使用 Spring Security (Spring Boot 3.0.2) 时如何访问 H2 控制台？

2024-03-20

所以我正在尝试学习 Spring，因为今年晚些时候我的一个项目将需要它。项目使用 Spring Boot 3.0.2 和 Java 17。我还使用 Spring Security 依赖项，这意味着我需要在不使用令牌的情况下授权某些 URL。

我找到了一种方法，可以对除 H2 控制台之外的所有 URL 执行此操作。由于某种原因，无论我如何编写代码，我都无法访问 H2-console，因为在访问 localhost:8080/h2-console 时我会收到 403（未经授权）。

对此的任何帮助将不胜感激。

这是 pom 文件：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.0.2</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>newproject</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>newproject</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>17</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>com.h2database</groupId>
            <artifactId>h2</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

这是 application.properties 文件：

#For h2 database
spring.datasource.url=jdbc:h2:mem:test;DB_CLOSE_DELAY=-1
spring.datasource.driverClassName=org.h2.Driver
spring.datasource.username=sa
spring.datasource.password=

spring.jpa.generate-ddl=true
spring.jpa.show-sql=true
spring.jpa.hibernate.ddl-auto=create-drop
spring.jpa.properties.hibernate.format_sql=true
spring.jpa.database-platform=org.hibernate.dialect.H2Dialect

## H2 specific settings
spring.h2.console.enabled=true

这是 WebSecurityConfig 类：

package com.example.newproject.configs;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

    private static final String[] WHITE_LIST_URLS = {
            "/register",
            "/api/v1/getUsers",
            "/h2-console/**"
    };

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(11);
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // FIXME: Cant access h2 console
//        http
//                .cors()
//                .and()
//                .csrf()
//                .disable()
//                .authorizeHttpRequests()
//                .requestMatchers(WHITE_LIST_URLS)
//                .permitAll();
//
        http.authorizeHttpRequests().requestMatchers(WHITE_LIST_URLS).permitAll();
        return http.build();
    }
}

这是结果：result https://i.stack.imgur.com/JA386.png

正如您所看到的，我尝试通过两种方式来做到这一点。两者都适用于“/register”和“/api/v1/getUsers”，但不适用于“/h2-console/**”。我可能做错了什么，但注释的代码来自 youtube 指南，未注释的代码来自 StackOverflow 上的另一个问题，所以我完全没有想法。任何帮助，将不胜感激。

编辑1：问题已通过标记答案解决。这是适合我的代码：

public class WebSecurityConfig {

    private static final AntPathRequestMatcher[] WHITE_LIST_URLS = {
            new AntPathRequestMatcher("/register"),
            new AntPathRequestMatcher("/api/v1/getUsers"),
            // new AntPathRequestMatcher("/h2-console/**"),
    };

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(11);
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .cors()
                .and()
                .csrf()
                .disable()
                .authorizeHttpRequests()
                .requestMatchers(WHITE_LIST_URLS)
                .permitAll();

        return http.build();
    }

    @Bean
    WebSecurityCustomizer webSecurityCustomizer() {
        return web -> web.ignoring()
                .requestMatchers(new AntPathRequestMatcher("/h2-console/**"));
    }
}

默认情况下，当requestMatchers(WHITE_LIST_URLS)使用时，它会落入MvcRequestMatcher (参考 https://github.com/spring-projects/spring-security/blob/50bbe88a2e7971155f53a1dabdb37b17c593a06e/config/src/main/java/org/springframework/security/config/annotation/web/AbstractRequestMatcherRegistry.java#L181-L190). The MvcRequestMatcher只会匹配 Web MVC DispatcherServlet 内部映射。默认情况下，H2 控制台不是 DispatcherServlet 的一部分，但应用程序中的自定义控制器是，因此存在差异。

修复它的一种选择是使用AntPathRequestMatcher对于 H2 控制台，如下所示：

public class WebSecurityConfig {
    // some of the original code was omitted for brevity

    private static final String[] WHITE_LIST_URLS = {
            "/register",
            "/api/v1/getUsers"
    };

