http) throws Exception { /**表示所有的訪問都必須進行認證處理后才可以正常進行*/ http.httpBasic().and().authorizeRequests().anyRequest().fullyAuthenticated(); /**所有的Rest服務一定要設置為無狀態，以提升操作性能*/ http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.csrf().disable(); }}這個過程遇到了幾個問題：1、繼承WebSecurityConfigurerAdapter

后我們重寫configure方法，這個方法需要注意：他有兩個不同的參數。

HttpSecurity 及WebSecurity 作用是不一樣的，WebSecurity 主要針對的全局的忽略規則，HttpSecurity主要是權限控制規則。

所以一開始用HttpSecurity是達不到忽略地址的目的。

protected void configure(HttpSecurity http){.......} public void configure(WebSecurity web) {.........}

WebSecurity

全局請求忽略規則配置（比如說靜態文件，比如說注冊頁面）、全局HttpFirewall配置、是否debug配置、全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor、

HttpSecurity

具體的權限控制規則配置。

2、忽略不生效問題

web.ignoring().antMatchers('/pr/v1/prNotifyBack');

如上代碼如果帶上/pr就不會生效，訪問依然會出現401錯誤。/pr是配置的項目路徑。但帶上項目路徑就不生效，這個問題很疑惑。

server:port: 8089servlet:context-path: /prSpringBoot SpringSecurity, web.ignore失效

@Configuration@EnableGlobalMethodSecurity(prePostEnabled=true)public class CustomSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception {http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().csrf().disable().authorizeRequests().antMatchers('/api/**').authenticated().and().addFilterBefore(new TokenFilter(), UsernamePasswordAuthenticationFilter.class); } @Override public void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers('/').antMatchers('/swagger-ui.html').antMatchers('/swagger-resources/**').antMatchers('/webjars/springfox-swagger-ui/**').antMatchers('/v2/api-docs/**'); }}這是修改后正常工作的配置文件

之前使用@component注解, 然后使用@Resource注入進來.

導致過濾器全局生效.

正常配置，應該手動new, 而且過濾器類不能加@Component注解

具體原因，之后有空研究一下.

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。

Spring

上一條：spring aop execution表達式的用法下一條：spring cloud gateway集成hystrix全局斷路器操作

相關文章：

1. 如何通過vscode運行調試javascript代碼2. JAVA抽象類及接口使用方法解析3. 教你JS更簡單的獲取表單中數據(formdata)4. 測試模式 - XSL教程 - 55. python b站視頻下載的五種版本6. JavaScript設計模式之策略模式實現原理詳解7. python如何寫個俄羅斯方塊8. 《CSS3實戰》筆記--漸變設計（一)9. Python結合百度語音識別實現實時翻譯軟件的實現10. 本站用的rss輸出

排行榜

					
					《CSS3實戰》筆記--漸變設計（一)
教你JS更簡單的獲取表單中數據(formdata)
python如何寫個俄羅斯方塊
JavaScript設計模式之策略模式實現原理詳解
測試模式 - XSL教程 - 5
如何通過vscode運行調試javascript代碼
python b站視頻下載的五種版本
JAVA抽象類及接口使用方法解析
Python結合百度語音識別實現實時翻譯軟件的實現
原生JS實現螢火蟲效果
Java JUC中操作List安全類的集合案例
				