基于Java的配置,以启用Spring安全匿名访问

时间:2015-10-25 08:30:55

标签: java spring spring-mvc spring-security

我想启用“ROLE_ANONYMOUS”以允许匿名访问我的应用中的某些网址。我使用了以下配置。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .requestCache()
            .requestCache(new NullRequestCache()).and()
        .anonymous().authorities("ROLE_ANONYMOUS").and()
        .exceptionHandling().and()
        .servletApi().and()
        .headers().cacheControl().and()
        .authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers("/profile/image").permitAll()
            .antMatchers("/favicon.ico").permitAll()
            .antMatchers("/resources/**").permitAll()

            //.antMatchers(HttpMethod.GET, "/login/**").permitAll()
            //.antMatchers(HttpMethod.GET, "/location/**").permitAll()

            .anyRequest().authenticated()/*.and()
            .apply(new SpringSocialConfigurer())*/;

        // custom Token based authentication based on the header previously given to the client
        //.addFilterBefore(new StatelessAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class);
}

我的控制器如下:

@RestController
@RequestMapping(value="/login", produces="application/json")
public class LoginController {


    @Secured( value={"ROLE_ANONYMOUS"})
    @RequestMapping(method=RequestMethod.GET)
    public String get(){
        return "hello";
    }
}

但是当我尝试点击“/ login”时,我得到403拒绝访问权限错误。 请帮助我如何启用基于匿名访问的注释。

2 个答案:

答案 0 :(得分:2)

正如Faraj Farook所写,您必须允许访问您的登录页面URL。你评论了相关的一行:

@Override
protected void configure(HttpSecurity http) throws Exception {
     http
        .anonymous()
            .authorities("ROLE_ANONYMOUS")
            .and()
        .headers()
             .cacheControl()
             .and()
        .authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers("/profile/image").permitAll()
            .antMatchers("/favicon.ico").permitAll()
            .antMatchers("/resources/**").permitAll()

            .antMatchers(HttpMethod.GET, "/login/**").permitAll()

            .anyRequest().authenticated()
}

但如果您不想使用permitAll(),则可以使用hasAuthority("ROLE_ANONYMOUS")。在这种情况下,您不需要使用注释方法 @Secured( value={"ROLE_ANONYMOUS"})

答案 1 :(得分:1)

这可以解决您的问题。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        ...
        .formLogin().loginPage("/login").permitAll()
        ...

但是如果你不想使用permitAll而是坚持使用匿名用户(这对两种情况都会产生同样的效果,但如果你喜欢这种情况的话),那么在控制器中试试吧。

@Secured("ROLE_ANONYMOUS")
@RequestMapping(method=RequestMethod.GET)
public String get(){
    ...