声明:本文转载自https://my.oschina.net/merryyou/blog/1816321,转载目的在于传递更多信息,仅供学习交流之用。如有侵权行为,请联系我,我会及时删除。
黄鼠狼在养鸡场山崖边立了块碑,写道:“不勇敢地飞下去,你怎么知道自己原来是一只搏击长空的鹰?!” 从此以后 黄鼠狼每天都能在崖底吃到那些摔死的鸡!
上周五有网友问道,在使用spring-security-oauth2时,虽然配置了.antMatchers("/permitAll").permitAll(),但如果在header 中 携带 Authorization Bearer xxxx,OAuth2AuthenticationProcessingFilter还是会去校验Token的正确性,如果Token合法,可以正常访问,否则,请求失败。他的需求是当配置.permitAll()时,即使携带Token,也可以直接访问。
根据Spring Security源码分析一:Spring Security认证过程得知spring-security的认证为一系列过滤器链。我们只需定义一个比OAuth2AuthenticationProcessingFilter更早的过滤器拦截指定请求,去除header中的Authorization Bearer xxxx即可。
添加PermitAuthenticationFilter类拦截指定请求,清空header中的Authorization Bearer xxxx
@Component("permitAuthenticationFilter") @Slf4j public class PermitAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { log.info("当前访问的地址:{}", request.getRequestURI()); if ("/permitAll".equals(request.getRequestURI())) { request = new HttpServletRequestWrapper(request) { private Set<String> headerNameSet; @Override public Enumeration<String> getHeaderNames() { if (headerNameSet == null) { // first time this method is called, cache the wrapped request's header names: headerNameSet = new HashSet<>(); Enumeration<String> wrappedHeaderNames = super.getHeaderNames(); while (wrappedHeaderNames.hasMoreElements()) { String headerName = wrappedHeaderNames.nextElement(); if (!"Authorization".equalsIgnoreCase(headerName)) { headerNameSet.add(headerName); } } } return Collections.enumeration(headerNameSet); } @Override public Enumeration<String> getHeaders(String name) { if ("Authorization".equalsIgnoreCase(name)) { return Collections.<String>emptyEnumeration(); } return super.getHeaders(name); } @Override public String getHeader(String name) { if ("Authorization".equalsIgnoreCase(name)) { return null; } return super.getHeader(name); } }; } filterChain.doFilter(request, response); } } 添加PermitAllSecurityConfig配置用于配置PermitAuthenticationFilter
@Component("permitAllSecurityConfig") public class PermitAllSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity> { @Autowired private Filter permitAuthenticationFilter; @Override public void configure(HttpSecurity http) throws Exception { http.addFilterBefore(permitAuthenticationFilter, OAuth2AuthenticationProcessingFilter.class); } } @Override public void configure(HttpSecurity http) throws Exception { // @formatter:off http.formLogin() .successHandler(appLoginInSuccessHandler)//登录成功处理器 .and() .apply(permitAllSecurityConfig) .and() .authorizeRequests() .antMatchers("/user").hasRole("USER") .antMatchers("/forbidden").hasRole("ADMIN") .antMatchers("/permitAll").permitAll() .anyRequest().authenticated().and() .csrf().disable(); // @formatter:ON } 添加permitAllWithTokenTest方法
@Test public void permitAllWithTokenTest() throws Exception{ final String accessToken = obtainAccessToken(); log.info("access_token={}", accessToken); String content = mockMvc.perform(get("/permitAll").header("Authorization", "bearer " + accessToken+"11")) .andExpect(status().isOk()) .andReturn().getResponse().getContentAsString(); log.info(content); } Authorization bearer xxx 11后面随机跟了两个参数
本文发表于2018年05月22日 10:00
(c)注:本文转载自https://my.oschina.net/merryyou/blog/1816321,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除.
阅读 3643 讨论 0 喜欢 0
避坑!MotionGo就是一款诈骗软件!千万不要用ChatPPT,浪费时间!
宝塔面板使用WWW用户执行计划任务命令 解决laravel日志权限问题 宝塔设置计划任务执行用户
手机微信一键制作透明底文字表情 教你如何让微信表情包背景为透明 自制微信表情包动图 文字表情在线制作
ssh目录权限配置指南 .ssh文件夹及rsa_id.pub等文件正确权限规则
Mac连接亚马逊AWS EC2 远程连接登录不上去 有pem私钥文件依然要输密码 默认密码 教程
PHP工程师必知必会 - Linux系统常用命令 - Linux中的网络管理命令(下)
| 抢先体验 |
|---|
扫码体验 |
| 闪念胶囊 |
|---|
|
万稳万当,不如一默。任何一句话,你不说出来便是那句话的主人,你说了出来,便是那句话的奴隶。 18:22 04月20日 查看详情 |
|
你要过得好哇,这样我才能恨你啊,你要是过得不好,我都不知道该恨你还是拥抱你啊。 17:21 2021年04月19日 查看详情 |
|
直抵黄龙府,与诸君痛饮尔。 18:17 2021年03月28日 查看详情 |
|
那时陪伴我的人啊,你们如今在何方。 16:28 2021年03月19日 查看详情 |
|
不出意外的话,我们再也不会见了,祝你前程似锦。 18:05 2021年03月17日 查看详情 |
| Contact |
|---|
Y2lvbkBjaGluYWNpb24uY24= |