Spring Security 配置 anyRequest().authenticated() 未按预期工作

2024-01-10

我对spring security配置的理解http.anyRequest().authenticated()是任何请求都必须经过身份验证，否则我的 Spring 应用程序将返回 401 响应。

不幸的是，我的 spring 应用程序不会以这种方式运行，而是允许未经身份验证的请求通过。

这是我的 Spring 安全配置：

@Configuration
@Order(1)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthenticationTokenFilter authenticationTokenFilter;

    @Autowired
    private TokenAuthenticationProvider tokenAuthenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
                .antMatcher("/*")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                .anyRequest().authenticated();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .antMatchers("/index.html")
                .antMatchers("/error")
                .antMatchers("/swagger-ui.html")
                .antMatchers("/swagger-resources");
    }
}

AuthenticationTokenFilter 从请求中获取 JWT 令牌，检查其有效性，从中创建身份验证，并在 SecurityContextHolder 中设置身份验证。如果未提供令牌，则 SecurityContextHolder.getContext().getAuthentication() 保持为 null。

我的控制器看起来像这样：

@RestController
@RequestMapping("/reports")
@Slf4j
public class ReportController {

    @RequestMapping()
    @ResponseBody
    public List<String> getIds() {
        log.info(SecurityContextHolder.getContext().getAuthentication());
        return Collections.emptyList();
    }

}

当在没有令牌的情况下对端点运行curl请求时，我只需得到一个有效的响应：

-> curl 'localhost:8080/reports/'
[]

调试时，我可以看到SecurityContextHolder.getContext().getAuthentication()一片空白。

有任何想法吗？

它实际上按预期工作，这取决于您编写配置的方式。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
            .antMatcher("/*")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                .anyRequest().authenticated();
}

这是您自己的配置，由我进行了一些额外的缩进。当你写一个antMatcher这意味着接下来的一切antMatcher适用于其中写入的路径/表达式（请参阅 JavadocAntPathMatcher https://docs.spring.io/spring/docs/current/javadoc-api/org/springframework/util/AntPathMatcher.html).

现在正如你所写的/*这适用于/reports它不适用于/reports/（是的，最后/很重要！）。

你可能想写的是

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
            .antMatcher("/**")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                .anyRequest().authenticated();
}

注意/**代替/*。然而，这基本上与省略相同antMatcher并简单地写

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
            .authenticationProvider(tokenAuthenticationProvider)
            .authorizeRequests()
            .anyRequest().authenticated();
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring Security 配置 anyRequest().authenticated() 未按预期工作的相关文章

如何在Java中通过反射调用代理（Spring AOP）上的方法？

一个接口 public interface Manager Object read Long id 实现该接口的类 Transactional Public class ManagerImpl implements Manager Over
使用 JWT 的 Istio Origin 身份验证不起作用

我一直在使用 JWT 将身份验证策略应用于我的测试服务我已关注本指南 https istio io docs tasks security authn policy end user authentication它确实按预期工作了但是
Spring boot：单元测试和配置文件

我正在对休息控制器进行单元测试这只是更大应用程序的一小部分我的应用程序无法识别我的测试上下文并且出现以下异常 java lang IllegalStateException 无法加载ApplicationContext 这是我的测试课
Maven 未运行 Spring Boot 测试

我有一个要测试的 Spring Boot REST API 我可以在 Eclipse 中手动运行测试无需 Maven 并通过将应用程序作为 JUnit 测试运行它运行良好并显示结果但是mvn test正如您将在下面发现的那样它不起作
模板解析时发生错误。（Spring Boot + Thymeleaf）

我有一个用于提供图像的 Spring Boot 我的模型包含在我的 ImageController java 中图像服务包含findPage method 当运行我的 Spring Boot 应用程序时我收到此错误 2018 06 21
如何让 @PostAuthorize 失败导致 @Transactional 回滚？

我的应用程序中有一些复杂的访问限制这些限制基本上需要结合用户的角色以及域对象的一些深层属性来做出访问决策对于我的一些方法特别是像getItem Integer id and updateItem Integer id FormBean
jdbc-initialize-database 找不到脚本文件 - DataAccessResourceFailureException

我无法让我的 Spring Web 应用程序找到我的脚本我已经配置了 jdbc 命名空间我已经写好了脚本但是我不明白为什么无论我把脚本放在哪里都找不到它们我特别将文件夹标记为类文件夹我把它们和我所有的罐子放在同一个文件夹里
本地 401 工作，临时服务器得到 302

