首頁猿問創(chuàng)建一個(gè) URI...

創(chuàng)建一個(gè) URI 模式匹配器以允許/禁止解碼 JWT

Java

犯罪嫌疑人X 2022-12-28 14:17:23

我是 Spring Boot 和 Spring Security 的新手，我正在構(gòu)建一個(gè) RESTful API 服務(wù)，以允許用戶在應(yīng)用程序上注冊(cè)、登錄和執(zhí)行其他操作。我正在使用 JWT 進(jìn)行聲明驗(yàn)證，每次我的用戶使用除登錄和注冊(cè)以外的 API 時(shí)，我都會(huì)傳遞令牌。因此，我將允許在不傳遞 JWT 的情況下訪問這些 API，但對(duì)于其余部分，如果未傳遞 JWT，我想直接拒絕該請(qǐng)求。我只有一個(gè)控制器，它是 UserController，它映射到路徑/api/user。它將為以下 API 提供服務(wù) -/sign-up. 這是一個(gè) POST 方法。我希望它允許訪問它而不需要傳遞 JWT。/verify/{verificationCode}這是一個(gè) GET 方法。我希望允許它訪問它而不需要傳遞 JWT。/set-password/這是一個(gè) POST 方法，將返回一個(gè) JWT。/set-profile. 這是一個(gè) PUT 方法，將使用 JWT。我嘗試了一些使用 antMatchers 配置 WebSecurity 和 HttpSecurity 的示例，我還配置了一個(gè) GenericFilterBean。我不知道正確的方法和幫助將不勝感激。我正在使用 Spring 的 2.1.3.RELEASE 版本。

查看完整描述

2 回答

qq_遁去的一_1

TA貢獻(xiàn)1725條經(jīng)驗(yàn) 獲得超8個(gè)贊

您可以通過配置來配置每個(gè) URL 的安全性 HttpSecurity：

@EnableWebSecurity

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

//Ignore other configuration stuff for simplicity

http.authorizeRequests()

.antMatchers("/sign-up" ,"/verify/**" ).permitAll()

.anyRequest().authenticated()

}

然后對(duì) URL 的所有請(qǐng)求除外/sign-up并且/verify/**需要身份驗(yàn)證（在您的情況下這意味著 JWT）。

如果你想進(jìn)一步控制，你甚至可以執(zhí)行以下操作/sign-up，并且/verify/**只能在沒有身份驗(yàn)證的情況下訪問正確的 HTTP 方法：

http.authorizeRequests()

.antMatchers(HttpMethod.POST, "/sign-up").permitAll()

.antMatchers(HttpMethod.GET, "/verify/**").permitAll()

.anyRequest().authenticated()

反對(duì) 回復(fù) 2022-12-28

守著星空守著你

TA貢獻(xiàn)1799條經(jīng)驗(yàn) 獲得超8個(gè)贊

您可以使用以下配置實(shí)現(xiàn)您的要求。這是使用不需要身份驗(yàn)證/授權(quán)的 URL 的好方法WebSecurity using ignoring instead of HttpSecurity as WebScurity will bypass the Spring Security Filter Chain and reduce the execution time

@Override

public void configure(WebSecurity web) throws Exception {

web

.ignoring()

.antMatchers("/sign-up")

.antMatchers("/verify/**");

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.antMatchers("/set-password/").hasRole("yourROLE")

.antMatchers("/set-profile").hasRole("yourROLE")

.anyRequest().authenticated();

}

當(dāng)您使用HttpSecurity并嘗試permitAll()請(qǐng)求時(shí)。您的請(qǐng)求將被允許從 Spring Security 過濾器鏈訪問。這是昂貴的，因?yàn)闀?huì)有其他請(qǐng)求也將進(jìn)入此過濾器鏈，需要根據(jù)身份驗(yàn)證/授權(quán)允許或不允許

但是當(dāng)你使用時(shí)WebSecurity，任何請(qǐng)求都sign-up or verify將完全繞過 Spring Security Filter Chain。這是安全的，因?yàn)槟恍枰魏紊矸蒡?yàn)證/授權(quán)就可以查看圖像或讀取 javascript 文件。

反對(duì) 回復(fù) 2022-12-28