使用 Spring Security Java 配置时禁用基本身份验证

【问题标题】:Disable Basic Authentication while using Spring Security Java configuration使用 Spring Security Java 配置时禁用基本身份验证
【发布时间】:2014-10-27 15:37:47
【问题描述】:

我正在尝试使用 Spring Security java 配置来保护 Web 应用程序。

这是配置的样子:-

@Configuration
@EnableWebMvcSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private String googleClientSecret;

    @Autowired
    private CustomUserService customUserService;

    /*
     * (non-Javadoc)
     * 
     * @see org.springframework.security.config.annotation.web.configuration.
     * WebSecurityConfigurerAdapter
     * #configure(org.springframework.security.config
     * .annotation.web.builders.HttpSecurity)
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // @formatter:off
        http
            .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/","/static/**", "/resources/**","/resources/public/**").permitAll()
                .anyRequest().authenticated()
            .and()
                .formLogin()
                    .and()
                .httpBasic().disable()
            .requiresChannel().anyRequest().requiresSecure();
        // @formatter:on
        super.configure(http);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth)
            throws Exception {
        // @formatter:off
        auth
            .eraseCredentials(true)
            .userDetailsService(customUserService);
        // @formatter:on
        super.configure(auth);
    }
}

请注意,我已使用以下命令明确禁用 HTTP Basic 身份验证:-

.httpBasic().disable()

在访问安全 URL 时,我仍然收到 HTTP Authenticaton 提示框。为什么?

请帮我解决这个问题。 我只想呈现捆绑的默认登录表单。

Spring Boot Starter 版本:1.1.5 Spring 安全版本:3.2.5

谢谢

【问题讨论】:

  • security.basic.enabled=false 添加到您的application.properties。此外,您不应该从覆盖的方法中调用 super.configure
  • @M.Deinum 修复了它。但是为什么我在 java config 中明确禁用时它没有被禁用?
  • 您可以有多个WebSecurityConfigurer,每个配置对整体配置都有贡献。很可能您的网站的其余部分受到基本身份验证和带有表单的普通网站的保护。您可以创建 2 个WebSecurityConfigurer 一个用于休息,一个用于形式。您可能还想查看docs.spring.io/spring-boot/docs/current/reference/html/…(Spring Boot 参考,安全部分)。
  • @M.Deinum 你不需要在 *Configurer 类中调用原始实现,它们只是用一个空的主体实现接口的所有方法,所以你可以覆盖你想要的使用。
  • 我遇到了类似的问题,security.basic.enabled=false 不再可用。任何其他解决方案。 @M.Deinum

标签: spring-security spring-boot spring-java-config


【解决方案1】:

首先,调用super.configure(http); 将覆盖您之前的整个配置。

试试这个:

http
    .authorizeRequests()
        .anyRequest().authenticated()
        .and()
    .formLogin()
        .and()
    .httpBasic().disable();

【讨论】:

  • 小修正..应该是.httpBasic().disable()。
  • 我很抱歉,但我是 java 新手,我们使用的是带角度前端和 java 后端的 jhipster。我在哪里插入此代码?这是在网关吗?还是微服务?应该寻找什么文件?谢谢 -
  • @GelSisaed 这可能完全是一个单独的问题。通常,这取决于您在哪里进行身份验证,但是对于 jhipster,在网关中进行身份验证是非常典型的,所以这就是我要开始的地方。发布您自己的问题(带有 jhipster 标签)也不错,例如“如何在 JHipster 中禁用 HTTP Basic?”
【解决方案2】:

如果您使用 Spring Boot,documentation 声明:

在 Web 中完全关闭引导默认配置 应用程序,您可以使用 @EnableWebSecurity 添加一个 bean

因此,如果您想完全自定义自己,这可能是一种选择。

只是为了说清楚......您只需将@EnableWebSecurity 注解放在您的主应用程序类或应用程序配置类上。

【讨论】:

  • 这对我不起作用(我将 @EnableWebSecurity 放在我的主 Spring Boot 类上并扩展了 WebSecurityConfigurerAdapter)。 “使用@EnableWebSecurity 添加一个bean”实际上意味着什么?
【解决方案3】:

您可以通过 HttpSecurity 实例禁用 formLogin,如下所示:

http.authorizeRequests().antMatchers("/public/**").permitAll()
        .antMatchers("/api/**").hasRole("USER")
        .anyRequest().authenticated() 
        .and().formLogin().disable();

这将导致在尝试访问任何安全资源时收到 403 Http 错误

【讨论】:

    【解决方案4】:

    匿名选项对我有用。我的代码喜欢

      http.csrf().disable().headers().frameOptions().sameOrigin().and().
   authorizeRequests().anyRequest().anonymous().and().httpBasic().disable();

    【讨论】:

      【解决方案5】:

      适合 Spring Boot 或使用 OAuth 的人

      @Profile("test")
@EnableWebSecurity
static class BasicWebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable().authorizeRequests().anyRequest().anonymous().and().httpBasic().disable();
    }
}

      如果您使用@EnableOAuth2Client 或@EnableResourceServer,则在测试配置文件中切换到基本身份验证,然后将其禁用。在 Spring Boot 中,要在 Web 应用程序中完全关闭 Spring Security 默认配置,您需要添加一个带有 @EnableWebSecurity 的 bean

      【讨论】:

        【解决方案6】:

        以下内容对我有用:

                    http
                .authorizeRequests()
                .anyRequest().permitAll();

        【讨论】:

        • 这不会禁用基本安全,它只会忽略所有请求的安全检查。
        猜你喜欢
        • 2013-02-11
        • 2019-02-19
        • 2011-02-11
        • 2016-03-20
        • 1970-01-01
        • 2012-06-05
        • 2016-04-30
        • 2020-06-05
        • 2015-10-07
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode