控制器中的验证错误返回 401 而不是 400

Question

我的 rest 控制器中有一个 post 端点，无需身份验证/授权即可访问。它在 WebSecurityConfigurerAdapter 中配置如下：

@Override
public void configure(WebSecurity web) {
    web.ignoring().antMatchers("/api/v1/user");
}

端点具有输入数据的验证（由注释 javax.validation.Valid 提供）。当我发送无效数据时，我收到 401 响应而不是 400。这个问题在安全端点中不存在，默认的 spring boot 400 消息被发送。

在调试过程中，我发现在处理 MethodArgumentNotValidException（在控制器中发生验证错误时抛出）期间，WebExpressionVoter 被执行并返回值 -1，这意味着“拒绝访问”。如何配置我的应用程序以忽略公共端点的安全检查？

我知道使用 ControllerAdvice 进行异常处理是一种选择，但是否可以使用默认的 400 条消息？

提前感谢您的任何提示！

编辑：

Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  OAuth2AuthenticationProcessingFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

Answer 1

好的，我找到了解决方案。我不知道为什么，但是当发生异常时，这个 url 会有另一个 POST 请求：/error.当我将此网址添加到我的忽略列表中时，它开始工作。所以我的配置是这样的：

@Override
public void configure(WebSecurity web) {
    web.ignoring().antMatchers("/api/v1/user", "/error/**")
}

@Ken Chan 感谢您提供有关调试过滤器的信息！这很关键。

Answer 2

使用webSecurity.ignoring() 将导致对该URL 的请求完全绕过整个安全过滤器链。所以有趣的是WebExpressionVoter 仍然会为这些被忽略的 URL 启动。

所以，我猜测以下可能性：

• /api/v1/user 将被重定向到其他受保护的 URL。

• 您认为antMatchers("/api/v1/user") 将匹配/api/v1/user 下的所有URL，例如/api/v1/user/1。但是，它只匹配 /api/v1/user 。

要忽略 /api/v1/user 下的所有 URL，您应该使用：

 web.ignoring().antMatchers("/api/v1/user/**");