Spring|Spring Security permitAll()不允许匿名访问的操作
Spring Security permitAll()不允许匿名访问
修改前
http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests().anyRequest().authenticated().and().authorizeRequests().antMatchers("/ping**").permitAll().and().formLogin().loginPage("/login").permitAll().and().logout().logoutUrl("/logout").logoutSuccessUrl("/login");
修改后
http.addFilterBefore(muiltpartFilter, ChannelProcessingFilter.class).addFilterBefore(cf, ChannelProcessingFilter.class).authorizeRequests().antMatchers("/ping**").permitAll().and().formLogin().loginPage("/login").permitAll().and().authorizeRequests().anyRequest().authenticated().and().logout().logoutUrl("/logout").logoutSuccessUrl("/login");
permitAll() 顺序很重要,如同在 XML 配置中,即把 authorizeRequests().anyRequest().authenticate 放到最后
Spring Security @PreAuthorize 拦截无效 1. 在使用spring security的时候使用注解
@PreAuthorize("hasAnyRole('ROLE_Admin')")
放在对方法的访问权限进行控制失效,其中配置如:
@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @AutowiredUserDetailsService userDetailsService; @Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); } @Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService); }@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/res/**", "/login/login*").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login/login").defaultSuccessUrl("/").passwordParameter("password").usernameParameter("username").and().logout().logoutSuccessUrl("/login/login"); }}
Controller中的方法如下:
@Controller@RequestMapping("/demo")public class DemoController extends CommonController{@Autowiredprivate UserService userService; @PreAuthorize("hasAnyRole('ROLE_Admin')")@RequestMapping(value = "https://www.it610.com/article/user-list")public void userList() {}}
使用一个没有ROLE_Admin权限的用户去访问此方法发现无效。
修改一下 SecurityConfig:
@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/res/**", "/login/login*").permitAll().antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')").anyRequest().authenticated().and().formLogin().loginPage("/login/login").defaultSuccessUrl("/").passwordParameter("password").usernameParameter("username").and().logout().logoutSuccessUrl("/login/login"); }
添加上:
.antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")
可以被正常拦截,说明是方法拦截没有生效。
如果是基于xml,则需要在配置文件中加上:
换成Annotation方式以后,则需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解来开启。
【Spring|Spring Security permitAll()不允许匿名访问的操作】并且需要提供以下方法:
@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean(); }
才可正常拦截。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
推荐阅读
- Activiti(一)SpringBoot2集成Activiti6
- SpringBoot调用公共模块的自定义注解失效的解决
- 解决SpringBoot引用别的模块无法注入的问题
- 2018-07-09|2018-07-09 Spring 的DBCP,c3p0
- spring|spring boot项目启动websocket
- Spring|Spring Boot 整合 Activiti6.0.0
- Spring集成|Spring集成 Mina
- springboot使用redis缓存
- Spring|Spring 框架之 AOP 原理剖析已经出炉!!!预定的童鞋可以识别下发二维码去看了
- Spring|Spring Boot之ImportSelector