个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我有一个 java web Spring Boot 应用程序,带有一些自定义 Spring Sceurity 配置。当我运行我的应用程序时,图像正在执行 AuthenticationProvider,这导致我出现异常(因为我在用户首次登录时进行了一些更新)。
如何防止 AuthenticationProvider 在访问图像时运行?
我的配置如下:
@Order(1)
@Configuration
@EnableWebSecurity
public class BaseSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private AuthenticationEntryPoint restUnauthorizedEntryPoint;
@Autowired
private AccessDeniedHandler restAccessDeniedHandler;
@Override
public void configure(WebSecurity web) throws Exception {
LOG.info("Ignoring resources in Spring Security");
web.ignoring()
.antMatchers("/images/*")
.antMatchers("/app/errors/*.html");
}
@Override
public void configure(HttpSecurity http) throws SecurityConfigException {
try {
http
.antMatcher("/api/**")
.authorizeRequests()
.accessDecisionManager(accessDecisionManager())
.antMatchers("/api/users/**").hasAnyRole("ADMIN")
.anyRequest().authenticated()
.and()
.exceptionHandling()
.authenticationEntryPoint(restUnauthorizedEntryPoint)
.accessDeniedHandler(restAccessDeniedHandler)
.and()
.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class)
.csrf().csrfTokenRepository(csrfTokenRepository())
.and()
.headers().frameOptions().sameOrigin()
.and();
} catch (Exception ex) {
throw new SecurityConfigException(ex);
}
}
@Bean
public AffirmativeBased accessDecisionManager() {
List<AccessDecisionVoter<? extends Object>> decisionVoters = new ArrayList<>();
decisionVoters.add(new WebExpressionVoter());
decisionVoters.add(new RoleHierarchyVoter(roleHierarchy()));
return new AffirmativeBased(decisionVoters);
}
/**
* Create the role hierarchy as an implementation of Spring Security {@link RoleHierarchyVoter} where the Spring
* roles are created from a combination of {@link Module}_{@link Role}. The AccessDecisionVoter provided with Spring
* Security expects the role names to begin with the prefix 'ROLE_'. The hierarchy is as follows:
* <p/>
* {@code ROLE_COMMON_ADMIN > ROLE_COMMON_USER_ADMIN } and {@code ROLE_COMMON_ADMIN > ROLE_CUSTOM_USER}
*/
@Bean
public RoleHierarchyImpl roleHierarchy() {
StringBuilder h = new StringBuilder();
// Common tree, root is COMMON_ADMIN
appendIncludesRule(h, Module.COMMON, Role.ADMIN, Module.COMMON, Role.USER_ADMIN);
// Custom tree, root is COMMON_ADMIN
appendIncludesRule(h, Module.COMMON, Role.ADMIN, Module.CUSTOM, Role.USER);
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
roleHierarchy.setHierarchy(h.toString());
return roleHierarchy;
}
private void appendIncludesRule(StringBuilder h, Module lModule, Role lRole, Module rModule, Role rRole) {
h.append(GrantedAuthorityFactory.ROLE_PREFIX).append(lModule).append('_').append(lRole).append('>');
h.append(GrantedAuthorityFactory.ROLE_PREFIX).append(rModule).append('_').append(rRole).append(' ');
}
/**
* Creates a replacement CsrfTokenRepository for use by Spring CSRF protection. It looks for a header called
* X-XSRF-TOKEN, which AngularJS sets by default. AngularJS obtains this from the XSRF-TOKEN cookie (set in
* CsrfHeaderFilter).
