一、permitAll方法
在Spring Security中,permitAll方法用于开放某些URL的访问权限,即使没有通过身份验证也可以进行访问。该方法在处理Spring Security的访问控制时非常常见,使用方式如下:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/hello").permitAll()
.anyRequest().authenticated()
.and()
.formLogin().loginPage("/login").defaultSuccessUrl("/home").permitAll()
.and()
.logout().permitAll();
}
}
上面的示例代码中,我们配置了“/hello”路径为不需要身份认证的路径,即使用户没有登录也可以进行访问。
二、permitAll方法原理
在上一个小节中,我们已经了解了permitAll方法的使用方法,那么这个方法背后的原理是什么呢?
在Spring Security中,访问控制之所以能够生效,是因为它将SecurityFilterChain对象添加到过滤器链中。在处理请求时,这个过滤器链将会按照顺序执行一系列的过滤器,其中就包括了一个AnonymousAuthenticationFilter过滤器。
这个过滤器将在匿名用户访问时,自动为其创建一个AnonymousAuthenticationToken,这个Token将代表一个未认证的用户,而permitAll方法的作用就是使这个Token获得访问控制内的访问授权。
三、permitAll不生效
在实际开发工作中,我们可能会遇到这样的情况——无论如何configure(HttpSecurity http)方法都无法禁用身份验证,即使在特定的URL上使用了permitAll方法。
这个问题的原因是因为在配置的时候,我们的HttpSecurity对象可能设置了多个SecurityFilterChain,导致permitAll方法可能被其他SecurityFilterChain覆盖。
解决这个问题的方法是,在configure(HttpSecurity http)方法中为每个SecurityFilterChain都设置permitAll方法,确保所有的SecurityFilterChain都生效。
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private JwtAuthenticationEntryPoint unauthorizedHandler;
@Autowired
private JwtTokenProvider jwtTokenProvider;
@Bean
public JwtAuthenticationFilter jwtAuthenticationFilter() {
return new JwtAuthenticationFilter(jwtTokenProvider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/auth/**").permitAll()
.anyRequest().authenticated()
.and()
.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
@Configuration
@Order(1)
public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
protected void configure(HttpSecurity http) throws Exception {
http.antMatcher("/api/**")
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS).permitAll()
.anyRequest().authenticated();
}
}
@Configuration
@Order(2)
public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/login**", "/signup**", "/h2-console/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/home")
.failureUrl("/login?error=true")
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/login")
.permitAll()
.and().csrf().disable();
http.headers().frameOptions().disable();
}
}
}
四、permit和allow的区别
在Spring Security中,除了permitAll方法外,还有allowAll方法,那么这两者之间到底有什么区别呢?
实际上,这两者之间的区别非常微妙,相信大部分开发者都无法分辨它们之间的差异。其实,在Spring Security中,permitAll就是allowAll的别名,这两个方法完全等价。
五、permitAll和anonymous的区别
在Spring Security中,permitAll和anonymous都可以用来授权未认证的用户,那么这两者之间有何区别呢?
简而言之,permitAll是用于授权未认证用户对系统内的URL资源进行访问,而anonymous则是用于允许非匿名用户访问系统中的受保护资源。
在实际应用中,permitAll通常被用来允许未认证的用户访问一些公开资源,比如首页、注册页面等。而anonymous则被用来授权已经被认证的用户在系统内匿名访问一些资源,比如用户名片。
总结
本文详细介绍了Spring Security中permitAll方法的使用方法和原理,并且讨论了permitAll不生效、permit和allow的区别以及permitAll和anonymous的区别等相关问题。通过本文的阅读,相信读者们已经掌握了permitAll在不同场景下的使用方式和注意事项,并且可以在实际开发中熟练运用这个强大的功能。
原创文章,作者:小蓝,如若转载,请注明出处:https://www.506064.com/n/150856.html
微信扫一扫 
支付宝扫一扫 