为什么permitAll()不工作,并在请求中请求身份验证对象?
permitAll()是Spring Security框架中的一个方法,用于配置某个URL路径不需要身份验证即可访问。然而,如果在请求中请求身份验证对象,即使使用了permitAll()方法,仍然会触发身份验证。
这种情况通常发生在请求中包含了身份验证对象的信息,例如在请求头中携带了身份验证凭证(如JWT令牌)或者在请求参数中携带了身份验证信息。在这种情况下,Spring Security会自动触发身份验证过程,而不会考虑到permitAll()方法的配置。
要解决这个问题,可以通过以下几种方式:
- 确保请求中不包含身份验证对象的信息:在请求中不携带任何身份验证信息,这样即使使用了permitAll()方法,也不会触发身份验证。
- 使用特定的URL路径来处理身份验证请求:将身份验证请求与其他请求分开处理,使用不同的URL路径来处理身份验证请求,而其他请求使用permitAll()方法配置为不需要身份验证。
- 自定义Spring Security配置:通过自定义Spring Security的配置,可以灵活地控制请求的身份验证行为。可以根据请求的特征(如URL路径、请求方法、请求参数等)来决定是否需要进行身份验证。
需要注意的是,以上解决方案都是基于Spring Security框架的,具体的实现方式会根据具体的项目和需求而有所不同。
关于腾讯云相关产品和产品介绍链接地址,由于要求不能提及具体的云计算品牌商,无法给出相关链接。但腾讯云提供了一系列云计算服务,包括云服务器、云数据库、云存储等,可以根据具体需求选择适合的产品。
相关·内容
3回答
我有配置
http.csrf().disable();
http.authorizeRequests()
.antMatchers("/**").authenticated()
.antMatchers("/shutdown").permitAll()
.and().formLogin().passwordParameter("password").usernameParameter("username"
浏览 5提问于2014-11-21得票数 1
回答已采纳
我的Spring Boot应用程序提供了几个端点。在this article之后,我想在默认情况下限制所有端点,以便它们需要通过JWT令牌进行身份验证。只有某些路径应该是公开的。我的理解是,在.antMatchers(PUBLIC_RESOURCES).permitAll()中定义的所有路径都将是“公共的”,无需任何身份验证。 这对于GET方法很有效,但是当使用POST命中相同的端点时,我会得到HTTP403(禁止的)。我不明白为什么会这样。 这是我当前的安全配置: @Configuration
@EnableGlobalMethodSecurity(prePostEnabled = tru
浏览 31提问于2021-01-29得票数 0
回答已采纳
我试图在一些控制器上使用url (基于蚂蚁的)匹配以及@PreAuthorize("permitAll")。
@Controller
@RequestMapping("/register")
public class RegistrationController {
...
@PreAuthorize("permitAll")
@RequestMapping(method = RequestMethod.GET)
public String register() { ... }
SecurityConfig:
@Configurat
浏览 1提问于2015-05-29得票数 12
回答已采纳
3回答
我正在尝试通过Spring Security设置登录的oauth2配置。但仅针对特定的urls。
我的安全配置如下所示。
@Override
public void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/secured/**")
.authorizeRequests()
.anyRequest()
.authenticated()
.and()
.oauth2Log
浏览 0提问于2020-06-26得票数 0
2回答
我试图了解RequestMatcher、AntMatcher等是如何工作的。我读了一些帖子,了解了一些基本知识。实际上,我有一个简单的基本配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
浏览 4提问于2019-11-07得票数 5
回答已采纳
1回答
我遵循这个并设置了jwt身份验证。它工作得很好。所有请求都是从java脚本中通过附加身份验证头发出的,如下所示。
$.ajax({
url: "/user",
type: "GET",
contentType: "application/json; charset=utf-8",
dataType: "json",
headers: "Authorization": token,
success: functio
浏览 20提问于2016-08-26得票数 1
1回答
我有以下配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Configuration
@Order(1)
public static class SamlConfig extends WebSecurityConfigurerAdapter {
@Value("${enable_csrf}")
private Boolean enableCsrf;
@Autowired
privat
浏览 4提问于2021-11-19得票数 0
在Spring安全oauth实现中有一种常见的做法,即使用下面的代码行来保护oauth端点:
.requestMatchers().antMatchers("/login", "/oauth/authorize", "/oauth/confirm_access")
整个设置如下所示:
http
.formLogin().loginPage("/login").permitAll()
.and()
.requestMatchers().antMatchers("/login", "/oauth/a
浏览 0提问于2016-07-22得票数 8
