SpringSecurity不允许匿名(anonymous)访问Post接口(403)

最新推荐文章于 2024-08-13 08:00:22 发布
最新推荐文章于 2024-08-13 08:00:22 发布
阅读量2.3k 收藏 7
点赞数 3
分类专栏: JAVA 文章标签: java Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secretdaixin/article/details/128955214
版权

问题背景:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。

解决方案:在SecurityConfig中关闭CSRF

httpSecurity.csrf().disable()

上述问题解决,但前端调用的时候新问题出现了。

问题背景:前端传递token调用匿名接口,报错403,不传递token可正常访问。

原因:anonymous允许匿名访问,传递token就不是匿名了,所以不能访问。

解决方案:将anonymous 改为permitAll。

最终配置:

附SpringSecurity可配置的权限类型,如下:

冰糖码奇朵
关注
专栏目录
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8080
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringSecurity 接口 403 forbidden
m0_48259394的博客
06-16 402
SpringSecurity 接口 403 forbidden
Spring Security 一直 403 Forbidden 无权限,访问被拒绝
zgy956645239的博客
08-31 5631
1、配置路径权限 //SpringSecurity配置信息 public void configure(HttpSecurity http) throws Exception { http //关闭跨站请求防护 .cors() .and() .csrf() .disable() //
springboot security安全管理报错403
最新发布
weixin_74009895的博客
08-13 575
springboot security安全管理报错403
Spring Security--自定义403处理方案
我和井盖都笑了博客
04-05 3203
    自定义 403 处理方案       使用 Spring Security 时经常会看见 403(无权限),默认情况下显示的效果如下:       而在实际项目中可能都是一个异步请求,显示上述效果对于用户 就不是特别友好了。Spring Se...
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6810
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
浅谈spring security 403机制
weixin_33965305的博客
06-01 751
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7291
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
解决Spring Security使用过程中出现的403问题
weixin_51743499的博客
01-19 2456
4.接口已经再Spring Security的配置中设置了authenticated(),即需要授权,但忘记把过滤器添加到Spring Security中,这种情况不好发现,无法debug。被设置为authenticated()时需要获取对应的token授权后才可访问相应的接口。这个问题需要debug逐行查找。
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2791
场景描述 可能在开发过程中设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app中就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security中默认对匿名访问的设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
Spring Security 6.x 系列【16】授权篇之访问控制
记录知识、锤炼自我
04-10 2620
在之前介绍了认证相关的功能,接下来几篇主要介绍另外一个重要功能,也就是授权。授权:也就是访问控制,验证用户是否有权限执行某个操作。对于系统某个功能来说,比如用户列表,有的用户只能进行查询,而有的用户可以查询,也可以进行修改。
SpringSecurity
weixin_45701868的博客
07-08 2090
SpringSecurity
SpringSecurity6 | 核心过滤器
热门推荐
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
spring security 实现匿名访问接口
zhaosheng的博客
04-23 9515
就如同静态资源一样,我们不希望请求时需要认证,而是直接返回结果。 接下来我使用自定义注解完成匿名访问(以@AnonymousGetMapping举例) 第一步:我们需要写一个匿名访问的注解@AnonymousGetMapping,其中我们需要此注解也注解上@AnonymousAccess,保证在后续过程中获取匿名访问的url。 @AnonymousAccess @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documente
SpringSecurity登录验证没有权限的问题(403
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 5316
解决使用Spring-Security框架发送请求出现403错误的问题
Spring Security登录接口总报403异常问题
qq_53324833的博客
06-01 1266
就是如果是新系统的话,一定要把旧SQL文件中的被加密的部分进行重新加密存储,反正我是这么解决的。
Spring Security 自定义异常处理403
qq_43904196的博客
07-18 2173
通过以上原因进行分析我们得知了具体403在Http403ForbiddenEntryPoint对response进行一个设置的,而Http403ForbiddenEntryPoint实现了AuthenticationEntryPoint接口,所以我们也可以自己定义一个实现AuthenticationEntryPoint接口的一个实现类如下图所示:重写接口中的commence方法即可。
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3669
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
springsecurity anonymous 方法
04-09
Java中,Spring Security是一个功能强大的安全框架,用于保护应用程序的安全性。它提供了一系列的安全特性和功能,其中之一就是anonymous匿名)方法。 在Spring Security中,anonymous方法允许未经身份验证的用户访问应用程序的某些资源或功能。这意味着用户可以在不提供任何身份验证信息的情况下访问这些资源。 要在Spring Security中使用anonymous方法,你需要在Spring Security配置文件中进行相应的配置。以下是一个示例配置: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .anonymous() .and() .formLogin() .and() .logout(); } } ``` 在上面的示例中,`.antMatchers("/public/**").permitAll()`表示允许未经身份验证的用户访问以"/public/"开头的URL路径。`.anyRequest().authenticated()`表示其他所有请求都需要进行身份验证。 通过使用`.anonymous()`方法,你可以配置Spring Security允许匿名访问的URL路径。在上面的示例中,我们允许未经身份验证的用户访问"/public/"路径下的资源。 需要注意的是,anonymous方法只是Spring Security提供的一种安全配置选项之一,你可以根据具体的需求和场景进行灵活配置。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值