我可能不会获得帮助第一次尝试所需的所有信息但我会尽我所能并在我们进行过程中对其进行编辑我有一个使用 Spring Security Core 插件的 Grails 1 3 7 应用程序我正在编写处理会话超时和 ajax 请求的代码
绕过 URL 的 Spring Security 过滤器

我修改了我的applicationContext security preauth xml目的是从特定 URL 中删除过滤器我在使用 spring security oauth 过滤器时遇到问题因此我想暂时避免使用此过滤器来处理特定请求
@Order可以应用于@Transactional吗？

我有一个用 Transactional 和另一个自定义注释 Custom 注释的方法此自定义注释包含在建议中操作顺序如下 1 Transactional method gets called 2 Sees Transactional a
如何配置Spring boot分页从第1页开始，而不是从0开始

boot 1 4 0 可分页用于分页它工作正常没有任何问题但默认情况下页面值从 0 开始但在前端页面值从 1 开始那么是否有任何标准方法来增加值而不是手动增加代码内的页码 public Page
在spring data jpa中实现动态数据源

我有 N 个服务器 N 个数据库和 N 个配置看下面的场景因此对于每个请求我都需要根据配置访问服务器和数据库 spring data jpa如何实现动态数据源你可以试试抽象路由数据源 https docs spring io sp
如何配置Spring使JPA（Hibernate）和JDBC（JdbcTemplate或MyBatis）共享同一个事务

我有一个数据源我使用 Spring 3 0 3 Hibernate 3 5 1 作为 JPA 提供程序我使用 MyBatis 3 0 2 进行一些查询我的应用程序在 Tomcat 6 上运行我有一个 HibernateDAO 和一个
Spring中什么时候触发ContextRefreshedEvent？

我知道当 ApplicationContext 完全加载时它会被触发一次但是之后在运行时怎么办 Refreshed 一词意味着它将在刷新时触发但我想知道 Spring 是否符合 ApplicationContext 刷新的资格跟进问题
如何防止嵌入式netty服务器使用spring-boot-starter-webflux启动？

我想使用 Springs 新的反应式在客户端和服务器应用程序之间建立通信webflux扩大对于依赖管理我使用gradle 我在服务器和客户端上的 build gradle 文件基本上是 buildscript repositories m
如何在 spring 中使用配置文件指定外部 application.yml

来自弹簧文档http docs spring io spring boot docs current reference html boot features external config html boot features exter
春天。使用java配置解决循环依赖而不使用@Autowired

我有循环依赖和java配置虽然使用 xml 配置解决它非常简单但如果没有 Autowired 我无法使用 java 配置解决它豆子 public class A private B b public B getB return b p
指定自定义应用程序上下文

我们正在将一些数据服务从使用 jersey spring 的 Jersey 1 x 迁移到使用 jersey spring3 的 Jersey 2 x 我们有一些继承自 JerseyTest 的测试类其中一些类使用 web xml 文件中
Spring @Transactional 并发

class MyService 公共无效a 同步某个键 b Transactional 传播传播 REQUIRES NEW 公共无效b 数据库工作吗除非您使用代码编织否则这是行不通的 Spring处理事务的默认方式是通过AOP代理
根据结果重试方法（而不是异常）

我有一个具有以下签名的方法 public Optional

随机推荐

如何转换字符串中的 Word 智能引号和破折号？

我有一个带有文本区域的表单用户输入存储在数据库中的文本块有时用户会从 Word 粘贴包含智能引号或破折号的文本这些字符在数据库中显示为我应该对输入字符串调用什么函数将智能引号转换为常规引号将破折号转换为常规破折号我正在使用 P
在JAVAFX中扩展CSS样式

我正在尝试在 JAVAFX 应用程序中使用 CSS CSS 文件中有没有办法利用某种继承例如我有一种名为 redline 的样式 redline fx stroke red fx stroke width 5px 我可以创建第二种样式
如何保持 Mercurial 图“平坦”

我有一个主存储库我克隆它并在克隆中进行一些更改与此同时 main 中还有其他更改因此我将它们拉出并将它们合并到我的克隆中我在克隆中进行了更多更改并合并了主中的任何其他新更改这给了我这个图表当我在克隆中完成工作时我将其
在close()之前使用flush()

根据 java 文档在任何 java io Streams 上调用 close 都会自动调用lush 但我在很多例子中看到即使在生产代码中开发人员也在 close 之前显式使用了flush 在什么情况下我们需要在 close 之前使用
轮询 Jenkins 作业中的条件 svn 签出

