SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题

news2025/1/23 5:56:35

SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题

问题描述

在使用SpringSecurity作为后端验证框架时,遇到配置一些接口不需要token验证,直接放行,但是配置之后没有生效,一直究其原因。

项目配置

  1. 因为要进行登录认证,就放行了一部分url无需认证权限控制。
  2. 然后其他的所有url都需要进行认证权限控制。
  3. 配置代码如下:
    配置的忽略验证的路径,下面是已经修改后的配置,startWith配置的忽略路径url去除配置的请求前缀/todo
server:
  tomcat:
    uri-encoding: UTF-8
    max-threads: 1000
    min-spare-threads: 30
    connection-timeout: 5000ms
  port: 8088
  servlet:
    context-path: /todo
security:
  oauth2:
    ignore:
      authentication:
        startWith: /oauth/**,/rsa/**,/open/**,/druid/**,/redis/deduct/**,/todoUser/singleLogin,/todoUser/mingleLogin

package com.cn.sharedframework.Config.oauth;

import com.cn.sharedframework.Oauth2.OauthUserDetailsService;
import com.cn.sharedframework.Oauth2.granter.MobileAuthenticationProvider;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import java.util.ArrayList;
import java.util.List;

/**
 - spring security配置类
 -  3. @author qianshijiang
 - @date 2021-12-01 16:06
 - @description:
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebServerSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private OauthUserDetailsService userDetailsService;

    @Autowired
    private SecurityOauth2Properties securityOauth2Properties;

    // 忽略一些静态资源
    @Override
    public void configure(WebSecurity web) throws Exception {
        List<String> ignoreUrlList = new ArrayList<>();
        ignoreUrlList.add("/**/*.js");
        ignoreUrlList.add("/**/*.css");
        ignoreUrlList.add("/**/*.jpg");
        ignoreUrlList.add("/**/*.png");
        ignoreUrlList.add("/**/*.ico");
        ignoreUrlList.add("/**/*.gif");
        ignoreUrlList.add("/swagger-ui.html");
        ignoreUrlList.add("/webjars/**");
        ignoreUrlList.add("/v2/**");
        ignoreUrlList.add("/swagger-resources/**");
        String[] ignoreUrls = ignoreUrlList.toArray(new String[ignoreUrlList.size()]);
        web.ignoring().antMatchers(ignoreUrls);
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers(securityOauth2Properties.getStartWith()).permitAll()
            .anyRequest().authenticated() // 这里将其他所有的请求都放行,交给Oauth去处理
            .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and().csrf().disable();
    }

    /**
     * 注入自定义的userDetailsService实现,获取用户信息,设置密码加密方式
     *
     * @param authenticationManagerBuilder
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder
                .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
        // 设置手机验证码登陆的AuthenticationProvider
        authenticationManagerBuilder.authenticationProvider(mobileAuthenticationProvider());
    }

    /**
     * 将 AuthenticationManager 注册为 bean , 方便配置 oauth server 的时候使用
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 创建手机验证码登陆的AuthenticationProvider
     *
     * @return mobileAuthenticationProvider
     */
    @Bean
    public MobileAuthenticationProvider mobileAuthenticationProvider() {
        MobileAuthenticationProvider mobileAuthenticationProvider = new MobileAuthenticationProvider(this.userDetailsService);
        mobileAuthenticationProvider.setPasswordEncoder(passwordEncoder());
        return mobileAuthenticationProvider;
    }

    public static void main(String[] args){
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        System.out.println(bCryptPasswordEncoder.encode("todo-server-secret-key"));
    }
}
  • Postmain测试接口发现如下提示
    在这里插入图片描述

发现问题一直困扰,最终找到解决方案。

  • 在网上找了大量资料发现,SpringSecurity认证忽略的url是不能包含context前缀的,否则匹配不上。
  • SpringSecurity认证忽略的url是不能包含context前缀的,否则匹配不上。
  • SpringSecurity认证忽略的url是不能包含context前缀的,否则匹配不上。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/643162.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

轻松掌握mybatis扩展点

轻松掌握mybatis扩展点

MyBatis提供4个扩展点&#xff1a; 1、Executor执行器接口扩展点 用于执行一系列的SQL操作&#xff0c;底层是使用StatementHandler接口进行原子的SQL操作&#xff0c;Executor在StatementHandler之上进行了一层包装&#xff0c;比如ReuseExecutor执行器&#xff0c;在上层包…
阅读更多...
大数据离线阶段

