事情的起因是这样,有小伙伴在微信上问了松哥一个问题:
就是他使用 Spring Security 做用户登录,等成功后,结果无法获取到登录用户信息,松哥之前写过相关的文章(奇怪,Spring Security 登录成功后总是获取不到登录用户信息?),但是他似乎没有看懂。考虑到这是一个非常常见的问题,因此我想今天换个角度再来和大伙聊一聊这个话题。
Spring Security 中,到底该怎么样给资源额外放行?
1.两种思路
在 Spring Security 中,有一个资源,如果你希望用户不用登录就能访问,那么一般来说,你有两种配置策略:
第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样:
@Overridepublic void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/css/**", "/js/**", "/index.html", "/img/**", "/fonts/**", "/favicon.ico", "/verifyCode");}
第二种方式是在 configure(HttpSecurity http) 方法中进行配置:
http.authorizeRequests() .antMatchers("/hello").permitAll() .anyRequest().authenticated()
两种方式最大的区别在于,第一种方式是不走 Spring Security 过滤器链,而第二种方式走 Spring Security 过滤器链,在过滤器链中,给请求放行。
在我们使用 Sprin