SpringSecurity6配置requestMatchers().permitAll() 无效问题

原创 已于 2024-04-29 16:13:18 修改 · 2.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringSecurity6

于 2024-04-29 15:59:43 首次发布

版本

<spring-boot.version>3.0.2</spring-boot.version>
<jjwt.version>0.12.5</jjwt.version>

问题描述

题主在写 SpringSecurity6 + JWT 做登录认证开发。一路跟着教程叭叭的敲。等到接口验证的时候,发现我的登录接口虽然在SecurityConfig中配置了免验证,但是访问登录接口的时候还是被拦截了。

这里先直接点题说明题主出错的原因:
因为我配置的URL是全路径的,也就是携带着server.servlet.context-path的配置内容的,类似这样/bees/API/login/wechat,其中/bees就是我配置的context-path

我出问题的时候已经在网上找了很多解决方式。但是都没有解决我的问题。
当我在访问我的login接口的时候,系统依然进入了我的自定义验证过滤器中。
后面在通义千问中,AI给出的建议,配置Security的日志输出级别到DEBUG这样能有效地排查问题。

logging.level.org.springframework.security=DEBUG

这样将SpringSecurity的log级别调到DEBUG,在启动服务的时候发现了两行有用的日志
在这里插入图片描述
这是在遇到问题,根据各种文章修改完依然没能解决问题之后的唯一一点曙光。

解决:去掉/bees之后,再次请求登录接口,就不会再过我们自定义的认证拦截器了。

这就是题主的遇到的问题症结所在。

总结

三点。

  1. 检查你自定义的认证拦截器是不是交给Spring管理了(如果是可能会有问题)。
  2. 检查你的SecurityConfig配置类中是否有配置WebSecurityCustomizer这个Bean(没有需要加上)。
  3. 最后检查你需要免验证的URL是否跟我一样加了context-path(或者使用了通配符,题主试过通配符但是不太行,可能是我使用方式有问题)。

最后贴一个比较完整的代码片段

包括 SecurityConfig JwtAuthenticationFilter JwtTokenUtil

代码片段如下:

SecurityConfig

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Autowired
    private UserServiceImpl userService;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        //关闭csrf和frameOptions,如果不关闭会影响前端请求接口
        http.csrf(AbstractHttpConfigurer::disable).headers(headers -> headers.frameOptions(HeadersConfigurer.FrameOptionsConfig::disable));
        //开启跨域以便前端调用接口
        http.cors();
        //这里是配置的关键,决定哪些接口开启防护,哪些接口绕过防护
        // 配置访问控制规则
        http.authorizeHttpRequests(request ->
            // 指定特定接口无需验证即可访问,如微信登录
            request.requestMatchers(HttpMethod.POST, "/API/login/wechat").permitAll()
            // 其他所有以 "/bees/" 开头的接口需要认证才能访问
            .requestMatchers("/bees/**").authenticated()
        );
       //禁用session
       http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //将我们自定义的认证过滤器替换掉默认的认证过滤器,指定将自定义的Filter添加到某个指定的Filter之前或者之后
        http.addFilterBefore(new WeChatLoginFilter(jwtTokenUtil, userService), UsernamePasswordAuthenticationFilter.class);
        //指定认证错误处理器
        http.exceptionHandling().authenticationEntryPoint(new BeesAuthenticationFailEntryPoint())
                .accessDeniedHandler(new BeesDeniedHandler());
        return http.build();
    }

    /**
     * 指定加密器
     *
     * @return BCryptPasswordEncoder
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        // 提供自定义loadUserByUsername
        authProvider.setUserDetailsService(userService);
        // 指定密码编辑器
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }

    @Bean
    public WebSecurityCustomizer ignoringCustomizer() {
        return (web) -> web.ignoring().requestMatchers(HttpMethod.POST, "/API/login/wechat");
    }
}