我有一个ios应用程序,它与Grails上开发的REST进行通信。为了保护REST,我决定使用oAuth 2.0 'Resource密码‘流。对于grails应用程序作为oAuth 2.0提供程序,我使用以下作为客户机,id为' Client‘,秘密为'1234’,用户名为' User‘,密码为’密码‘,请求令牌如下
POST /oauth2-test/oauth/token HTTP/1.1
Host: 192.168.1.113:8080
Authorization: Basic Y2xpZW50OjEyMzQ=
Cache-Control: no-cach
浏览 4提问于2015-02-10得票数 3
我正在尝试配置一个具有多个身份验证机制(DB和LDAP)并使用spring安全作为其底层框架的应用程序。我正在使用java配置来设置web和http安全性。我知道我们需要多个WebSecurityConfigurerAdapter实例来处理多个http元素(就像在基于xml的配置中使用的那样);但是当我这样做时,应用程序只获取配置的第一个身份验证(数据库身份验证),而从不使用第二个身份验证(Ldap auth)进行身份验证。有什么原因吗?以下是代码片段
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, s
浏览 0提问于2015-10-13得票数 1
我有一个安全配置:
@Override
public void configure(HttpSecurity http) throws Exception {
http
.addFilterBefore(
new JwtLoginFilter("/login", authenticationManager()),
UsernamePasswordAuthenticationFilter.class)
.addFilterBefo
浏览 0提问于2017-09-06得票数 3
回答已采纳
1回答
Spring安全配置访问
、、、
我正在配置Security中的端点访问。我想要做的是:
每个人都能获得资源
每个人都可以登录/注册。
只有经过身份验证的用户才能访问注销和所有其他映射的端点。
下面是我的配置,它满足了两个需求,并防止了未登录用户访问/logout。
http.authorizeRequests()
.antMatchers("/register").permitAll()
.antMatchers("/register/*").permitAll()
.antMa
浏览 1提问于2017-03-21得票数 0
作为spring安全框架的新手,我想知道为什么我们要在方法中使用@PreAuthorize("permitAll()")?文档说明permitAll的计算结果始终为true。()
另外,我对下面的代码进行了修改。开发人员将permitAll()更改为特定的权限check.What这里的含义是什么?因为我不太确定permitAll()是如何工作的,所以我不能判断代码更改背后的逻辑。在我看来,开发人员添加了特定的权限检查,并将null作为身份验证对象进行传递。有人能解释一下将null作为身份验证对象显式传递会有什么影响吗?是否未通过身份验证的用户拥有对目标对象的特定权限--
浏览 11提问于2015-06-26得票数 4
回答已采纳
我使用Spring3.2+PrimeFaces3.5+ hibernate 4.1.9,安全上下文是:
<http auto-config='false' use-expressions="true" >
<intercept-url pattern="/**/login" access="permitAll" requires-channel="https"/>
<intercept-url pattern="/**/registration"
浏览 2提问于2013-05-27得票数 0
我正在使用Security编写一个应用程序。我实现了我的自定义UserDetails、UserDetailsService、AccessDecisionVoter和WebSecurityConfigurerAdapter。我希望允许未经授权的用户访问/authenthication/login页面来登录,但是对页面的所有其他访问都需要由自定义AccessDecisionVoter来处理。
我的自定义WebSecurityConfigurerAdapter类如下所示:
@Configuration
@EnableWebSecurity
@ComponentScan(value = "se
浏览 4提问于2017-04-19得票数 0
回答已采纳
我正在努力学习Spring安全的基本知识。
我想要实现的
我的系统只用于REST处理,在/user/sign_in上有一个登录端点帖子和一些打开的端点--在/prompt/, /prompt/{id}, /story/, /story/{id}上获取,rest所有的东西都只针对经过身份验证的用户。
我有一个自定义的身份验证过滤器,我已经把它放在BasicAuthenticationFilter之前了。我在这里分享我的WebSecurityConfigurerAdapter代码
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecur
浏览 5提问于2016-12-02得票数 7
4回答
我目前正在将REST应用程序从Spring 2.7.5迁移到3.0.0-RC2。除了Open之外,我希望一切都是安全的。在Spring 2.7.5中,我们经常这样做:
@Named
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antM
浏览 90提问于2022-11-15得票数 4
回答已采纳
2回答
在为我的springboot应用程序执行集成测试时,我想禁用csrf。我已经尝试过security.enable-csrf=false,但似乎没有任何效果。我也尝试过在我的测试中通过SecurityMockMvcRequestPostProcessors.csrf方法传递csrf令牌,但是没有用。
在我的应用程序中,有一个扩展了WebSecurityConfigurerAdapter的自定义SecurityConfig,它的代码类似于:
http
.csrf() .csrfTokenRepository(CookieCsrfTokenRepository.w
浏览 0提问于2018-02-06得票数 2
我只需要了解Spring Security配置中的一些内容。使用下面的例子...
