解决:spring-security,开放接口,允许不授权访问,仍然报403_v1.0.0

最新推荐文章于 2024-08-13 08:00:22 发布
最新推荐文章于 2024-08-13 08:00:22 发布
阅读量6.1k 收藏 3
点赞数 1
分类专栏: 技术栈-安全-接口安全 文章标签: spring-boot spring-security 注解鉴权 jwt鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc007cc009/article/details/108099493
版权
文件名称版本号作者qq版本
解决:spring-security,开放接口,允许不授权访问,仍然报403v1.0.0学生宫布8416837spring-boot 2.1.1
spring-security 5.1.2

文章目录

报错全称

请求接口:
在这里插入图片描述

403 不允许访问
在这里插入图片描述

代码

.antMatchers("/login", "/logout", "/captchaImage", "/bigData/xxx/xxx").anonymous() // 开放接口给用户app调用

其它配置也试过,不行

疑似产生的原因

资源被封闭

弯路、坑

使用不同客户端调用这个开放接口,仍然都报403

分析

/login可以成功调用,同样也是Post请求呀,为什么自定义的白名单路径就不行?
发现报403的开放接口加了注解(更细粒度的鉴权):@PreAuthorize("@ss.hasPermi('xxx:xxx:xxx')")
加了这个注解,即使开放了接口,仍然会进行鉴权;
加了这个注解,调用接口时,会切面进入PermissionService.java(这个类是自定义的,非spring-security源码)的hasPermi函数进行鉴权,因为是请求匿名登录,所以鉴权不会成功啦。

领悟

如果同等条件,有的行,有的不行,应马上地毯式比较二者代码有何区别,针对本问题,可以快速解决。

解决方案

1)去掉鉴权注解;