JwtAuthenticationFilter

/**
* 自定义的认证过滤器不交给Spring管理
*/
public class WeChatLoginFilter extends OncePerRequestFilter {

    private static final Logger log = LoggerFactory.getLogger(WeChatLoginFilter.class);

    private final JwtTokenUtil jwtTokenUtil;
    private final UserServiceImpl userService;

    public WeChatLoginFilter(JwtTokenUtil jwtTokenUtil, UserServiceImpl userService) {
        this.jwtTokenUtil = jwtTokenUtil;
        this.userService = userService;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        log.info("---WeChatLoginFilter---");
        String authorizationS = request.getHeader("Authorization");
        if (!StringUtils.hasLength(authorizationS)) {
            chain.doFilter(request, response);
            return;
        }

        Claims claims = jwtTokenUtil.getAllClaimsFromToken(authorizationS);
        //说明解析失败了
        if (claims == null) {
            throw new BadCredentialsException("token异常或已过期");
        }
        String authorization = claims.getSubject();
        TokenInfo tokenInfo = JSON.parseObject(authorization, TokenInfo.class);
        //通过loginType的区分,避免每次都查数据库
        if (LoginType.WX.getLoginType().equals(tokenInfo.getLoginType())) {
            User user = userService.loadUserByUserId(tokenInfo.getUserId());
            //用户不存在 todo

            BeesCommonAuthenticationToken authentication = new BeesCommonAuthenticationToken(JSON.toJSONString(user), "");
            //UserDetail user = userService.loadUserByUserId(tokenInfo.getUserId());
//                BeesCommonAuthenticationToken authentication = new BeesCommonAuthenticationToken(user.getUser().getWxOpenId(), "", user.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        chain.doFilter(request, response);
    }
}

JwtTokenUtil

@Component
public class JwtTokenUtil {

    private static final long JWT_EXPIRATION_TIME_MS = 86400000; // 1 day
    /**
    * 加密用的盐
    */
    @Value("${security.jwt.secretKey}")
    private String secretKey;

    // 生成JWT令牌
    public String generateToken(Integer loginType, Long userId) {
        TokenInfo tokenInfo = new TokenInfo();
        tokenInfo.setUserId(userId);
        tokenInfo.setLoginType(loginType);
        String subject = JSON.toJSONString(tokenInfo);
        Map<String, Object> claims = new HashMap<>();
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + JWT_EXPIRATION_TIME_MS))
                .signWith(getSigningKey(), SignatureAlgorithm.HS256)
                .compact();
    }

    // 解析JWT令牌并获取claims
    public Claims getAllClaimsFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(getSigningKey())
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    // 从JWT令牌中提取用户名
    public String getUsernameFromToken(String token) {
        return getAllClaimsFromToken(token).getSubject();
    }

    // 验证JWT令牌是否有效
    public Boolean validateToken(String token, UserDetails userDetails) {
        final String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }

    // 检查JWT令牌是否过期
    private Boolean isTokenExpired(String token) {
        final Date expiration = getAllClaimsFromToken(token).getExpiration();
        return expiration.before(new Date());
    }

    // 生成签名密钥
    private SecretKey getSigningKey() {
        byte[] keyBytes = secretKey.getBytes(StandardCharsets.UTF_8);
        return Keys.hmacShaKeyFor(keyBytes);
    }
}

