Как отключить пружинную безопасность для конкретного URL
Я использую пружинную безопасность не сохраняющую состояние, но в случае регистрации я хочу отключить пружинную безопасность. Я отключил использование
antMatchers("/api/v1/signup").permitAll().
но это не работает, я получаю ошибку ниже:
message=An Authentication object was not found in the SecurityContext, type=org.springframework.security.authentication.AuthenticationCredentialsNotFoundException
Я думаю, что это означает, что пружинные фильтры защиты работают
Порядок моего URL всегда будет "/api/v1"
Моя пружинная конфигурация
@Override
protected void configure(HttpSecurity http) throws Exception {
http.
csrf().disable().
sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).
and().
authorizeRequests().
antMatchers("/api/v1/signup").permitAll().
anyRequest().authenticated().
and().
anonymous().disable();
http.addFilterBefore(new AuthenticationFilter(authenticationManager()), BasicAuthenticationFilter.class);
}
Мой фильтр аутентификации
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = asHttp(request);
HttpServletResponse httpResponse = asHttp(response);
String username = httpRequest.getHeader("X-Auth-Username");
String password = httpRequest.getHeader("X-Auth-Password");
String token = httpRequest.getHeader("X-Auth-Token");
String resourcePath = new UrlPathHelper().getPathWithinApplication(httpRequest);
try {
if (postToAuthenticate(httpRequest, resourcePath)) {
processUsernamePasswordAuthentication(httpResponse, username, password);
return;
}
if(token != null){
processTokenAuthentication(token);
}
chain.doFilter(request, response);
} catch (InternalAuthenticationServiceException internalAuthenticationServiceException) {
SecurityContextHolder.clearContext();
logger.error("Internal authentication service exception", internalAuthenticationServiceException);
httpResponse.sendError(HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
} catch (AuthenticationException authenticationException) {
SecurityContextHolder.clearContext();
httpResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, authenticationException.getMessage());
} finally {
}
}
private HttpServletRequest asHttp(ServletRequest request) {
return (HttpServletRequest) request;
}
private HttpServletResponse asHttp(ServletResponse response) {
return (HttpServletResponse) response;
}
private boolean postToAuthenticate(HttpServletRequest httpRequest, String resourcePath) {
return Constant.AUTHENTICATE_URL.equalsIgnoreCase(resourcePath) && httpRequest.getMethod().equals("POST");
}
private void processUsernamePasswordAuthentication(HttpServletResponse httpResponse,String username, String password) throws IOException {
Authentication resultOfAuthentication = tryToAuthenticateWithUsernameAndPassword(username, password);
SecurityContextHolder.getContext().setAuthentication(resultOfAuthentication);
httpResponse.setStatus(HttpServletResponse.SC_OK);
httpResponse.addHeader("Content-Type", "application/json");
httpResponse.addHeader("X-Auth-Token", resultOfAuthentication.getDetails().toString());
}
private Authentication tryToAuthenticateWithUsernameAndPassword(String username,String password) {
UsernamePasswordAuthenticationToken requestAuthentication = new UsernamePasswordAuthenticationToken(username, password);
return tryToAuthenticate(requestAuthentication);
}
private void processTokenAuthentication(String token) {
Authentication resultOfAuthentication = tryToAuthenticateWithToken(token);
SecurityContextHolder.getContext().setAuthentication(resultOfAuthentication);
}
private Authentication tryToAuthenticateWithToken(String token) {
PreAuthenticatedAuthenticationToken requestAuthentication = new PreAuthenticatedAuthenticationToken(token, null);
return tryToAuthenticate(requestAuthentication);
}
private Authentication tryToAuthenticate(Authentication requestAuthentication) {
Authentication responseAuthentication = authenticationManager.authenticate(requestAuthentication);
if (responseAuthentication == null || !responseAuthentication.isAuthenticated()) {
throw new InternalAuthenticationServiceException("Unable to authenticate Domain User for provided credentials");
}
logger.debug("User successfully authenticated");
return responseAuthentication;
}
Мой контроллер
@RestController
public class UserController {
@Autowired
UserService userService;
/**
* to pass user info to service
*/
@RequestMapping(value = "api/v1/signup",method = RequestMethod.POST)
public String saveUser(@RequestBody User user) {
userService.saveUser(user);
return "User registerted successfully";
}
}
Я полностью плохо знаком с пружиной, помогите мне, как сделать это?
62
задан Prabjot Singh
21 May 2015 в 09:45
поделиться
5 ответов
При использовании permitAll это означает каждого аутентифицируемого пользователя, однако Вы отключили анонимный доступ так, чтобы не работал.
то, Что Вы хотите, должно проигнорировать определенные URL для этого переопределения configure метод, который берет WebSecurity объект и ignore шаблон.
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/api/v1/signup");
}
И удаляют ту строку из HttpSecurity часть. Это скажет безопасности Spring игнорировать этот URL и не применяет фильтров к ним.
115
ответ дан Ankit Soni
31 October 2019 в 13:36
поделиться
У меня есть лучший путь:
http
.authorizeRequests()
.antMatchers("/api/v1/signup/**").permitAll()
.anyRequest().authenticated()
12
ответ дан Abdullah Khan
31 October 2019 в 13:36
поделиться
Это может быть не полным ответом на Ваш вопрос, однако при поиске способа отключить csrf защиту, можно сделать:
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/web/admin/**").hasAnyRole(ADMIN.toString(), GUEST.toString())
.anyRequest().permitAll()
.and()
.formLogin().loginPage("/web/login").permitAll()
.and()
.csrf().ignoringAntMatchers("/contact-email")
.and()
.logout().logoutUrl("/web/logout").logoutSuccessUrl("/web/").permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("admin").password("admin").roles(ADMIN.toString())
.and()
.withUser("guest").password("guest").roles(GUEST.toString());
}
}
я включал полную конфигурацию, но ключевая строка:
.csrf().ignoringAntMatchers("/contact-email")
5
ответ дан Tomasz Mularczyk
31 October 2019 в 13:36
поделиться
Как @M.Deinum уже записал ответ.
я попробовал api /api/v1/signup. это обойдет фильтр фильтра / пользовательский фильтр, но дополнительный запрос, вызванный браузером для /favicon.ico, таким образом, я добавляю это также в web.ignoring (), и это работает на меня.
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/api/v1/signup", "/favicon.ico");
}
, Возможно, это не требуется для вышеупомянутого вопроса.
1
ответ дан eigenharsha
31 October 2019 в 13:36
поделиться
<http pattern="/resources/**" security="none"/>
Или с конфигурацией Java:
web.ignoring().antMatchers("/resources/**");
Вместо старого:
<intercept-url pattern="/resources/**" filters="none"/>
для экспорта отключают безопасность для страницы входа в систему:
<intercept-url pattern="/login*" filters="none" />
8
ответ дан Flexo
31 October 2019 в 13:36
поделиться