大数据离线阶段

目录 数分分布式Apache ZooKeeperApache HadoopShell 命令选项数据仓库Hive 数分 数据分析的目的是把隐藏在数据背后的信息集中和提炼出来&#xff0c;总结出所研究 对象的内在规律&#xff0c;帮助管理者进行有效的判断和决策。 目的&#xff1a;提炼信息&#xff0c;找出规律…
阅读更多...
清华大学出版社618大促《IT系列丛书》

清华大学出版社618大促《IT系列丛书》

&#x1f482; 个人网站:【海拥】【摸鱼游戏】【神级源码资源网】&#x1f91f; 前端学习课程&#xff1a;&#x1f449;【28个案例趣学前端】【400个JS面试题】&#x1f485; 寻找学习交流、摸鱼划水的小伙伴&#xff0c;请点击【摸鱼学习交流群】 1.《网络安全应急管理与技术…
阅读更多...
win11 x86 系统部署arm架构的虚拟机(银河麒麟为例)

win11 x86 系统部署arm架构的虚拟机(银河麒麟为例)

文章目录 一、使用 win11 x86 系统部署arm架构的虚拟机&#xff08;银河麒麟为例&#xff09;1.1.1、前言1.1.2、准备环境1.1.1.1、首先&#xff0c;需要一个银河麒麟的arm镜像1.1.1.2、QEMU 软件的下载地址1.1.1.3、UEFI&#xff08;BIOS的替代方案&#xff09;的下载地址1.1.…
阅读更多...
Windows编程课设(C#)——基于WPF和.net的即时通讯系统(仿微信)

Windows编程课设(C#)——基于WPF和.net的即时通讯系统(仿微信)

一款参考QQ、微信的即时通讯软件。采用CS结构&#xff0c;客户端基于.Net与WPF开发&#xff0c;服务端使用Java开发。 提供的服务 注册功能&#xff1a;用户通过手机号码进行账号的注册&#xff0c;每个手机号唯一对应一个用户&#xff0c;需要接收验证码进行手机的绑定。此外…
阅读更多...
强化学习笔记-0910 On-policy Method with Approximation

强化学习笔记-0910 On-policy Method with Approximation

前几章我们所讨论的强化学习方法都是将价值函数建模为一个table形式&#xff0c;通过状态来查询具体状态的价值。但是当状态-动作空间极大&#xff0c;且多数状态-动作并没有太大意义时&#xff0c;这种table查询效率是极低的。 因此本节是将价值函数建模为一个参数模型&#…
阅读更多...
修改文件权限chown/chgrp/chmod【Linux】

修改文件权限chown/chgrp/chmod【Linux】

文章目录 Linux当中的权限问题Linux权限的概念切换用户账号 Linux权限管理文件类型和访问权限&#xff08;事物属性&#xff09; Linux文件名后缀文件权限值的表示方法 文件访问权限的相关设置方法如何改变文件的访问权限如何改变文件的拥有者如何改变文件的所属组如何修改文件…
阅读更多...
leetcode 152.乘积最大子数组

leetcode 152.乘积最大子数组

题目描述 给你一个整数数组 nums &#xff0c;请你找出数组中乘积最大的非空连续子数组&#xff08;该子数组中至少包含一个数字&#xff09;&#xff0c;并返回该子数组所对应的乘积。 测试用例的答案是一个 32-位 整数。 子数组 是数组的连续子序列。 来源&#xff1a;力扣&a…
阅读更多...
从2PC和容错共识算法讨论zookeeper中的Create请求

从2PC和容错共识算法讨论zookeeper中的Create请求

大家好&#xff0c;我是方圆。最近在读《数据密集型应用系统设计》&#xff0c;其中谈到了zookeeper对容错共识算法的应用。这让我想到之前参考的zookeeper学习资料中&#xff0c;误将容错共识算法写成了2PC&#xff08;两阶段提交协议&#xff09;&#xff0c;所以准备以此文对…
阅读更多...
Speech | 提取语音(数据集)的语音特征合集

Speech | 提取语音(数据集)的语音特征合集

本文主要讲解了提取数据集的一些主要工具&#xff0c;以及如何使用这些工具&#xff0c;包含安装以及运行命令。 提取语音&#xff08;数据集&#xff09;的语音特征工具&#xff08;Extract audio features toolkits&#xff09; • openSMILE • COVAREP • ESPNet • YAAF…
阅读更多...
Java集合框架:链表和LinkedList详解