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .requestMatchers(WHITE_LIST_URLS)
                .permitAll()
                .and()
                .authorizeHttpRequests()
                .requestMatchers(new AntPathRequestMatcher("/h2-console/**"))
                .permitAll();
        http.csrf().disable();

        return http.build();
    }
}

一个可能的替代方案是使用数组AntPathRequestMatcher而不是数组String对于白名单，并保持安全过滤器不变：

public class WebSecurityConfig {
    // some of the original code was omitted for brevity

    private static final AntPathRequestMatcher[] WHITE_LIST_URLS = {
            new AntPathRequestMatcher("/register"),
            new AntPathRequestMatcher("/api/v1/getUsers"),
            new AntPathRequestMatcher("/h2-console/**")
    };

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .requestMatchers(WHITE_LIST_URLS)
                .permitAll();
        http.csrf().disable();

        return http.build();
    }
}

另一个选择是添加一个定制器来忽略 H2 Console，这应该没问题，因为 H2 Console 有自己的身份验证机制。

@Bean
WebSecurityCustomizer webSecurityCustomizer() {
    return web -> web.ignoring()
            .requestMatchers(new AntPathRequestMatcher("/h2-console/**"));
}

编辑1：还需要禁用CSRF，添加到上面的代码片段中。

编辑 2：添加一个额外的选项来忽略带有 Spring Boot 3 的 H2 控制台。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

使用 Spring Security (Spring Boot 3.0.2) 时如何访问 H2 控制台？的相关文章

eclipse中导入项目文件夹图标

我在 Eclipse 工作区中新导入的 Maven 项目有J and M项目文件夹顶部的图标项目和包资源管理器而其他导入的 Maven 项目只有一个J icon 有人可以解释其中的区别吗该项目有J装饰器被称为 Java 项目和具有M装
在文本文件中搜索单词并返回其频率

如何在包含单词文本的文本文件中搜索特定单词并返回其频率或出现次数使用扫描仪 String text Question how to search for a particular word in a text file containin
类权限不是域类或 GORM 尚未正确初始化或已关闭

我正在开发一个 Grails 休息应用程序我使用的grails版本是3 3 1 我正在使用 spring security rest 进行授权我使用 s2 quickstart 命令创建了以下类 User 权威用户权限该应用程序运行
内存一致性 - Java 中的happens-before关系[重复]

这个问题在这里已经有答案了在阅读有关内存一致性错误的 Java 文档时我发现与创建发生之前关系的两个操作相关的点当语句调用时Thread start 每个具有与该语句发生之前的关系也有一个与 new 执行的每个语句之间发生的
在java中实现你自己的阻塞队列

我知道这个问题之前已经被问过并回答过很多次了但我只是无法根据互联网上找到的示例找出窍门例如this http tutorials jenkov com java concurrency blocking queues html or t
具有共享依赖项的多模块项目的 Gradle 配置

使用 gradle 制作第一个项目所以我研究了 spring gradle hibernate 项目如何组织 gradle 文件并开始制作自己的项目但是找不到错误为什么我的配置不起作用子项目无法解决依赖关系所以项目树 Root
Java：正则表达式排除空值

在问题中here https stackoverflow com questions 51359056 java regexp for a separated group of digits 我得到了正则表达式来匹配 1 到 99 之间的一
如何获取 WebElement 的父级[重复]

这个问题在这里已经有答案了我试过了 private WebElement getParent final WebElement webElement return webElement findElement By xpath 但我得到
列表应该如何转换为具体的实现？

假设我正在使用一个我不知道源代码的库它有一个返回列表的方法如下所示 public List
RSA OAEP、Golang 加密、Java 解密 -BadPaddingException：解密错误

我正在尝试解密使用 RSA OAEP 在 Golang 中加密的字符串但出现 BadPaddingException 解密错误很难弄清楚我错过了什么这是Golang加密方法 func encryptString rootPEM io
Git 无法识别重命名和修改的包文件

我有一个名为的java文件package old myfile java 我已经通过 git 提交了这个文件然后我将我的包重命名为new所以我的文件在package new myfile java 我现在想将此文件重命名和内容更改提交
在 Spring Boot Actuator 健康检查 API 中启用日志记录