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.httpBasic()
.and()
.authorizeRequests().antMa
浏览 5提问于2019-05-31得票数 51
回答已采纳
正如标题所述,AuthenticationWebFilter有自己的一组匹配程序来确定请求是否需要身份验证。这似乎违背了spring保安的做事方式。
如果在spring中将端点设置为.permitAll(),那么它也必须在AuthenticationWebFilter中被排除,为什么过滤器不让请求通过并让spring安全的其余部分处理它呢?
编辑:重新框架我的问题,以回应的史蒂夫里森伯格:
为什么AuthenticationWebFilter (身份验证过滤器)控制对资源的访问?这不应该由授权过滤器来处理吗?
编辑:我刚刚发现,当没有身份验证时,只有在验证失败时,过滤器才不会阻止访问,这是有意
浏览 6提问于2021-06-28得票数 0
回答已采纳
跟进
为什么人们会倾向于在url上实现一个非身份验证的过滤器,而不是在staticRules w/permitAll下允许它?从安全的角度来看,有什么区别吗?
在我看来,他们实现了同样的目标。
谢谢
浏览 3提问于2014-11-03得票数 0
回答已采纳
我使用Java Spring开发了一个后端,并通过扩展WebSecurityConfigurerAdapter添加了LDAP身份验证。我可以从邮递员那里得到认证,但我不能从爱奥尼亚大学得到认证。 我的春天的一面; @Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
//TODO: add other endpoints like /events in order to permit un-authenticated users
@Override
protected voi
浏览 20提问于2020-09-12得票数 0
我正在学习Spring,并想知道当我更改这两个authorizeRequests()方法的顺序时,为什么会有差异:
这样做很好:
security.authorizeRequests()
.antMatchers("/css/**")
.permitAll();
security.authorizeRequests()
.anyRequest()
.authenticated();
这并不意味着:
security.authorizeRequests()
.anyRequest()
.authenticated();
secu
浏览 0提问于2019-08-26得票数 0
回答已采纳
在我的java webapp中,我用标准的spring-boot来做安全性工作。 implementation 'org.springframework.boot:spring-boot-starter-security' @EnableWebSecurity
class SecurityConfig(...) : WebSecurityConfigurerAdapter() {
override fun configure(http: HttpSecurity) {
http.csrf().disable().httpBasic().disable
浏览 5提问于2020-07-24得票数 0
我有一个单独的rest模块,名为'x‘,我在完整模块中使用了spring安全和基本身份验证过滤器(用户名和密码),因此任何命中此rest服务的请求都应该登录,但我有一个页面用于忘记密码,由于此身份验证过滤器,我无法继续在同一个x模块中映射。如果我登录并转到这个页面,并使用x模块的服务,那么它可以正常工作,但在注销用户的情况下就不行了。
我试过这些不起作用的东西
<http pattern="/forgotpass" security="none"/>
<intercept-url pattern="/forgotPassword
浏览 42提问于2018-05-11得票数 0
我使用Spring-Boot1.1.7,带有spring安全性、html (没有百里香叶)和javascript。当我使用javascript提交我的登录时,我无法使我的登录正确工作。当我在表单中使用html时,spring-security将接收请求,进行身份验证并愉快地继续工作。但是使用Javascript,我得到了302重定向,没有身份验证。
这是我的配置:
@ComponentScan
@EnableAutoConfiguration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class MyApplicatio
浏览 3提问于2014-10-25得票数 2
回答已采纳
我正在构建一个具有Spring Boot后端的Angular应用程序。我集成了Spring Security并在Angular package.json中添加了如下所示的FontAwesome依赖
"dependencies": {
.....
