springboot+spring security给web应用增加权限验证的若干难题

menggudaoke

于 2020-01-14 22:25:56 发布

阅读量497

点赞数

分类专栏： java spring springboot+mybatis 文章标签： SpringSecurity

本文链接：https://blog.youkuaiyun.com/menggudaoke/article/details/103980981

版权

本文介绍了在使用SpringBoot结合Spring Security进行Web应用权限验证时遇到的三个问题及其解决方案：1. 静态资源（如JS、CSS）因MIME类型错误被拦截；2. `NoSuchMethodError`关于`javax.persistence.spi.PersistenceUnitInfo.getValidationMode()`，由tk.mybatis和SpringBoot的依赖冲突引起；3. 'X-Frame-Options'设置为'deny'导致页面无法在iframe中显示，可通过调整Spring Security配置解决。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. Refused to execute script from '....js' because its MIME type ('text/html') is not executable...

引用博客：https://blog.youkuaiyun.com/c4jem/article/details/77131422

该问题是因为加了权限验证导致默认不需要权限验证的静态文件例如css js等也被拦截导致http 302了，解决办法，在安全配置类的方法中增加过滤：

@Override
    protected void configure(HttpSecurity http) throws Exception {
        // http.authorizeRequests()每个匹配器按照它们被声明的顺序被考虑。
        http
            .authorizeRequests()
                // 所有用户均可访问的资源
                .antMatchers("/css/**", "/js/**","/images/**", "/webjars/**", "**/favicon.ico", "/index").permitAll()
                // ROLE_USER的权限才能访问的资源
                .antMatchers("/user/**").hasRole("USER")
                // 任何尚未匹配的URL只需要验证用户即可访问
                .anyRequest().authenticated()

最低0.47元/天解锁文章