我试图根据条件阻止 svn 轮询 Jenkins 作业上的 svn 签出前置步骤在结账后执行该作业通过 svn 轮询触发请指教有一个插件允许在 SVN 结账之前执行一个步骤 https wiki jenkins ci org dis
注释 @EnableSpringDataWebSupport 不适用于 WebMvcConfigurationSupport？

我已经使用 WebMvcConfigurerAdapter 一段时间了由于我无法使用 getInterceptors 方法获取所有已注册的拦截器因此我已切换到 WebMvcConfigurationSupport 它有很多默认注册的 S
SSL 安全 SaaS 应用程序的 URL 设计

我正在使用 ASP NET MVC 平台开发一个应用程序它将作为一项服务通过网络公开 SaaS http en wikipedia org wiki Software as a Service模型我正在尝试确定为每个用户帐户划分 URL
将静态库添加到同一解决方案中的项目 (Visual Studio 2012)

我正在尝试创建一个将在项目中使用的静态库该库编译良好并为其创建 lib 文件为了测试我的代码我向同一解决方案添加了另一个项目当我尝试构建测试项目时出现以下错误错误 LNK1120 4 个未解析的外部错误 LNK2019 函数
Mysql 慢查询日志正在记录更快的查询

我在数据库服务器上设置了mysql慢查询日志并将长查询时间设置为5 刚刚检查了日志及其日志查询只需几毫秒有人知道为什么会这样吗这是一些日志最后一个查询并不是最优化的它说它检查了 450000 行所以我在日志中看到它不会感到惊讶
为 Jboss 启用 gzip 压缩

Jboss 5 1 0 的 gzip 压缩是如何启用的在 tomcat http 连接器内对吗我不记得这个文件存储在哪里 server xml 编辑 jboss server default deploy jbossweb sar se
Go Flush() 不起作用

请检查一下这个要点并告诉我出了什么问题为什么我看不到我的消息要旨 https gist github com cnaize 895f61b762a9f5ee074c https gist github com cnaize 895f6
如何在 Android 中使用 Intent 拨打电话？

我正在使用以下代码在 Android 中拨打电话但它给了我安全异常请帮助 posted by 111 333 222 4 String uri tel posted by trim Intent intent new Intent In
如何在 SQL 中找到连续的活跃周？

我想做的是找到某人在周日活跃的连续周数并为其分配一个值他们每天必须参加至少 2 场比赛才能算作本周的活跃比赛如果它们连续 2 周活跃我想指定值为 100 连续 3 周指定为 200 连续 4 周指定为 300 并持续最多连续 9 周
JUunit 测试用例中内部图形尚未初始化

我正在使用 JavaFx 制作一个轻量级绘画应用程序我的一些问题LayerController类及其方法addLayer所以我认为编写一些 JUnit 测试用例来检查我的方法的正确性是一个好主意简而言之我正在画一个Canvas使用它的
如何创建具有格式的字符串？

我需要创建一个String具有可以转换的格式Int Int64 Double等输入String 使用 Objective C 我可以通过以下方式做到这一点 NSString str NSString stringWithFormat d f
MySQL 类似断言的约束

我是MySQL新手我刚刚发现它不支持断言我得到了这张表 CREATE TABLE guest ssn varchar 16 NOT NULL name varchar 200 NOT NULL surname varchar 200 N
UIImage 上的圆角

我正在尝试使用圆角在 iPhone 上绘制图像就像联系人应用程序中的联系人图像一样我的代码通常可以工作但它偶尔会在 UIImage 绘图例程中崩溃EXEC BAD ACCESS KERN INVALID ADDRESS 我认为这可能与
为什么新的 AKSequencer 不发出任何声音？

我有一个相当复杂的应用程序到目前为止一直在使用 AKAppleSequencer 但由于该定序器时不时出现一些奇怪的行为和错误我一直希望迁移到较新的 AKSequencer 不幸的是新的音序器似乎没有在 Playgrounds 或太多
On Key Down 限制用户输入一些特殊字符

我想限制用户在工具栏搜索中不允许他她使用一些特殊字符例如 gt tblFundComp bind keydown function e if e keyCode gt 48 e keyCode lt 57 return false el
Spring Security 配置 anyRequest().authenticated() 未按预期工作

我对spring security配置的理解http anyRequest authenticated 是任何请求都必须经过身份验证否则我的 Spring 应用程序将返回 401 响应不幸的是我的 spring 应用程序不会以这种方式

Spring Security 配置 anyRequest().authenticated() 未按预期工作

Spring Security 配置 anyRequest().authenticated() 未按预期工作 的相关文章

随机推荐

热门标签

Spring Security 配置 anyRequest().authenticated() 未按预期工作的相关文章