"font-awesome": "^4.7.0",
.....
}
问题是Spring Security一直在阻止FA的图标检索。
我的Spring Security配置如下:
@Override
protected void configure(HttpSecur
浏览 11提问于2018-07-31得票数 0
回答已采纳
我有Spring Boot2REST应用程序,我想配置Spring Security以支持对相同资源(例如/employees)的Google Sign-In或LDAP身份验证。 我已经通过httpBasic(它连接到Apache AD LDAP服务器)进行了身份验证。 此外,我还通过谷歌OAuth2登录设置了身份验证。这两种配置分别正确地工作(我可以通过Google登录进行身份验证,但不能同时使用LDAP,因为我必须识别spring安全性),现在我需要能够同时使用这两种方式进行身份验证。 我的用于LDAP身份验证的Spring安全配置 @Override
protected voi
浏览 65提问于2019-05-15得票数 0
回答已采纳
我在我的项目中使用了spring security oauth。通过在spring安全ResourceServerConfigurerAdapter中进行配置,我从身份验证中排除了一些urls。我添加了http.authorizeRequests().antMatchers(url).permitAll()。
现在,我看到的是,如果我不将Authorization头传递给这些urls,它就不会通过身份验证。并且API被正确调用。
如果使用Authorization标头进行调用,则它将验证令牌,如果未验证令牌,则调用失败。
我的问题是,我需要做什么才能使令牌在我具有permitAll的请求中被忽
浏览 0提问于2016-03-30得票数 22
我尝试配置Spring Security。我有以下配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.antMatchers("/auth**").permitAll()
.and()
.author
浏览 1提问于2015-08-05得票数 5
因此,我正在开发一个使用Security进行登录身份验证的Spring。目前,我们有三种类型的用户被重定向到适当的仪表板,当他们试图通过直接URL访问其他仪表板时,他们被拒绝访问。任何未经身份验证的用户也被拒绝访问站点的其他部分。在测试过程中,我发现,一旦用户成功通过身份验证,如果他们使用"/“或localhost的直接URL进行测试,而不是像未经身份验证时那样被重定向到登录页面,那么将返回一个包含MongoDB实例中表信息的JSON。更糟糕的是,如果他们在URL中附加了一个表名,他们将以JSON形式接收整个表。
示例: (当前持有虚拟值)
{
"_embedded"
浏览 1提问于2017-11-14得票数 1
回答已采纳
我正在开发一个使用Thymeleaf & Spring Boot的简单登录表单。当我尝试在Chrome中点击以下网址:"“时,我得到一个错误,说"ERR_TOO_MANY_REDIRECTS”。我已经尝试在浏览器中清除缓存和cookie,但仍然收到相同的错误。
我尝试通过将以下属性放入我的application.properties中来禁用默认的安全登录屏幕:security.basic.enabled=false
并将以下配置添加到我的SecurityConfig中,以便除"/login“和"/resources”之外的任何URL都可以通过身份验证:
浏览 2提问于2016-09-04得票数 6
回答已采纳
我的应用程序中有以下端点模式
/token --所有人都可以访问
/rest/securedone/** -需要认证
/rest/securedtwo 2/**-需要身份验证
/rest/unsecured/** --不需要身份验证
到目前为止,我能够访问/token端点。但是,如果没有发送令牌(JWT),则/rest/securedone/**和/rest/unsecured/**返回401。我打算确保/rest/securedone/**安全,这是罚款/rest/unsecured/**应该是可访问的。
我的httpSecurity配置如下:
@Override
p
浏览 4提问于2017-10-23得票数 5
回答已采纳
1回答
我正在开发一个web应用程序,并选择使用spring Security。这个想法是为了让用户通过身份验证才能看到主页,如果用户没有通过身份验证,他们就会被重定向到登录页面。此登录页面还显示注册表单的链接,此部分工作正常。
然而,当我尝试允许用户通过注册链接注册时,我遇到了一个问题。如果用户未通过身份验证,则无法访问注册表的链接("showRegistrationForm")
有谁能提供关于为什么会发生这种情况的见解?我在下面包含了我的SecurityConfig中的代码片段
@Override
protected void configure(HttpSecurity
浏览 1提问于2018-11-05得票数 0
我使用的是邮递员和spring引导,我使用Keycloak进行身份验证服务。我使用postman向Keycloak服务器发出请求,该服务器将返回一个Bearear令牌,然后将其发送到spring服务器进行身份验证,但spring答复说,iss令牌声明无效。
