如何重新启用对Spring Boot Health端点的匿名访问?

时间:2015-08-20 14:55:56

标签: java spring spring-security spring-boot spring-security-oauth2

可能我在这里做错了什么,我只是弄不清楚......

我在同一个应用程序中有一个Oauth2身份验证服务器和一个资源服务器。

资源服务器配置:

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER-1)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    public static final String RESOURCE_ID = "resources";

    @Override
    public void configure(final ResourceServerSecurityConfigurer resources) {
        resources
                .resourceId(RESOURCE_ID);
    }

    @Override
    public void configure(final HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/**").access("#oauth2.hasScope('read')")
                .antMatchers(HttpMethod.POST, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PUT, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PATCH, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.DELETE, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers(HttpMethod.GET, "/health").permitAll();
    }

}

身份验证服务器配置:

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void configure(final AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and().httpBasic().realmName("OAuth Server");
    }
}

当我尝试访问/ health时,我收到了HTTP / 1.1 401 Unauthorized。

如何说服Spring Boot使/健康匿名访问?

3 个答案:

答案 0 :(得分:2)

正如M. Deinum所说:

  

指定映射的顺序也是顺序   他们被咨询过。第一场比赛胜利......作为/ **比赛   您的/健康映射无用的一切。移动到/ **上方   映射使它具有功能。 - M. Deinum 8月20日17:56

答案 1 :(得分:0)

您还需要将management.security.enabled设置为false来禁用它。

http://docs.spring.io/spring-boot/docs/current-SNAPSHOT/reference/htmlsingle/#production-ready-customizing-management-server-port

答案 2 :(得分:0)

我遇到了同样的问题,但有点挣扎。

protected void configure(HttpSecurity http) throws Exception {
    ...
    .authorizeRequests()
            .antMatchers("/actuator/**").permitAll()
}

还不够。

也可以重写此方法,并添加以下内容,它就会起作用。

public void configure(WebSecurity web) throws Exception {
     web.ignoring().antMatchers("/actuator/**");
}
相关问题
最新问题