版本
<spring-boot.version>3.0.2</spring-boot.version>
<jjwt.version>0.12.5</jjwt.version>
问题描述
题主在写 SpringSecurity6 + JWT 做登录认证开发。一路跟着教程叭叭的敲。等到接口验证的时候,发现我的登录接口虽然在SecurityConfig中配置了免验证,但是访问登录接口的时候还是被拦截了。
这里先直接点题说明题主出错的原因:
因为我配置的URL是全路径的,也就是携带着server.servlet.context-path的配置内容的,类似这样/bees/API/login/wechat,其中/bees就是我配置的context-path。
我出问题的时候已经在网上找了很多解决方式。但是都没有解决我的问题。
当我在访问我的login接口的时候,系统依然进入了我的自定义验证过滤器中。
后面在通义千问中,AI给出的建议,配置Security的日志输出级别到DEBUG这样能有效地排查问题。
logging.level.org.springframework.security=DEBUG
这样将SpringSecurity的log级别调到DEBUG,在启动服务的时候发现了两行有用的日志
这是在遇到问题,根据各种文章修改完依然没能解决问题之后的唯一一点曙光。
解决:去掉/bees之后,再次请求登录接口,就不会再过我们自定义的认证拦截器了。
这就是题主的遇到的问题症结所在。
总结
三点。
- 检查你自定义的认证拦截器是不是交给Spring管理了(如果是可能会有问题)。
- 检查你的SecurityConfig配置类中是否有配置
WebSecurityCustomizer这个Bean(没有需要加上)。 - 最后检查你需要免验证的URL是否跟我一样加了
context-path(或者使用了通配符,题主试过通配符但是不太行,可能是我使用方式有问题)。
最后贴一个比较完整的代码片段
包括 SecurityConfig JwtAuthenticationFilter JwtTokenUtil
代码片段如下:
SecurityConfig
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Autowired
private JwtTokenUtil jwtTokenUtil;
@Autowired
private UserServiceImpl userService;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
//关闭csrf和frameOptions,如果不关闭会影响前端请求接口
http.csrf(AbstractHttpConfigurer::disable).headers(headers -> headers.frameOptions(HeadersConfigurer.FrameOptionsConfig::disable));
//开启跨域以便前端调用接口
http.cors();
//这里是配置的关键,决定哪些接口开启防护,哪些接口绕过防护
// 配置访问控制规则
http.authorizeHttpRequests(request ->
// 指定特定接口无需验证即可访问,如微信登录
request.requestMatchers(HttpMethod.POST, "/API/login/wechat").permitAll()
// 其他所有以 "/bees/" 开头的接口需要认证才能访问
.requestMatchers("/bees/**").authenticated()
);
//禁用session
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
//将我们自定义的认证过滤器替换掉默认的认证过滤器,指定将自定义的Filter添加到某个指定的Filter之前或者之后
http.addFilterBefore
最低0.47元/天 解锁文章
扫一扫
5873
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