这是我的密码
类配置:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws
浏览 4提问于2022-07-07得票数 0
回答已采纳
我在认证方面有一个巨大而奇怪的问题。我有两种身份验证,一种是通过网页进行的,另一种是针对我的web服务,它不起作用。实际上,即使我不提供凭据,服务器也接受我的身份验证并继续进行。这是个大问题,我不明白为什么,我想:
1)外部are服务是/client/* URL,必须对这些服务进行身份验证。POST /client/file不能进行身份验证。所有其他web服务都不提供服务,因此可能无法访问或进行身份验证。这是一个一次性的身份验证,因为检查用户是否已启用并给出web服务结果。
2)内部web服务似乎正常工作,都需要身份验证,我的配置有什么问题?
@Configuration
@EnableWeb
浏览 4提问于2016-06-23得票数 1
回答已采纳
2回答
我使用spring安全性进行身份验证。
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(authProvider).authenticationProvider(secondaryAuthProvider) ;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.cs
浏览 0提问于2018-04-10得票数 0
回答已采纳
我有一个spring rest服务,我想将它用于经过身份验证的用户,而不是经过身份验证的用户。如果用户经过身份验证,我希望从SecurityContextHolder.getContext().getAuthentication()获取用户信息。
如果我像下面这样在.antMatchers("/app/rest/question/useroperation/list/**").permitAll()配置中使用ouath2,那么我可以获得经过身份验证的用户的用户信息,但是对于没有经过身份验证的用户,可以获得401错误。
如果我像下面这样在.antMatchers("
浏览 6提问于2014-08-10得票数 18
回答已采纳
我有以下要求,我需要在一个项目上实现,但不管我读了多少关于spring安全性的书或文章,我都不知道配置方法实际上在做什么。
我的要求如下。
当对/api/**进行REST调用时,只需检查用户是否在标头中包含了一个令牌,如果是的话,我需要使用included组件验证令牌。如果令牌不存在或无效,我只想将401返回给客户端.
如果令牌是有效的,那么它们是经过身份验证的,并且可以继续到相应的控制器。不需要基于角色的auth,所以我假设这就是permitAll()出现的地方?
rest调用致动器/info,/health不要求用户通过身份验证。
对/hawtio和/jolokia的调用要求与第1部分相同
浏览 3提问于2022-04-28得票数 -2
回答已采纳
我在我的项目中使用Security。我有一个条件,即匿名用户应该能够从数据库中读取,而只有授权用户可以添加/更新/删除。我们如何在安全配置中提到这种情况?
.antMatchers("/user/**").permitAll()
允许所有需要进行身份验证的用户,但我希望即使是未经身份验证的用户也可以通过GET方法访问。
@RequestMapping("/user")
@PreAuthorize("hasAuthority('USER')")
public List<UserAll> getAll() {
r
浏览 0提问于2018-07-02得票数 7
回答已采纳
使用/login的URL模式应该通过验证用户id和密码的LoginFilter -工作正常。
带有/user/寄存器的URL模式不应该通过任何一个文件处理程序,但是它总是通过JWTAuthentication过滤器--不工作正常
所有其他的URL模式都应该通过JWTAuthentication过滤器来获得授权-工作正常。
下面是我的安全配置代码。请帮助我了解我在这段代码中缺少的内容。如何配置筛选器,使JWT身份验证发生在/login和/register以外的URL模式
弹簧-安全-核心:4.2.3,弹簧-启动:1.5.4
protected void configure(
浏览 0提问于2018-03-29得票数 6
回答已采纳
1回答
我已经使用REST API约定构建了一个Java应用程序。我在端点上工作,只有当对象通过数据库中的公共id与用户连接时才返回对象(ManyToOne注释)。为了实现这一点,我需要当前登录的用户id,以便将其与对象的用户id进行比较。如果If相同,则endpoint返回数据。我知道解决方案是“主体”或“身份验证”类,但它们提供了除"id“之外的所有内容。我使用spring security http basic进行身份验证。我的身份验证类: @Component
public class CustomAuthenticator implements AuthenticationProv
浏览 20提问于2020-04-27得票数 1
2回答
我创建了一个提供用户身份验证的API,它的登录操作在默认的‘/路径下由Security处理。
我想将此路径更改为'api/v1/login'.
