Spring Security antMatcher不起作用
编辑:
我进一步深入研究了该问题,结果发现即使使用单个配置,问题仍然存在。如果我使用单一配置并保留
http.antMatcher("/api/test/**")
网址不安全。删除antMatcher和antMatchers会立即保护URL。即如果我使用:
http.httpBasic()
.and()
.authorizeRequests()
.anyRequest()
.authenticated();
那么只有spring安全性可以保护网址。antMatcher为什么不起作用?
(已更新标题以包括实际问题。)
和春季安全文档:
https://docs.spring.io/spring-
security/site/docs/current/reference/htmlsingle/#multiple-
httpsecurity
但是我无法配置多个http安全元素。当我遵循spring的官方文档时,仅由于第二个http安全元素是一个包罗万象的事实而起作用,但是一旦我添加了特定的URL,就可以在不进行任何身份验证的情况下访问所有URL。
这是我的代码:
@EnableWebSecurity
@Configuration
public class SecurityConfig {
@Bean
public UserDetailsService userDetailsService() throws Exception {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("user").password("userPass").roles("USER").build());
manager.createUser(User.withUsername("admin").password("adminPass").roles("ADMIN").build());
return manager;
}
@Configuration
@Order(1)
public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
@Override
public void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.inMemoryAuthentication().withUser("user").password("user").roles("USER");
auth.inMemoryAuthentication().withUser("admin").password("admin").roles("ADMIN");
}
protected void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/api/v1/**")
.authorizeRequests()
.antMatchers("/api/v1/**").authenticated()
.and()
.httpBasic();
}
}
@Configuration
@Order(2)
public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
@Override
public void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.inMemoryAuthentication().withUser("user1").password("user").roles("USER");
auth.inMemoryAuthentication().withUser("admin1").password("admin").roles("ADMIN");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/api/test/**")
.authorizeRequests()
.antMatchers("/api/test/**").authenticated()
.and()
.formLogin();
}
}
}
现在可以访问任何URL。如果我从第二个配置中删除antMatcher,则所有URL都将得到保护。
问题答案:
该模式不能包含上下文路径,请参见AntPathRequestMatcher:
匹配器,用于将预定义的蚂蚁风格模式与的URL(
servletPath+pathInfo)相比较HttpServletRequest。
和HttpServletRequest.html#getServletPath:
返回此请求的URL中调用servlet的部分。该路径以“
/”字符开头,包括servlet名称或servlet路径,但不包含任何额外的路径信息或查询字符串。与CGI变量SCRIPT_NAME的值相同。
和HttpServletRequest.html#getContextPath:
返回请求URI中指示请求上下文的部分。上下文路径总是在请求URI中排在第一位。路径以“ /”字符开头,但不以“
/”字符结尾。对于默认(根)上下文中的servlet,此方法返回“”。容器不解码此字符串。
您修改和简化的代码:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/test/**")
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin();
}
-
因此,我在一个控制器中有一个非常简单的代码片段,在这个代码片段中,我使用从外部文件中获取数据,它工作得很好!但是当我使用时,我会在控制台中得到一个
-
问题内容: 正则表达式似乎还可以,因为第一行将子字符串正确替换为“ helloworld”,但是后者却不匹配,因为我看不到“ whynothelloworld?”。在控制台上 问题答案: 期望 整个 字符串匹配,而不仅仅是子字符串。 使用正则表达式匹配器对象的方法代替:
-
问题内容: 我的 活动无法正常进行。 以下是我一一尝试过的代码段,但无济于事: 使用方法实施 设定方法 使用方法 这是我完整的MainActivity.java文件: 问题答案: 我遇到了同样的问题,我发现Android非常注重布局XML。我将NavigationView作为DrawerLayout的第一个孩子,但是出于某些愚蠢的原因,它必须是最后一个孩子。因此,您的布局必须具有以下顺序的元素:
-
问题内容: 在什么情况下,java的System.out.println无法产生任何输出。我在方法内部调用了它,有时在调用该方法时得到了println,而有时却没有。 更新:我还在println之后使用System.out.flush()。 更新:感谢您的调试帮助。原来,阻止调用打开了一个对话框,使输出看起来与正常顺序大相径庭。我以为我要打印消息的方法是在对话框关闭时被调用的,但是该方法本身就是在
-
问题内容: 第一次运行此sql时,需要39秒,再次运行并增加SQL_NO_CACHE时,它似乎没有生效: 我在这里尝试了多种方法 甚至重新启动mysql服务器或更改表名,但我仍然不能让39秒运行此SQL 我替换了另一个SQL,并在第一次运行SQL_NO_CACHE上增加了一个,问题是一样的: 是什么原因?如何获得相同的SQL运行时? 我想找到一种方法来优化此SQL以执行39秒 顺便说一句: 不起作
-
问题内容: 我正在尝试使用此API用Java开发TS3 Bot:https : //github.com/TheHolyWaffle/TeamSpeak-3-Java- API 我有一个客户端所有服务器组的列表: 现在,我检查列表是否包含组: 结果是错误的。我100%确定此列表包含ServerGroup。 已经使用Sysouts进行了检查。 这是ServerGroup类的链接:[https]( h
-
问题内容: 我有一个Javascript函数,该函数应使用每次更新该函数时都会增加的数字来更新表单中的隐藏输入字段。 它最初与 getElementById() 一起工作,但是因为我不得不重新设计表单,所以我无法使用php函数为元素分配一个单独的ID,因此我所拥有的只是该元素的唯一名称。 因此,我决定使用Javascript中的 getElementsByName() 修改元素。 这是该元素的HT
-
问题内容: 请检查这个要点并告诉我,怎么了? 为什么我看不到我的留言? 要点:https : //gist.github.com/cnaize/895f61b762a9f5ee074c 如果简单,我有两个功能: 和功能: 为什么不起作用? 编辑: 我已经更新了要点。现在在哪里: 我在日志中: 但是我什么也没看到。 有任何想法吗? 问题答案: 冲洗工作正常。问题是Chrome的纯文本呈现器在显示任何