登录
当前位置: 首页 > 知识库问答 >
问题:

如何解决公共资源的Spring安全JWT身份验证上的403

呼延臻
2023-03-14

我试图在一个spring boot API中使用spring security实现一个基于JWT的认证,但是我不知道我做错了什么。在我的< code > WebSecurityConfigurerAdapter 实现中,我允许访问< code>auth/**资源,但是当我向例如< code>/auth/login发出请求时,我得到一个403。似乎是忽略了“公共”资源。

csrf()被禁用。

这是存储库:https://github.com/wallysoncarvalho/jwt-auth-spring-security

我启用了调试模式,这就是我得到的:

Request received for POST '/auth/login?username=wally&password=wally':

org.apache.catalina.connector.RequestFacade@585d8cc6

servletPath:/auth/login
pathInfo:null
headers: 
user-agent: PostmanRuntime/7.26.8
accept: */*
postman-token: 91c2a071-a353-4d77-9c7c-b04a43b94081
host: localhost:8091
accept-encoding: gzip, deflate, br
connection: keep-alive
content-length: 0


Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  JwtFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]


************************************************************


2020-12-22 20:21:15.919 DEBUG 6288 --- [nio-8091-exec-2] o.s.security.web.FilterChainProxy        : Securing POST /auth/login?username=wally&password=wally
2020-12-22 20:21:15.937 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Set SecurityContextHolder to empty SecurityContext
2020-12-22 20:21:15.948 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Cleared SecurityContextHolder to complete request
2020-12-22 20:21:15.960  INFO 6288 --- [nio-8091-exec-2] Spring Security Debugger                 : 

************************************************************

Request received for POST '/error?username=wally&password=wally':

org.apache.catalina.core.ApplicationHttpRequest@6d88bc8c

servletPath:/error
pathInfo:null
headers: 
user-agent: PostmanRuntime/7.26.8
accept: */*
postman-token: 91c2a071-a353-4d77-9c7c-b04a43b94081
host: localhost:8091
accept-encoding: gzip, deflate, br
connection: keep-alive
content-length: 0


Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  JwtFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]


************************************************************


2020-12-22 20:21:15.961 DEBUG 6288 --- [nio-8091-exec-2] o.s.security.web.FilterChainProxy        : Securing POST /error?username=wally&password=wally
2020-12-22 20:21:15.961 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Set SecurityContextHolder to empty SecurityContext
2020-12-22 20:21:15.967 DEBUG 6288 --- [nio-8091-exec-2] o.s.s.w.a.AnonymousAuthenticationFilter  : Set SecurityContextHolder to anonymous SecurityContext
2020-12-22 20:21:15.998 DEBUG 6288 --- [nio-8091-exec-2] o.s.s.w.a.i.FilterSecurityInterceptor    : Failed to authorize filter invocation [POST /error?username=wally&password=wally] with attributes [authenticated]
2020-12-22 20:21:16.022 DEBUG 6288 --- [nio-8091-exec-2] o.s.s.w.a.Http403ForbiddenEntryPoint     : Pre-authenticated entry point called. Rejecting access
2020-12-22 20:21:16.025 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Cleared SecurityContextHolder to complete request

共有1个答案

锺离浩慨
2023-03-14 
@Override
public void configure(WebSecurity web) throws Exception {
    web
            .ignoring()
            .antMatchers("/assets/**",);
}

你的@Configuration类必须实现WebMvc配置器

编辑
还可以通过在配置类中对其进行批注来启用 Web 安全性,方法是@EnableWebSecurity

 类似资料:
  • Spring 安全性 OAuth2 和 LDAP 身份验证到同一资源

    我有 Spring Boot 2 REST 应用程序,我想配置 Spring Security 以支持 Google 登录或对相同资源的 LDAP 身份验证(例如/员工) 我已经通过httpBasic(它连接到Apache AD LDAP服务器)完成了身份验证。 此外,我还通过Google OAuth2登录设置了身份验证。这两种配置都可以单独正确工作(我可以通过 Google 登录进行身份验证,但

  • JWT身份验证

    我正在开发一个具有自己的身份验证和授权机制的REST应用程序。我想使用JSON Web Tokens进行身份验证。以下是有效且安全的实现吗? < li >将开发一个REST API来接受用户名和密码并进行认证。要使用的HTTP方法是POST,因此没有缓存。此外,在传输时还会有安全SSL < li >在认证时,将创建两个JWTs访问令牌和刷新令牌。刷新令牌将具有更长的有效期。这两个令牌都将写入coo

  • JWT在非安全网络上的安全性与forms身份验证的比较

    我试图学习JSON Web令牌(JWT),并使用在ASP.NET Web API和Identity 2.1中实现OAuth JSON Web令牌身份验证--第3部分中提供的系列文章成功地完成了一个示例。 我了解了,并喜欢使用https://JWT.io/中的JWT调试器对令牌进行解码。令牌没有加密--只是编码。 问题1与ASP.NET窗体身份验证相比,JWT的安全性如何?它是更多、更少还是相等的安

  • Spring Security Cookie+JWT身份验证

    我必须说,我对整个模型非常困惑,我需要帮助把所有的浮动件粘在一起。 我不是在做Spring REST,只是简单的WebMVC控制器。 什么让人困惑?(错误之处请指正) 第三方身份验证 要针对第三方进行身份验证,我需要通过扩展AuthenticationProvider来拥有自定义提供程序 null 问题: 何时调用AbstractAuthenticationProcessingFilter#Suc

  • 测试Spring安全柱。访问此资源需要完全身份验证

    我正在测试Spring Security中的登录方法。我想获得200的地位,但来了401。

  • 在Spring Boot2上实现基于筛选器的JWT身份验证vs OAuth2 JWT身份验证

    注意:我的问题与Spring-Boot REST API+web应用程序的安全性有关。

相关问答

测试Spring安全柱。访问此资源需要完全身份验证在Spring Boot2上实现基于筛选器的JWT身份验证vs OAuth2 JWT身份验证Spring安全预身份验证/登录Spring Boot安全性LDAP身份验证Spring 4安全性jdbc身份验证

相关文章

如何解决无法加载身份验证插件“ caching_sha2_password”的问题Spring Test & Security:如何模拟身份验证?REST HTTP身份验证-如何?使用RestTemplate的Spring Security身份验证用Flask解决跨源资源共享

相关阅读

Spring Boot静态资源映射网络安全面试经验中征征信上海分公司 网络安全岗位 一面一份能干掉大多数候选人的Kafka面试资源安卓面经_安卓基础面全解析(5/30)Context全解析

相关工具

易优安身份认证jwt-spring-security-demo资源星球公共集合框架包JWt

相关文档

资源大全中文版安卓应用安全指南PHP 安全基础Python 安全编程iOS Security 安全 Wiki
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.