这是我的安全配置:
http.cors().and().csrf().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/h2-c
浏览 0提问于2018-03-31得票数 8
回答已采纳
你好亲爱的社区,
关于我的目标的细节:
在Spring Boot应用程序中使用与Spring安全的身份验证机制
实际结果:
国际化运作得很好
然后我增加了安全性:
http.authorizeRequests()
// Restrict Endpoints
.antMatchers("/login/**").hasAnyRole("admin", "member")
// Allow Forms
.antMatchers("/member/**").p
浏览 5提问于2021-08-23得票数 0
回答已采纳
需要一些建议
我使用spring安全。
@Override
public void configure(HttpSecurity http) throws Exception {
http
.headers().frameOptions().disable()
.and()
.authorizeRequests()
.antMatchers("/app/profile-info").permitAll()
.antMatchers("/app/**").authenticated(
浏览 0提问于2018-07-18得票数 0
回答已采纳
我们有一个专用的授权服务器来扩展AuthorizationServerConfigurerAdapter,我们在其中设置了覆盖void configure(ClientDetailsServiceConfigurer客户端)方法的权限。
@Configuration
@EnableAuthorizationServer
protected static class OAuth2Config extends AuthorizationServerConfigurerAdapter {
@Value('${oauth.clientId}')
浏览 2提问于2015-12-17得票数 8
我编写了下面的类来配置httpBasic和formLogin。但是,formLogin身份验证并不适用于上述urls。HTTPBasic身份验证适用于上述urls。请帮助理解这里出了什么问题
import com.sun.research.ws.wadl.HTTPMethods;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.ann
浏览 2提问于2017-09-06得票数 2
回答已采纳
我有一个Vaadin应用程序,它使用spring安全OAuth2进行保护。除了偶尔的推送或心跳端点被用来首先请求,从而触发身份验证过程,并且用户最终出现在错误的页面(这些端点不应该被用户直接访问)之外,这种方法工作得很好。
一个简单但不安全的修复方法是在这些端点上使用permitAll()。然而,由于这构成了一个威胁,我需要关闭这个漏洞。
要做到这一点,我想要解析并可能编辑请求url,然后在成功身份验证时重定向到它。我该怎么做呢?
我想我需要在链中的某个地方添加一个过滤器来拦截请求并对其进行编辑。但我不确定在哪里。
这是我的客户:
@Configuration
@EnableOAuth2Sso
浏览 0提问于2017-06-06得票数 0
全,
我有一个带有MVC和REST端点的spring启动应用程序。web应用程序的用户使用基于表单的身份验证登录(下面的第一个配置)。还有一些将被外部应用程序调用的REST端点-这些端点使用JWT (下面的第二个配置)进行身份验证。
一旦用户登录,我想调用REST端点(/api/**)而无需通过JWT进行身份验证,因为用户已经通过基于表单的身份验证进行了登录。因此,我基本上只想在用户未通过身份验证时使用JWT身份验证(SecurityContext没有身份验证)。我不知道如何才能做到这一点。
任何帮助都是非常感谢的。
谢谢
@Configuration
@Order(1)
浏览 0提问于2020-08-17得票数 0
2回答
我在spring引导应用程序中实现spring安全性,以执行JWT验证,其中我有一个过滤器、一个AuthenticationManager和一个AuthenticationProvider。我想要做的是,我想禁用某些资源路径的安全性(基本上使它们不安全)。
我在我的securityConfig类(从WebSecuirtyConfigurerAdapater扩展而来)中尝试的内容如下:
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.addFilterBefor
浏览 4提问于2017-06-29得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