——————————————以上————————————————————
希望对各位有帮助。

参考文章:
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题

Spring Security 6.x 系列(12)—— Form表单认证登录注销自定义配置
gmHappy
12-23 6051
在本系列文章中介绍了 `Form` 表单认证和注销流程,对部分源码也进行详细分析。 本章主要学习 `Spring Security` 中表单认证登录注销的相关自定义配置
springboot3+springsecurity6集成druid启动报错
给自己的程序生涯留下一点痕迹
01-18 2594
This method cannot decide whether these patterns are Spring MVC patterns or not. If this endpoint is a Spring MVC endpoint, please use requestMatchers(MvcRequestMatcher); otherwise, please use requestMatchers(AntPathRequestMatcher)
SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题
qq_31674229的博客
06-13 4306
SpringSecurity过滤指定url【.antMatchers(***).permitAll()】失效问题
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
Spring Security6 配置.requestMatchers permitAll()不生效,可能原因之一是/error路径没放行
2201_75767488的博客
10-22 1285
2,如果配置了登录接口,理论上访问/login就不会重定向到 /error了,死循环得以避免。这时候,仿佛即便不permitAll放行 /error,也是可以的。而,如果 /error没有放行,这里就会再次重定向到 /login,所以就会出现明明放行了 /register接口,但访问它时仍然跳转至 /login,搞得好像配置失效了一样。1,可以看到没有放行 /error,而当访问 /login接口时,报错信息是重定向次数过多:(原因很简单:用户被困在。3,总之,这把是 /error的锅。
spring SecurityrequestMatchers方法
小汤圆
08-12 9271
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由;如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”);如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要进行权限认证
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 3366
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链。
springsecurity6.5 中配置了 http .csrf( org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer::disable ).authorizeHttpRequests(authz -> authz.requestMatchers(("/login.hhhtml")).permitAll() 浏览器请求 http://localhost:8080/login.hhhtml 返回403
08-01
</think>### 解决 Spring Security 6.5 中 `permitAll()` 配置无效返回 403 的问题Spring Security 6.5 中配置 `permitAll()` 后仍返回 403 错误,通常由以下原因引起: #### 核心原因分析 1. **配置顺序错误*...
SpringBoot3.x + SpringSecurity6.x之session管理
最新发布
u011529483的博客
09-09 615
摘要:本文介绍了Spring Boot 3.x与Spring Security 6.x集成中的Session管理机制。重点讲解了Session的工作原理、Spring Security的默认会话配置,以及如何自定义会话管理策略。文章详细展示了如何配置会话并发控制(单点登录)、会话固定攻击防护等安全机制,并通过测试验证了配置效果。配置内容包括最大会话数限制、会话超时处理、会话迁移等安全策略,为开发者提供了完整的会话管理实现方案。
spring security permitAll不生效
日光之下的博客
06-26 6266
0 环境 系统:win10 编辑器:IDEA 1 问题描述 1 部分代码 securityConfig http http // 拦截请求,创建了FilterSecurityInterceptor拦截器 .authorizeRequests() // 允许 // "/login", // "/logout",
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 4004
SpringSecurity 中的请求路径匹配接口 RequestMatcher
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
Sinder小德的博客
05-26 2820
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
spring secuity拦截匹配URL权限(RequestMatcher接口详解)
热门推荐
HD243608836的博客
08-06 1万+
原文格式清晰,转载自:https://www.jianshu.com/p/4f9ee6007213 我们知道spring secuity是控制URL的访问权限的,那么spring secuity是怎样拦截匹配URL,我们先看一个接口RequestMatcher 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是tru...
SpringSecurity6.1.2调用requestMatchers的BUG:Servlet 3.0规范的第4.4节不允许从未在web.xml,web-fragment.xml文件中定义或未用@W
m0_53961640的博客
08-07 1225
将 pom.xml 里 spring-security-web spring-security-config 的版本从 6.1.2 改为 6.1.1。调用requestMatchers就会报错。
spring-security原理与应用系列:requestMatchers和authorizeRequests
lingdian23的专栏
06-27 883
本篇文章研究了spring-security框架里http.requestMatchers和http.authorizeRequests的作用。
.antMatchers(xx).permitAll()不生效原因
feng_xiaofeng的专栏
02-27 3506
.antMatchers().permitAll()不生效原因
深入解析 Spring Security 配置中的 CSRF 启用与 `requestMatchers` 报错问题
summermermercha的博客
01-10 1165
Spring Security 的升级过程中,API 的调整往往会带来一些配置上的困惑。尤其是在 Spring Security 6.x 中,方法的变更使得原有配置可能会报错。Spring Security 默认启用了 CSRF,无需显式调用enable()方法。方法在 Spring Security 6.x 中签名发生变化,需根据新版的 API 规范进行调整。在升级到 Spring Security 6.x 前,建议先了解主要 API 的变化,并对现有代码进行兼容性调整。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值