我正在使用 Spring boot Actuator APIproject https imobilenumbertracker com 拥有一个健康检查端点并通过以下方式启用它 management endpoints web base
Android Studio 将音乐文件读取为文本文件，如何恢复它？

gameAlert mp3是我的声音文件运行应用程序时它询问我该文件不与任何文件类型关联请定义关联我选择TextFile错误地现在我的音乐文件被读取为文本文件我如何将其转换回music file protected void o
Espresso 和 Proguard 的 Java.lang.NoClassDefFoundError

我对 Espresso 不太有经验但我终于成功地运行了它我有一个应用程序需要通过 Proguard 缩小才能处于 56K 方法之下该应用程序以 3 秒的动画开始因此我需要等到该动画结束才能继续这就是我尝试用该方法做的事情waitF
解析输入，除了 System.in.read() 之外不使用任何东西

我很难找到具体的细节System in read 有效也许有人可以帮助我似乎扫描仪会更好但我不允许使用它我被分配了一个任务我应该以 Boolean Operator Boolean 的形式读取控制台用户输入例如T F 或 T T
如何在 Quartz 调度程序中每 25 秒运行一次？

我正在使用 Java 的 Quartz Scheduling API 你能帮我使用 cron 表达式每 25 秒运行一次吗这只是一个延迟它不必总是从第 0 秒开始例如序列如下 0 00 0 25 0 50 1 15 1 40 2 0
如何在Java中正确删除数组[重复]

这个问题在这里已经有答案了我刚接触 Java 4 天从我搜索过的教程来看讲师们花费了大量精力来解释如何分配二维数组例如如下所示 Foo fooArray new Foo 2 3 但我还没有找到任何解释如何删除它们的信息从内存的情
Hibernate 和可序列化实体

有谁知道是否有一个框架能够从实体类中剥离 Hibernate 集合以使它们可序列化我查看了 BeanLib 但它似乎只进行实体的深层复制而不允许我为实体类中的集合类型指定实现映射 BeanLib 目前不适用于 Hibernate 3 5
spring boot @Autowired 来自另一个模块的 bean

我的问题是如何将包添加到组件列表中以扫描 ComponentScan basePackages io swagger com company project like add it here 但该包位于另一个模块中在我的项目中这是我的项目
JAXB - 列表<可序列化>？

我使用 xjc 制作了一些课程 public class MyType XmlElementRefs XmlElementRef name MyInnerType type JAXBElement class required false

随机推荐

Python：对数据矩阵（列表列表）进行排序，使其在彼此最大距离处具有相同的“名称”

这是一个代码用于根据第二列第 1 列上的名称对列表列表数据矩阵进行排序相同的名称将在排序的数据矩阵内彼此之间具有最大可能的距离这个话题已经讨论过了here https stackoverflow com questions 7
解析问题（Xcode）：找不到模块“fluttertoast”（在项目“Pods”的目标“Toast”中）

Parse Issue Xcode Module fluttertoast not found Users anand StudioProjects untitled ios Runner GeneratedPluginRegistrant
如何确定堆栈中保存的值？

我正在做一些实验希望能够看到系统调用期间堆栈上保存的内容用户登陆进程的保存状态根据http lxr linux no linux v2 6 30 1 arch x86 kernel entry 32 S http lxr linux
使用 PowerShell 删除已知的 Excel 密码

我有这个 PowerShell 代码可以循环指定目录中的 Excel 文件参考已知密码列表来查找正确的密码然后打开解密该文件并将其保存到新目录但它的执行速度没有我想要的那么快它是更大的 ETL 流程的一部分并且是一个瓶颈此时
网络中的非标准字体？

我最近遇到使用字体 ff tisa web pro 1 的网页 http cykod com blog 在他们的 CSS 文件中指定这是如何运作的我的电脑上肯定没有这个字体但是却显示了正如 Simon 指出的 CSS font fa
按属性对对象数组进行排序

