如何使用Spring Security和RESTful执行POST请求?
我正在学习Spring Rest,我有一个Restful控制器,可以处理GET、PUT、POST和DELETE请求。之后,我添加了带有2个角色user和admin的Spring Security性。而且我不明白为什么我只能做GET请求,如果我试图做一个帖子,放置或删除请求,我会收到403个禁止。
Rest控制器:
import java.util.List;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.Assert;
import org.springframework.web.bind.annotation.DeleteMapping;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.PutMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class TaskController {
@Autowired
private TaskRepository taskRepository;
@GetMapping("/task")
public List<Task> getTasks() {
return taskRepository.findAll();
}
@PostMapping("/task")
public void addTask(@RequestBody Task task) {
System.out.println("Here 111");
taskRepository.save(task);
}
@PutMapping("/task/{id}")
public void editTask(@PathVariable long id, @RequestBody Task task) {
Task existingTask = taskRepository.findById(id).get();
Assert.notNull(existingTask, "Task not found");
existingTask.setDescription(task.getDescription());
taskRepository.save(existingTask);
}
@DeleteMapping("/task/{id}")
public void deleteTask(@PathVariable long id) {
Task taskToDel = taskRepository.findById(id).get();
taskRepository.delete(taskToDel);
}
}
Spring安全配置:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
@EnableWebSecurity
public class BasicConfiguration extends WebSecurityConfigurerAdapter {
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("ady")
.password(passwordEncoder().encode("12345"))
.roles("USER")
.and()
.withUser("gigel")
.password(passwordEncoder().encode("abcde"))
.roles("USER", "ADMIN");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/task").hasRole("USER")
.antMatchers("/movie").hasRole("ADMIN")
.anyRequest()
.authenticated()
.and()
.httpBasic();
}
}
更新
问题是由于CSRF保护。我禁用了CSRF,它工作得很好。
共有1个答案
有趣的是,
我想您得到了403,因为您输入了错误的密码,请在此处查看:https://spring.io/guides/gs/securing-web/
应该是的
auth
.inMemoryAuthentication()
.withUser("ady")
.password("12345")
.roles("USER")
.and()
.withUser("gigel")
.password("abcde")
.roles("USER", "ADMIN");
-
我对使用REST调用是新手。我有一个文件在我的项目中。 该文件的内容是: Java代码: 例外:java.io.IOException:服务器返回HT 在Soap Ui,添加的endpoint和以上内容 如何读取json内容并将其作为java中的请求正文传递?
-
从API获得访问令牌后,我调用此方法: 我可以这样使用邮递员提出请求并获得预期的响应: 我正试图在使用RestSharp的应用程序中调用相同的API方法,使用与上述相同的url和输入数据: 其中,是与API输入参数匹配的我的对象-使用我通过Postman获得了一个与API请求正文中使用的字符串相同的字符串。 当它运行时,我得到的消息是“此请求的授权已被拒绝”我在本地运行的API中的断点没有被击中,
-
当我发布带有授权头的请求API时,我在角4中有一个问题? 令牌来自firebase auth 我用这个叫邮局 回复403!!! 请求URL:https://us-central1-xxxxxx-prod.cloudfunctions.net/api/post请求方法:选项 状态代码:403 远程地址:216.58。198.51:443 引用方策略:降级时无引用 响应头 访问控制允许方法:获取、发布
-
我可以在不设置代理的情况下执行http或https客户端请求, 这个脚本工作正常,当我请求https url时,我得到一个200 ok,但是如果我设置了代理,脚本: 我总是收到“坏请求”,我看文件:https://golang.org/pkg/net/http/: ...........从Go1.6开始,http包在使用HTTPS时对http/2协议有透明的支持。必须禁用HTTP/2的程序可以通过
-
Spring留档声明,即使要执行同步超文本传输协议调用,我们也必须从RestTemboard切换到。 目前,我有以下代码: 当然,我可以在这里使用CountdownLatch,但它看起来像是API滥用。 如何执行同步请求?
-
如何使用curl测试RESTful PUT(或DELETE)方法?