春季启动安全性要求意外授权

Question

我正在使用 Spring Boot 进行身份验证项目。 我使用了spring starter security，但我面临的问题是我想允许所有人都可以访问某些页面。但是 spring 也要求在使用这些网页时进行身份验证。

我试过这段代码：

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .csrf().disable()
            .authorizeRequests().antMatchers("/","/signUp").permitAll().anyRequest().authenticated()
            .and()
            .httpBasic();
       }

我也使用了以下代码，但也没有按照我描述的预期方式工作并要求身份验证

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .csrf().disable()
            .authorizeRequests().antMatchers("/").permitAll()
            .and()
            .httpBasic();
     }

它应该允许在没有身份验证的情况下访问这些页面，但它要求进行身份验证。

Answer 1

试试.antMatchers(HttpMethod.Method,"/endpoint") 和/** 和configure(HttpSecurity http)

    @Override
    protected void configure(HttpSecurity http) throws Exception{

         http
         .csrf().disable()
         .authorizeRequests()
         .antMatchers("/**","/signUp").permitAll()
         .antMatchers(HttpMethod.POST,"/endpointPOST").permitAll()
         .antMatchers(HttpMethod.GET,"/endpointGET").permitAll()
         .anyRequest().authenticated();

    }

如果您想绕过某些端点的安全过滤器链，请使用configure(WebSecurity web)。

    @Override
    public void configure(WebSecurity web) throws Exception {
        web
          .ignoring()
            .antMatchers("/signUp", "**/endpoint/**");
    }

HttpSecurity vs WebSecurity