Spring Security自定义Filter后设置permitAll()不生效

最新推荐文章于 2024-10-22 21:30:04 发布
最新推荐文章于 2024-10-22 21:30:04 发布
阅读量2.5k 收藏 1
点赞数 3
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mynameiswhite/article/details/132213519
版权
开发者在增加接口时遇到500错误,jwt校验失败。文章揭示了`permitAll`设置不起作用的原因,指出需明确`http.authorizeRequests`控制的是权限验证,而非过滤器顺序,并强调自定义过滤器应独立于Spring管理。
摘要由CSDN通过智能技术生成

问题描述:
        在做一个需求时,增加了一个接口,但是访问时始终报错500,显示jwt校验不通过,debug定位问题是在通过一个自定义的过滤器时校验失败,该过滤器继承了UsernamePasswordAuthenticationFilter,由于该接口Authentication校验,因此想要设置自定义过滤器不对该path过滤,但是设置http.authorizeRequests().antMatchers().permitAll后一直不生效,过滤器链中始终有自定义过滤器,请求仍会走自定义过滤器,由于对SpringSecurity不熟悉因此花费了很多时间也没找到问题,直到看到一个解答才明白,在此记录一下:参考链接stackFlow

总结:

1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链

2.addFilterBefore(new MyFilter(), UsernamePasswordAuthenticationFilter.class)将自定义过滤器加入过滤器链中,这里应该注意MyFilter类不应该交给Spring管理,而是通过new出来交给Spring Security管理

 

河马先生戴红花
关注
spring boot spring security 自定义 filter FilterSecurityInterceptor 访问资源 静态资源 和 不需要权限访问都失效了
laokaizzz的专栏
09-06 1万+
问题:spring boot security 中, filters="none"  对应哪个? 自定义AbstractSecurityInterceptor后  静态资源也进入拦截器,登陆页面,permitall 也失效, 还是进入了filter 参考:http://blog.51cto.com/winters1224/2052034 调试源代码发现,采用默认的 FilterSecurit...
Spring Security被坑笔记(一)
qq_41157202的博客
07-18 327
方法权限控制 如果开启了prePostEnabled的权限控制,那么不可以在配置文件中配置如下代码 .anyRequest().authenticated() 如果加入了,那么@PreAuthorize("permitAll()")或者匿名权限都无效 解决方法: 开启其他的注解控制 比如 jsr250Enabled = true 配合@PermitAll即可解决 ...
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1221
SpringSecurity6 自定义认证过滤器无效
springsecurity放行请求不生效的问题
qq_46116922的博客
12-21 6651
1 springsecurity放行的时候注意路径写全,不然放行不生效 @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/login","/logout","/table-card/image/downl
spring security permitAll不生效
日光之下的博客
06-26 5993
0 环境 系统:win10 编辑器:IDEA 1 问题描述 1 部分代码 securityConfig http http // 拦截请求,创建了FilterSecurityInterceptor拦截器 .authorizeRequests() // 允许 // "/login", // "/logout",
.antMatchers(xx).permitAll()不生效原因
feng_xiaofeng的专栏
02-27 2790
.antMatchers().permitAll()不生效原因
Spring Security6 配置中 .requestMatchers permitAll()不生效,可能原因之一是/error路径没放行
最新发布
2201_75767488的博客
10-22 211
2,如果配置了登录接口,理论上访问/login就不会重定向到 /error了,死循环得以避免。这时候,仿佛即便不permitAll放行 /error,也是可以的。而,如果 /error没有放行,这里就会再次重定向到 /login,所以就会出现明明放行了 /register接口,但访问它时仍然跳转至 /login,搞得好像配置失效了一样。1,可以看到没有放行 /error,而当访问 /login接口时,报错信息是重定向次数过多:(原因很简单:用户被困在。3,总之,这把是 /error的锅。
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
热门推荐
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
Spring Security3边学边写(N)会话管理和并行控制
sb33060418的专栏
10-09 415
在开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢? Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。 本次实...
SpringBoot创建拦截器及创建自定义拦截器后跨域配置失效
weixin_48469176的博客
07-13 1339
SpringBoot创建拦截器及创建自定义拦截器后跨域配置失效
(五)Spring Security自定义过滤器
qq_40179479的博客
09-02 5809
Spring Security自定义一个的过滤器,将其添加到Spring Security过滤器链的合适位置。定义一个自己的过滤器类继承Filter接口即可。 但是在 Spring 体系中,推荐使用 OncePerRequestFilter来实现,它可以确保一次请求只会通过一次该过滤器(Filter实际上并不能保证这 一点)。 public class MySecurityFilter extends OncePerRequestFilter { @Override protec
10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 1022
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
Spring Security 自定义登录Session配置
CodingGoat
02-18 2059
有这样一个需求,一个账号只能在一个客户端浏览器上登录,如果同样的账号在别的客户端浏览器上登录的话,之前的登录需要被踢下去
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 617
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义的逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
spring-security 方法访问限制,权限控制
hi_你好
07-24 2074
这是篇关于spring-security的权限控制文章,涉及使用多种不同方式进行方法控制和页面控制。 方法控制:1.jsr-250;2.secured 3.spel表达式 页面控制:页面内容控制,可使用spel表达式
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
Sinder小德的博客
05-26 1335
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
解决自定义拦截器导致默认的拦截器不起作用的问题
苏苏爱自由
03-30 7201
在上篇文章中我们留下了这个问题。在这里我们一点一点的解决。问题一由于我们写了自己的拦截器,默认的拦截器不起作用了。解决办法一 把默认拦截器加入到配置文件中 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configurati
spring-security使用之后原来的功能失效
weixin_46455069的博客
08-13 430
1、其实就是没有关闭操作: · 在后面添加一个关闭处理就行了; @Override protected void configure(HttpSecurity http) throws Exception { /* super.configure(http);*/ http.authorizeRequests().antMatchers("/toLogin","/error/**", "/static/**","/mapper/*
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 1万+
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置permitAll,可能还会去走SpringBoot的过滤器链。
springsecurity自定义filter
03-16
Spring Security提供了许多内置的过滤器,但有时候我们需要自定义过滤器来满足特定的需求。自定义过滤器可以在请求到达控制器之前或之后执行一些操作,例如身份验证、授权、日志记录等。要自定义过滤器,我们需要实现Filter接口或继承AbstractAuthenticationProcessingFilter类,并将其添加到Spring Security过滤器链中。在自定义过滤器中,我们可以访问请求和响应对象,以及Spring Security上下文中的身份验证信息和授权信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值