关于

若交流技术,请联系qq:8416837

学生宫布
关注
专栏目录
Could not transfer artifact org.springframework.boot:spring-boot-starter-parent解决方案
weixin_44466651的博客
08-08 2071
Could not transfer artifact org.springframework.boot:spring-boot-starter-parent解决方案编辑maven的setting.xml文件删除没有下载好jar包的依赖文件夹假如编译出错 编辑maven的setting.xml文件 首先将本地仓库设置好,我这里的本地仓库是 E:\Maven\repository 写进xml文件是 <localRepository>E:\Maven\repository</localR
castle-platform:Castle-Platform是一个以高性能,高扩展性为目标的java开发平台。它是spring-mvc,spring-data,spring-security,Querydsl,JPA,Redis,Mongodb,Neo4j,groovy-template ,Thymeleaf,ExtJS6,dubbo,thrift的最佳实践
02-22
本人承诺该项目完全开放,不会有任何的收费计划。 关于我,欢迎关注博客: 点击链接加入群【castle平台交流】: ://jq.qq.com/?_wv=1027&k= Castle Platform的目标是打造一个高级,高扩展性的java开发平台,完成...
Spring Security API(Spring Security 开发文档).CHM
08-31
Spring Security。 官网 Spring Security API(Spring Security 开发文档).CHM
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2389
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
springboot security安全管理403
最新发布
weixin_74009895的博客
08-13 478
springboot security安全管理403
SpringBoot 整合 Spring Security 登录成功 访问其他接口 403
qq_37892558的博客
02-24 1060
【代码】SpringBoot 整合 Spring Security 登录成功 访问其他接口 403
SpringSecurity 验证 403 问题
zhangaob的博客
03-24 1241
原因:“UserDetails”类中的“isEnabled”在文档中说“指示用户是被启用还是被禁用。找到实现 UserDetails类的类,我这叫LoginUser。debug,每次认证的时候总是 这里结束。下面所有返回值是布尔值的方法,
SpringSecurity登录遇到的空指针和403问题以及swagger3放行
jixu8的博客
09-19 847
SpringSecurity登录遇到的空指针和403问题
acegi-security-tiger-1.0.0-RC2.jar.zip
07-17
Acegi Security是一个已退役的安全框架,它为Java平台上的Spring框架提供了全面的身份验证和授权服务。这个"acegi-security-tiger-1.0.0-RC2.jar.zip"压缩包包含的是Acegi Security的一个早期版本——1.0.0 Release ...
spring-boot-1.0.0.RELEASE.tar.gz
04-21
6. **Spring Security**:安全模块为应用提供了一层保护,包括身份验证、授权等功能,且易于集成和定制。 7. **YAML/Properties**:Spring Boot 支持 YAML 和 Properties 文件进行配置,YAML 提供了更易读的格式,...
spring-security-oauth2-1.0.0.RC3
01-05
在Java开发领域,Spring Security OAuth2是一个不可或缺的组件,它为Web应用程序提供了强大的授权和安全框架。本文将深入探讨Spring Security OAuth2的1.0.0.RC3版本,包括它的核心概念、功能以及如何在项目中应用。...
webapi-security:web API开放接口设计解决方案
07-24
开放接口设计-解决方案 安全设计(防窃取,防篡改,防泄漏) Java和JavaScrip互通验签及加解密(SM3, AES, 3DES) 多版本管理支持 一. 简单验签加密组件 1. 介绍说明 * BASE64 严格地说,属于编码格式,而非加密算法;双向加密(可解密) 使用场景:任意序列的8位字节描述为一种不易被人直接识别的形式如:空格等,转化成任何国际语言都能识别的64个可见字符 * MD5(Message Digest algorithm 5,信息摘要算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * SHA(Secure Hash Algorithm,安全散列算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * HMAC(Hash Message Authentication Code,散列消息鉴别码)单向加密;
Spring Security 一直 403 Forbidden 无权限访问被拒绝
zgy956645239的博客
08-31 5602
1、配置路径权限 //SpringSecurity配置信息 public void configure(HttpSecurity http) throws Exception { http //关闭跨站请求防护 .cors() .and() .csrf() .disable() //
Spring Security 403统一返回,(匿名或已认证)的用户访问权限资源时的403异常
yuguang的博客
10-14 4136
1、匿名用户访问某个接口时 /** * @author yuguang * @date 2020/10/14 13:08 * @desc 403 forbidden处理 * 用来解决匿名用户访问权限资源时的异常 */ @Component class MyAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletReq...
SpringSecurity 登录接口
zhangaob的博客
04-30 1109
调用loadUserByUsername方法查询用户,InMemoryUserDetailManager是在内存里查找,我们自己实现UserDetailsService的实现类UserDetailsServiceImpl,从数据库里查。再回到BlogLoginServicelmpl中如果认证通过生成jwt,把用户信息存入redis中。一个是登录时候的认证,一个是其他链接要校验携带的token是否正确。一个是登陆认证,一个是校验(判断token是否正确)认证授权失败处理(自定义异常处理)
Spring Security 接口详解 (三)
给自己一个smile
03-26 1615
目录 一、概述 二、UserDetailsService详解 三、PasswordEncoder 密码解析器详解 Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解 (二) 3. Spring Security 一些接口详解 (三) 4. Spring Security 工作原理 (四) 一、概述 通过前面几篇文章大概了解和学习Spring Security,看原理相关文章确实.
Spring Security的权限配置不生效问题
g_soledad的博客
01-19 9047
在集成Spring Security做接口权限配置时,在给用户配置的权限后,还是一直显示“无权限”或者"权限不足"。 1、错误的例子: 接口 @RequestMapping("/admin") @ResponseBody @PreAuthorize("hasRole('ROLE_ADMIN')") public String printAdmin() { r...
集成SpringSecurity默认登录效果并解决Forbidden 403问题
努力分享一些干货内容,纯干货,没有一点水
03-10 1268
集成SpringSecurity默认登录,项目里面任何的请求都会先通过security在访问系统的接口
4.Spring Security重要接口
卷土的博客
05-04 436
当什么都没有配置的时候,账号和密码是由spring security定义生成的。在实际项目中账号和密码都是从数据库中查询出来的。所以要通过自定义逻辑控制认证逻辑。
Spring-Security深度解析:企业级安全控制与应用教程
Spring-Security是一个强大的安全框架,专为基于Spring的企业应用系统提供声明式安全访问控制。它由Spring项目组的AcegiSecurity发展而来,旨在简化并整合J2EE企业应用的安全服务,特别是在采用Spring作为基础架构的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值