Java集合框架:链表和LinkedList详解

目录 一、ArrayList的缺陷 二、链表&#xff08;主要介绍不带头的非循环的 单链表 / 双链表&#xff09; 注&#xff1a; 三、模拟链表的实现&#xff1a; MySingleList&#xff08;单链表&#xff09; MyLinkedList&#xff08;双链表&#xff09; 四、LinkedList的使用 …
阅读更多...
HNU计算机体系结构-实验一:RISC-V指令理解

HNU计算机体系结构-实验一:RISC-V指令理解

HNU计算机体系结构-实验一 前言1.实验目的2.实验步骤1.安装模拟器Ripes2.生成汇编指令3.思考问题1&#xff09;指令add x15, x14, x152&#xff09;指令bge x15 x14 -683&#xff09;指令lw x15, -20 x84&#xff09;指令sw x15, -20 x85&#xff09;简述BranchE信号的作用6&am…
阅读更多...
通达信筹码集中度计算公式,解决了结果不同的问题

通达信筹码集中度计算公式,解决了结果不同的问题

筹码分布图基本上是国内股票交易软件的标配&#xff0c;一般在K线图窗口的右侧。通达信软件中&#xff0c;在右下角有个“筹”&#xff0c;点击之后就可以看到“筹码分布图”。&#xff08;如下图&#xff09;筹码分布图是根据一定的模型计算出的流通股票持仓成本分布情况&…
阅读更多...
postman接口关联实战解析

postman接口关联实战解析

在使用postman做接口测试时&#xff0c;有时候后面的接口需要获取前面接口的某一个返回值做为请求参数&#xff0c;这时就可以使用关联。 如从A接口提取出a字段的值&#xff0c;供B接口的b字段使用。 一个接口的返回报文如下&#xff1a; {"retCode": "0&quo…
阅读更多...
【数据库原理与实践】知识点归纳(上)

【数据库原理与实践】知识点归纳(上)

第1章 数据库系统概述 &#xff08;数据处理技术的发展 数据库的基本概念和特点&#xff09; 一&#xff1a;数据、信息、知识、决策 对应&#xff1a;Data、Information、Knowledge、Decision 二&#xff1a;数据库技术的产生与发展 产生原因&#xff1a;数据管理任务的…
阅读更多...
如何正确使用Postman变量?又该如何灵活设置变量?

如何正确使用Postman变量?又该如何灵活设置变量?

目录 引言 理解变量 postman的变量类型 变量作用域 变量覆盖规则 创建变量 创建全局变量 创建环境变量 创建集合变量 使用变量 引言 Postman变量可以帮助你快速生成测试数据、模拟不同的场景和环境。 但是&#xff0c;如何正确使用Postman变量&#xff1f;又该如何…
阅读更多...
Android的服务Service

Android的服务Service

Android学了太久了&#xff0c;都忘了。复习下四大组件之一的Service。 介绍 Android的Service是一种在后台执行长时间运行操作的组件&#xff0c;它可以在没有用户界面的情况下执行任务&#xff0c;并且可以与应用程序的其他组件进行通信。Service通常用于处理网络请求、音乐…
阅读更多...
快速创建Django项目

快速创建Django项目

环境搭建 安装Django之前需要先安装python环境和pycharm。 目前 Django 1.6.x 以上版本已经完全兼容 Python 3.x。 python安装教程&#xff1a;https://blog.csdn.net/David_house/article/details/100110542 项目创建 打开pycharm&#xff0c;选择文件–>新建项目 创建D…
阅读更多...
MySQL操作基础

MySQL操作基础

文章目录 一、Mysql的基本概念1.1数据库有哪些组成数据表数据库 1.2数据库系统和数据库管理系统1.3数据库的发展史 二、数据库的分类三、数据库的数据类型三、数据库的操作3.1查看数据库的结构3.2创建及删除数据库和表3.3管理表中的数据记录3.4修改表名和表结构 Linux操作系统&…
阅读更多...
11.JavaWeb-Spring框架

11.JavaWeb-Spring框架

1.Spring概念 Spring框架是一个轻量级开源的应用程序框架&#xff0c;用于开发Java企业级应用程序。它提供了一种综合的编程和配置模型&#xff0c;可以帮助开发人员构建灵活、可扩展且易于维护的应用程序。 Spring的根本使命&#xff1a;简化Java开发 【Spring给予了Java新生】…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023