如何让 Jhipster 为经过身份验证的用户和匿名用户返回不同的结果

Question

我使用 Jhispter 开发了一个搜索 API，如果用户通过身份验证，它会返回带有用户收藏夹的搜索结果（例如图片）。现在我想返回相同的结果，但没有匿名用户的用户收藏。当我在 SecurityConfiguration 中添加到 antMatchers 的路由时，API 变得不安全。虽然我仍在发送令牌，但安全上下文得到一个空值。我想我的问题是如何在发送令牌以获得个性化结果时允许匿名用户但仍然具有安全上下文。

public void configure(WebSecurity web) throws Exception {
    web.ignoring()
        .antMatchers(HttpMethod.OPTIONS, "/**")
        .antMatchers("/v2/api-docs")
        .antMatchers("/swagger-ui/index.html")
        .antMatchers("/api/b2c/register")
        .antMatchers("/api/b2c/activate")
        .antMatchers("/api/b2c/reset_password/init")
        .antMatchers("/api/b2c/reset_password/finish")
        .antMatchers("/api/contact-us")
        .antMatchers("/api/search/picture")
}

@Override
public void configure(HttpSecurity http) throws Exception {
    http
        .httpBasic().realmName("server")
        .and()
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
            .requestMatchers().antMatchers("/oauth/authorize")
        .and()
            .authorizeRequests()
            .antMatchers("/oauth/authorize").authenticated();
}

Answer 1

尝试从 web.ignoring() 中删除您的匹配器，并将其添加到 OAuth2ServerConfiguration 中具有 permitAll() 访问权限的匹配器

然后注册 OAuth2AuthenticationProcessingFilter 以应用于您的端点。

@Bean
public FilterRegistrationBean customFilterRegistration(OAuth2AuthenticationProcessingFilter oAuth2AuthenticationProcessingFilter) {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(oAuth2AuthenticationProcessingFilter);
    registration.addUrlPatterns("/api/search/picture");
    registration.setName("customFilter");
    registration.setOrder(3);
    return registration;
}

Answer 2

问题出在 OAuth2ServerConfiguration 类中的 antmatchers 的顺序上。

.antMatchers("/api/**").authenticated() 应该在具有 permitAll() 访问权限的 antmatchers 之后。