Spring Security6 配置中 .requestMatchers permitAll()不生效,可能原因之一是/error路径没放行

最新推荐文章于 2025-01-10 15:44:01 发布
最新推荐文章于 2025-01-10 15:44:01 发布
阅读量835 收藏 2
点赞数 5
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75767488/article/details/143141580
版权

前言:这是一个崭新的项目,只有spring security、web服务器依赖。

简述:在spring security配置类中放行(即permitAll)了某url,但若其没有写控制器接口(在这里以/register为例),则访问其时会自动发get请求到/error地址(问就是spring security容器干的)。而,如果 /error没有放行,这里就会再次重定向到 /login,所以就会出现明明放行了 /register接口,但访问它时仍然跳转至 /login,搞得好像配置失效了一样。以下是一些简单相关知识点和梳理路径:

1,先看看我的配置代码:
 

@Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .formLogin(
                        form -> form.loginPage("/login")
                )
                .authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/login").permitAll()
                        .anyRequest().authenticated())
        ;

        return http.build();
    }

1,可以看到没有放行 /error,而当访问 /login接口时,报错信息是重定向次数过多:(原因很简单:用户被困在 /login 和 /error 之间的重定向循环中。login放行,但error不放行;login因为没有编写表单,自动重定向到/error;/error没有放行所以重定向到/login——死循环)

2,如果配置了登录接口,理论上访问/login就不会重定向到 /error了,死循环得以避免。这时候,仿佛即便不permitAll放行 /error,也是可以的。但是当我访问一个未编写接口(意即:会出错)的地址时(如 /register),因为会跳转到 /error ,而 /error没有被放行,所以又会自动跳转至 /login:

3,总之,这把是 /error的锅。放行!

Schwazer
关注
springsecurity6配置
程序猿的傻白甜
11-24 1141
springsecurity6配置自定义登录验证方式
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
Sinder小德的博客
05-26 2255
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径
为什么permitAll()不起作用,并要求在请求中提供认证对象?
小汤圆
08-17 2626
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new StandardPasswordEnc
spring-security 方法访问限制,权限控制
hi_你好
07-24 2140
这是篇关于spring-security的权限控制文章,涉及使用多种不同方式进行方法控制和页面控制。 方法控制:1.jsr-250;2.secured 3.spel表达式 页面控制:页面内容控制,可使用spel表达式
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1852
SpringSecurity6 自定义认证过滤器无效
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 3018
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链。
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll可能还会去走SpringBoot的过滤器链。
spring security permitAll不生效
日光之下的博客
06-26 6113
0 环境 系统:win10 编辑器:IDEA 1 问题描述 1 部分代码 securityConfig http http // 拦截请求,创建了FilterSecurityInterceptor拦截器 .authorizeRequests() // 允许 // "/login", // "/logout",
spring SecurityrequestMatchers方法
小汤圆
08-12 8998
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由;如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”);如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要进行权限认证
Springboot 实践(6spring security配置与运用
qq_37647812的博客
08-16 447
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 1、项目pom.xml文件引入spring security jar包 2、application.yml配置权限参数 3、替换spring security默认授权页面
security放行 spirng_Spring security放行post接口失败,CsrfFilter又给拦截了
weixin_33737167的博客
12-29 2831
image403错误都是资源权限的问题,从上述图看到/v3/**所有请求都Ok,所有的get请求也都ok,而不带v3的post请求报出403错误在SpringBoot+springSecurity+Thymeleaf中springSecurity设置拦截规则,他将会对所有http请求以及所有静态资源进行拦截,但是很多时候一些静态资源以及http请求我们并不希望他进行拦截,这时候可以在webSecu...
SpringSecurity使用
qq_71379541的博客
08-14 887
yml中设置spring:security:user:或者在WebSecurityConfig中配置@Autowired@Bean//如果不想加密就返回@Bean//使用内存数据进行认证//创建4个用户1.创建登录页面login.html2.在Controller中添加登录页面的访问路径3.在WebSecurityConfig中配置
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3805
SpringSecurity 中的请求路径匹配接口 RequestMatcher
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 3249
spring6体验
spring secuity拦截匹配URL权限(RequestMatcher接口详解)
HD243608836的博客
08-06 1万+
原文格式清晰,转载自:https://www.jianshu.com/p/4f9ee6007213 我们知道spring secuity是控制URL的访问权限的,那么spring secuity是怎样拦截匹配URL,我们先看一个接口RequestMatcher 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是tru...
深入解析 Spring Security 配置中的 CSRF 启用与 `requestMatchers` 报错问题
最新发布
summermermercha的博客
01-10 1016
Spring Security 的升级过程中,API 的调整往往会带来一些配置上的困惑。尤其是在 Spring Security 6.x 中,方法的变更使得原有配置可能会报错。Spring Security 默认启用了 CSRF,无需显式调用enable()方法。方法在 Spring Security 6.x 中签名发生变化,需根据新版的 API 规范进行调整。在升级到 Spring Security 6.x 前,建议先了解主要 API 的变化,并对现有代码进行兼容性调整。
.antMatchers(xx).permitAll()不生效原因
feng_xiaofeng的专栏
02-27 3362
.antMatchers().permitAll()不生效原因
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
Spring Security6自定义放行不生效踩坑笔记
01-07
根据提供的引用内容,以下是关于Spring Security 6自定义放行不生效的踩坑笔记: 1. 确保@EnableWebSecurity注解正确配置Spring Security 6中,使用@EnableWebSecurity注解来启用Web安全功能。确保该注解正确配置在你的配置类上,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 配置安全规则和其他相关配置 } ``` 2. 配置路径放行Spring Security中,可以通过配置路径放行特定的URL。根据引用中的内容,你可以通过以下方式禁用Thymeleaf缓存,使得修改立即生效: ```yaml spring: thymeleaf: cache: false ``` 3. 检查自定义放行规则 如果自定义的放行规则不生效可能是由于配置错误或者优先级问题导致的。请确保你的自定义放行规则正确配置在configure(HttpSecurity http)方法中,并且放行规则的顺序正确。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 自定义放行规则 .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值