Question

我们正在构建一个基于SpringBoot的应用程序，它应该像代理一样工作。它接受请求并将它们发送到另一个端点。这包括摘要认证。

Client --> Proxy (Spring) --> Resource

客户端和资源使用摘要式身份验证，无需代理即可正常工作。

如何完全禁用任何安全性，尤其是弹出默认处理摘要式身份验证，明确转发请求（无需讨论潜在的安全问题，这是意）。

我们尝试了.authorizeRequests().antMatchers("/**").permitAll()，security.ignored=/**，management.security.enabled=false和

@EnableAutoConfiguration(exclude = {
    org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration.class})

我测试了摘要转发在技术上是在NodeJS / Express堆栈上。

Answer 1

您必须忽略任何请求。此外，您必须删除servlet的过滤器（如果存在）。

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/**");
}