spring boot security设置忽略地址不生效的解决

spring boot security设置忽略地址不生效

最近在试下微服务改造，出现这样一个问题所有请求都经过spring cloud gateway进行认证授权后再访问后端数据方服务，但有些需要合作机构回调，由于进行了security认证，最终的方案是对回调地址进行忽略auth认证。

最终security主要代码如下：

								
									 @Configuration 

									 @EnableWebSecurity 

									 public   class   WebSecurityConfig   extends   WebSecurityConfigurerAdapter { 

									    @Override 

									    public   void   configure(WebSecurity web)   throws   Exception { 

									     web.ignoring().antMatchers(  "/v1/prNotifyBack"  ); 

									    } 

									    @Override 

									    protected   void   configure(HttpSecurity http)   throws   Exception { 

									     /**表示所有的访问都必须进行认证处理后才可以正常进行*/ 

									     http.httpBasic().and().authorizeRequests().anyRequest().fullyAuthenticated(); 

									     /**所有的Rest服务一定要设置为无状态，以提升操作性能*/ 

									     http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); 

									     http.csrf().disable(); 

									    } 

									 }

这个过程遇到了几个问题：

1、继承WebSecurityConfigurerAdapter

后我们重写configure方法，这个方法需要注意：他有两个不同的参数。

HttpSecurity 及WebSecurity 作用是不一样的，WebSecurity 主要针对的全局的忽略规则，HttpSecurity主要是权限控制规则。

所以一开始用HttpSecurity是达不到忽略地址的目的。

1 2	protected void configure(HttpSecurity http){.......} public void configure(WebSecurity web) {.........}

WebSecurity

全局请求忽略规则配置（比如说静态文件，比如说注册页面）、全局HttpFirewall配置、是否debug配置、全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor、

HttpSecurity

具体的权限控制规则配置。

2、忽略不生效问题

1	web.ignoring().antMatchers( "/pr/v1/prNotifyBack" );

如上代码如果带上/pr就不会生效，访问依然会出现401错误。/pr是配置的项目路径。但带上项目路径就不生效，这个问题很疑惑。

server:

port: 8089

servlet:

context-path: /pr

SpringBoot SpringSecurity, web.ignore失效

								
									 @Configuration 

									 @EnableGlobalMethodSecurity  (prePostEnabled=  true  ) 

									 public   class   CustomSecurityConfig   extends   WebSecurityConfigurerAdapter { 

									       @Override 

									       protected   void   configure(HttpSecurity http)   throws   Exception { 

									           http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() 

									                   .csrf().disable() 

									                   .authorizeRequests() 

									                   .antMatchers(  "/api/**"  ).authenticated() 

									                   .and() 

									                   .addFilterBefore(  new   TokenFilter(), UsernamePasswordAuthenticationFilter.  class  ); 

									       } 

									       @Override 

									       public   void   configure(WebSecurity web)   throws   Exception { 

									           web.ignoring() 

									                   .antMatchers(  "/"  ) 

									                   .antMatchers(  "/swagger-ui.html"  ) 

									                   .antMatchers(  "/swagger-resources/**"  ) 

									                   .antMatchers(  "/webjars/springfox-swagger-ui/**"  ) 

									                   .antMatchers(  "/v2/api-docs/**"  ); 

									       } 

									 }

这是修改后正常工作的配置文件

之前使用@component注解, 然后使用@Resource注入进来.

导致过滤器全局生效.

正常配置，应该手动new, 而且过滤器类不能加@Component注解

具体原因，之后有空研究一下.

以上为个人经验，希望能给大家一个参考，也希望大家多多支持。

原文链接：https://blog.csdn.net/wangchengaihuiming/article/details/100129838

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did214156

更新时间：2023-05-04 阅读：24次