SpringBoot在使用Security和JWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401

这周在调试代码的过程中遇到了一个问题

我们用浏览器访问后端接口时采用域名+URI的方式

http://localhost:9090/back/user/find?page=1

当我们需要从后台获取图片或者其他静态资源的时候,我们应当怎么做

不妨先直接这样访问

http://localhost:9090/static/upload/A.jpg

当我们输入一下格式URL的时候,后端会误认为当前访问的是一个不存在的接口

可能会需要token验证,或者404(一般都是路径不对)报错找不到资源

为此我们需要解决两个问题：

1 怎么让框架知道，我访问的是资源文件，而不是接口

2 访问资源文件的时候，和访问接口一样，都会被过滤器或者拦截器拦截，使用了jwt安全验证，需要带上token请求头，但是我们访问的时，不想验证，因此需要放行。

对症下药

一、创建配置类

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;

///**没有生效的静态资源放行/
@Configuration
public class ResourceConfig implements WebMvcConfigurer {

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/**").addResourceLocations("classpath:/static/");
    }
}

看到了这里有两个需要配置的路径：

注意

 

这一步完成了，标志着这个文件夹下的所有文件是静态资源，可以作为网络资源进行访问。

但是还有一个问题：

我们的jwt此时依然生效，需要验证登录的token，为了方便，我们直接将这些资源免密放行。

二、匹配器放行

这是我的WebSecurityConfigure配置类。

@EnableGlobalMethodSecurity(prePostEnabled = true) //至关重要的注解，缺失会导致验证不起效
@EnableWebSecurity
public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    //过滤器
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    //入口
    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;
    //访问拒绝处理器
    @Autowired
    private RestfulAccessDeniedHandler restfulAccessDeniedHandler;


    // 参数: HttpSecurity http
    //**http.authorizeRequests()**
    // 下添加了多个匹配器，每个匹配器用来控制不同的URL接受不同的用户访问。
    // 简单讲，http.authorizeRequests()就是在进行请求的权限配置。
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //第二步:我们用我们自己的数据库数据来完成权限验证
        // 开启跨域和关闭csrf保护
        http.cors().and().csrf().disable()
                .sessionManagement()//允许配置会话管理
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)//Spring Security不会创建HttpSession，也不会使用它获取SecurityContext
                .and()
                .authorizeRequests()
                .antMatchers(
                        "/index",
                        "/login",
                        "/upload/**",
                        "/back/product/upload",//文件上传
                        "/front/**",//公司详情  +  页面导航
                        "/back/**/latest" //最新产品+新闻

                        ).permitAll()// 首页 和 登录页面 放行
                .antMatchers(HttpMethod.OPTIONS).permitAll()    //options 方法的请求放行
                .anyRequest().authenticated()               // 其它请求要认证
                .and()
                // 这一步，告诉Security 框架，我们要用自己的UserDetailsService实现类
                // 来传递UserDetails对象给框架，框架会把这些信息生成Authorization对象使用
                .userDetailsService(userDetailsService);

        // 过滤前,我们使用jwt进行过滤
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
//        http.authorizeRequests()
//                .antMatchers("/index").permitAll()//放行
//                .anyRequest().authenticated()
//                .and()
//                .formLogin()//访问security自带的login接口
//                .and()
//                // 这一步，告诉Security 框架，我们要用自己的UserDetailsService实现类
//                // 来传递UserDetails对象给框架，框架会把这些信息生成Authorization对象使用
//                .userDetailsService(userDetailsService);
        //添加自定义未授权和未登录结果返回
        http.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);

    }

实际应用中只需要在匹配器中添加：

便实现了静态资源放行。

 

当我们能通过浏览器拿到图片,意味着这个静态资源时暴露到本地网络上的，说明配置是成功的