搜索
搜索

无法在Spring Boot中访问不安全的端点

Denis Stephanov 发表于 Java
108
丹尼斯·斯蒂芬诺夫(Denis Stephanov):

在我的控制器中,我有两个端点,其中一个是安全的,另一个是公共的:

@GetMapping("/public")
public String getPublic() {
    return "public";
}

@PreAuthorize("hasRole('USER')")
@GetMapping("/private")
public String getPrivate() {
    return "public";
}

仅当我登录并且将具有正确角色的令牌放置在请求标头中时,安全端点才起作用。但是,当我想访问没有令牌的公共端点时,我总是会收到错误的状态401

需要完全身份验证才能访问此资源

这是我的安全配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .authorizeRequests().anyRequest().authenticated()
            .and()
            .csrf().disable();
    }
}

和授权服务器配置:

@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    private final UserDetailsService appUserDetailService;

    private final AuthenticationManager authenticationManager;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints
                .tokenStore(tokenStore())
                .tokenEnhancer(tokenEnhancer())
                .authenticationManager(authenticationManager)
                .userDetailsService(appUserDetailService);
    }
}

我也尝试.authorizeRequests().anyRequest().authenticated()对此.authorizeRequests().anyRequest().permitAll()进行更改没有更改。我的首选方式是使用批注处理安全性。谢谢。

Supun Wijerathne:

您有两个选择,可以选择两个。

选项1:在您的端点中,像这样进行更改。

@PreAuthorize("permitAll()")  
@GetMapping("/public")
public String getPublic() {
    return "public";
}

并更改您的configure(HttpSecurity http)方法,这样做。

@Override
public void configure(HttpSecurity http) throws Exception {
    http
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
        .authorizeRequests()
        .anyRequest().permitAll()
        .and()
        .csrf().disable();
}

选项2:在您的configure(HttpSecurity http)方法中,就像这样。

@Override
public void configure(HttpSecurity http) throws Exception {
    http
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
        .authorizeRequests()
        .antMatchers("/public").permitAll()  
        .anyRequest().authenticated()
        .and()
        .csrf().disable();
}

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

无法在单个Oauth安全的Spring控制器中拥有安全和不安全的端点

Spring Security 401在不安全的端点上未经授权

由于本地主机不安全错误,Spring Boot Swagger REST 服务器在端口 6000 无法访问

Swift:无法在数组中存储不安全指针

绕过CAS以从Spring Boot应用程序获取不安全的健康信息

在我的旅馆中连接了不安全的wifi连接,但连接时显示“身份不明的网络无法访问互联网”

无法在 QWebEngineView 中登录 google:此应用可能不安全

如何在Spring Security OAuth中修复不安全的jwt-set-uri?

无法对不安全的表单执行 sql 注入

不安全的代码无法在Visual Studio 2015上编译

为什么 web.config 文件会因 CSP 中的不安全内联而抛出无法识别的错误?

在Kubernetes Pod中访问Spring Boot Controller端点

链接请求不安全的 XMLHttpRequest 端点

VueJS请求了不安全的XMLHttpRequest端点

Spring Boot 中的 Spring 安全配置无法按预期工作

在经典ASP中访问线程不安全的COMobject

使用spring-ws的spring-boot-无法访问SOAP端点

将安全保护级别设置为不安全时无法获取缓存

Spring Boot安全配置忽略允许的端点

Spring Security WebSecurityConfig需要安全区域和不安全区域

Spring Boot Admin Server无法访问端点(未经授权的401)

不安全的反射访问与toCharArray(性能)

Spring Boot:无法配置

我可以在Docker for Mac中为Kubernetes API使用不安全的端点吗?

Ansible 无法使用流浪不安全的公钥 ping 我的流浪盒子

为什么无法在Symfony的不安全区域中清除会话?

软件包:无法下载,http://*.com/*/*.git使用不安全的协议

无法使用不安全的私钥SSH到无用的VM(无用1.7.2)

无法运行系统后台程序:不安全的X窗口授权

TOP 榜单

  1. 1

    Android Studio Kotlin:提取为常量

  2. 2

    计算数据帧R中的字符串频率

  3. 3

    如何使用Redux-Toolkit重置Redux Store

  4. 4

    http:// localhost:3000 /#!/为什么我在localhost链接中得到“#!/”。

  5. 5

    如何使用tweepy流式传输来自指定用户的推文(仅在该用户发布推文时流式传输)

  6. 6

    TreeMap中的自定义排序

  7. 7

    TYPO3:将 Formhandler 添加到新闻扩展

  8. 8

    遍历元素数组以每X秒在浏览器上显示

  9. 9

    在Ubuntu和Windows中,触摸板有时会滞后。硬件问题?

  10. 10

    警告消息:在matrix(unlist(drop.item),ncol = 10,byrow = TRUE)中:数据长度[16]不是列数的倍数[10]>?

  11. 11

    无法连接网络并在Ubuntu 14.04中找到eth0

  12. 12

    将辅助轴原点与主要轴对齐

  13. 13

    我可以ping IPv6但不能ping IPv4

  14. 14

    在Jenkins服务器中使用Selenium和Ruby进行的黄瓜测试失败,但在本地计算机中通过

  15. 15

    提交html表单时为空

  16. 16

    使用C ++ 11将数组设置为零

  17. 17

    如果从DB接收到的值为空,则JMeter JDBC调用将返回该值作为参数名称

  18. 18

    尝试在Dell XPS13 9360上安装Windows 7时出错

  19. 19

    如何在R中转置数据

  20. 20

    无法使用 envoy 访问 .ssh/config

  21. 21

    未捕获的SyntaxError:带有Ajax帖子的意外令牌u

热门标签

归档