Spring安全配置anyRequest()。authenticated()无法按预期工作

时间:2018-04-13 13:03:39

标签: spring spring-security jwt

我对spring security的配置http.anyRequest().authenticated()的理解是,任何请求都必须经过身份验证,否则我的Spring应用程序将返回401响应。

不幸的是,我的spring应用程序没有这样做,但允许未经身份验证的请求通过。

这是我的Spring安全配置:

@Configuration
@Order(1)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthenticationTokenFilter authenticationTokenFilter;

    @Autowired
    private TokenAuthenticationProvider tokenAuthenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
                .antMatcher("/*")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                .anyRequest().authenticated();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .antMatchers("/index.html")
                .antMatchers("/error")
                .antMatchers("/swagger-ui.html")
                .antMatchers("/swagger-resources");
    }
}

AuthenticationTokenFilter从请求中获取JWT令牌,检查其有效性,从中创建身份验证,并在SecurityContextHolder中设置身份验证。如果未提供令牌,则SecurityContextHolder.getContext()。getAuthentication()保持为空。

我的控制器看起来像这样:

@RestController
@RequestMapping("/reports")
@Slf4j
public class ReportController {

    @RequestMapping()
    @ResponseBody
    public List<String> getIds() {
        log.info(SecurityContextHolder.getContext().getAuthentication());
        return Collections.emptyList();
    }

}

在没有令牌的情况下对端点运行curl请求时,我只得到一个有效的响应:

-> curl 'localhost:8080/reports/'
[]

调试时,我可以看到SecurityContextHolder.getContext().getAuthentication()为空。

有什么想法吗?

1 个答案:

答案 0 :(得分:3)

它实际上按预期工作,这是由于您编写配置的方式。 

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
            .antMatcher("/*")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                .anyRequest().authenticated();
}

这是您自己的配置,我还有一些额外的缩进。当你在这里写antMatcher时,意味着antMatcher之后的所有内容都适用于那里写的路径/表达式(参见AntPathMatcher的Javadoc。

现在,正如您已撰写/*一样,这适用于/reports,但它并不适用于/reports/(是的,这是/个问题!)。

您可能打算写的是

 @Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
            .antMatcher("/**")
                .authenticationProvider(tokenAuthenticationProvider)
                .authorizeRequests()
                .anyRequest().authenticated();
}

请注意/**而不是/*。然而,这基本上与遗漏antMatcher并简单地写

相同 
 @Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .addFilterBefore(authenticationTokenFilter, BasicAuthenticationFilter.class)
            .authenticationProvider(tokenAuthenticationProvider)
            .authorizeRequests()
            .anyRequest().authenticated();
}
相关问题
最新问题