我从数据库中有这个集合 var items Name Michael TypeId 1 Name Max TypeId 1 Name Andre TypeId 1 Name Georg TypeId 2 Name Greg TypeId 3
添加具有实现的特征方法是否会破坏向后兼容性？

添加方法时我对向后兼容性感到困惑使用默认实现到一个特质喜欢以前的版本 trait Foo 新版本 trait Foo def verifyConsistency Option String provide default impleme
我们如何根据 React Native 中的列表项内容为 FlatList 提供自动高度

我在我的组件中使用 FlatList 它工作正常所需要的是我的整个屏幕应该有一个自动高度并且 FlatList 内容永远不会超出屏幕高度此外 FlatList 的高度应根据其中的内容项目进行更改而不是给出任何固定高度如何实现自动
如何将人声转换为数字格式？

我正在开展一个使用生物识别系统来保护系统的项目我们计划使用人声来保护系统想法是让人们说出一些单词或句子系统将以数字格式存储该语音下次人们想要进入系统时他她必须说出一些单词这些单词可能与之前使用的单词不同也可能没有不同我们不
属性模式的优点和缺点是什么？

史蒂夫叶格描述了属性模式 in a 博客文章 http steve yegge blogspot com 2008 10 universal design pattern html Property of his 对于使用 C 或 Jav
如何监控 iOS 模拟器的网络调用

我正在尝试像 Firebug 一样监视从应用程序到我的服务器的调用我找不到在 iOS Simulator 或 xCode 中查看该内容的方法有没有办法在不嗅探所有流量的情况下做到这一点如果没有您建议使用什么工具就我个人而言我使用
射线交叉未击中目标

我正在尝试选择一个 3d 点我阅读了各种网站但我的代码不起作用鼠标右键单击 glGetFloatv GL MODELVIEW MATRIX mv mat glGetFloatv GL PROJECTION MATRIX p mat i
C# Assert.AreNotEqual 与 Equals

在尝试向自己验证 C Equals for IEnumerables 是一个引用 equals 时我发现了一些奇怪的东西在 NUnit 中进行以下设置 var a IEnumerable
QNetworkAccessManager没有完成信号

我想直接请求和响应而不是使用connect SLOT finished SLOT 您可以使用QEventLoop以便应用程序等待并可以同时处理其他事件 include
在 Cocoa 中获得机器唤醒+用户登录通知的可靠方法？

我尝试过注册NSWorkspaceDidWakeNotification with NSNotificationCenter defaultCenter 但当我的 MacBook Pro 从睡眠状态唤醒时它永远不会触发我注册了其他通知
Kotlin：如何绕过 CancellationException

我正在将一些旧的 RxJava 代码移植到协程中使用 RxJava 我可以在我的活动中执行此操作 someBgOperation as AutoDispose autoDisposable AndroidLifecycleScopePro
PHP – setcookie() 不起作用

我有这个页面它设置一个 cookie 并在您选中复选框时回显一个字符串字符串打印正确但 cookie 从未被设置我不知道为什么
如何启用Windows 10“容器”功能？

使用最新的 Windows 10 Fast Ring build 14316 在 VMware 虚拟机内我试图使桌面应用程序转换器 https msdn microsoft com windows uwp porting desktop
编码/gob 和编码/json 之间的区别

我正在用 Go 编写一个应用程序它使用编码 gob 在节点之间通过 UDP 发送结构和切片它工作正常但我注意到encoding json也有类似的API 搜索了一下发现了这个信息 https golang org pkg encod
使用 Spring Security (Spring Boot 3.0.2) 时如何访问 H2 控制台？

所以我正在尝试学习 Spring 因为今年晚些时候我的一个项目将需要它项目使用 Spring Boot 3 0 2 和 Java 17 我还使用 Spring Security 依赖项这意味着我需要在不使用令牌的情况下授权某些 URL

使用 Spring Security (Spring Boot 3.0.2) 时如何访问 H2 控制台？

使用 Spring Security (Spring Boot 3.0.2) 时如何访问 H2 控制台？ 的相关文章

随机推荐

热门标签

使用 Spring Security (Spring Boot 3.0.2) 时如何访问 H2 控制台？的相关文章