*
* @return CsrfTokenRepository
*/
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName(CSRF_HEADER_NAME);
return repository;
}
}
第二个配置类:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Profile({ "prod" })
public class UidSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserAccountService userAccountService;
@Override
public void configure(WebSecurity web) throws Exception {
LOG.info("Ignoring resources in Spring Security");
web.ignoring()
.antMatchers("/images/*")
.antMatchers("/app/errors/*.html");
}
@Override
public void configure(AuthenticationManagerBuilder auth) {
LOG.info("AuthenticationManagerBuilder: PreAuthenticatedAuthenticationProvider configured");
auth.authenticationProvider(preauthAuthProvider());
}
@Override
public void configure(HttpSecurity http) throws SecurityConfigException {
try {
http.addFilterBefore(ssoFilter(), RequestHeaderAuthenticationFilter.class);
http.headers().cacheControl().disable();
} catch (SecurityConfigException ex) {
LOG.error("SecurityConfigException:", ex);
throw ex;
} catch (Exception ex) {
LOG.error("SecurityConfigException:", ex);
throw new SecurityConfigException(ex);
}
}
@Bean
public PreAuthenticatedAuthenticationProvider preauthAuthProvider() {
PreAuthenticatedAuthenticationProvider preauthAuthProvider = new PreAuthenticatedAuthenticationProvider();
preauthAuthProvider.setPreAuthenticatedUserDetailsService(userDetailsServiceWrapper());
return preauthAuthProvider;
}
@Bean
public UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken> userDetailsServiceWrapper() {
UserDetailsByNameServiceWrapper<PreAuthenticatedAuthenticationToken> wrapper = new UserDetailsByNameServiceWrapper<>();
wrapper.setUserDetailsService(userAccountService);
return wrapper;
}
@Bean
public SsoHeaderFilter ssoFilter() throws SecurityConfigException {
SsoHeaderFilter filter = new SsoHeaderFilter();
try {
filter.setAuthenticationManager(authenticationManager());
} catch (Exception ex) {
LOG.error("SsoHeaderFilter Excpetion:", ex);
throw new SecurityConfigException(ex);
}
return filter;
}
}
我真的不明白为什么即使在我将 Spring 配置为忽略所有/images/* 模式之后,AuthenticationProvider 仍会对图像执行。
如果我按 F5 主屏幕,我不会遇到异常(因为更新是在用户第一次访问应用程序时进行的),但身份验证提供程序似乎仍在运行。
编辑
图片路径:images/mylogo.png
最佳答案
我认为你的 antMatchers 可能有点不对劲。
尝试 /images/** 而不是 /images/*,对于静态页面尝试 /app/**/*.html
这是 JHipster 的示例。 CSS 和图像位于内容目录下:
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring()
.antMatchers(HttpMethod.OPTIONS, "/**")
.antMatchers("/app/**/*.{js,html}")
.antMatchers("/bower_components/**")
.antMatchers("/i18n/**")
.antMatchers("/content/**")
.antMatchers("/swagger-ui/index.html")
.antMatchers("/test/**");
}
关于java - 如何防止Spring AuthenticationProvider对静态或图像资源执行?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42814306/
26
4
0
有人告诉我,如果我只有一个“东西”,比如家(不是多个家),我应该在 routes.rb 中使用资源 :home,而不是资源 :home。但是当我查看路由时,POST 函数似乎想要 home#creat
Activity 开始。这些代码框架顺利通过。 // Initialize array adapters. One for already paired devices and //
资源 search-hadoop.com search-hadoop.com索引所有邮件列表,非常适合历史搜索。当你遇到问题时首先在这里搜索,因为很可能有人已经遇到了你的问题。 邮件列表 在A
我是 WPF 的新手,正在努力使用位于单独程序集中的样式。这就是我正在做的:- 我有一个带有\Themes 文件夹的类库项目,其中包含一个“generic.xaml”,它合并了\Themes 内的子文
我正在编写一个使用虚拟树状文件结构的插件。基本上它就像一个包含文件的标准文件系统,区别在于这些文件实际上并不存在于文件系统中的特定位置,而只是 java 对象。 这些当前由使用 SettingProv
如果我在 XAML 中使用以下内容,我会收到错误消息: 错
我正在使用 laravel 资源来获取 api 的数据: return [ 'id' => $this->id, 'unread' =>
我有以下 pom.xml: 4.0.0 mycompany resource-fail 0.0.1-SNAPSHOT BazBat
许多GDI +类都实现IDisposable,但是我不确定何时应该调用Dispose。对于使用new或静态方法(例如Graphics.CreateGraphics)创建的实例来说,这很明显。但是,由属
我正在构建一组 RESTful 资源,其工作方式如下:(我将使用“people”作为示例): 获取/people/{key} - 返回一个人对象 (JSON) GET/people?first_nam
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
我有一个使用 $resource 的简单 Controller : var Regions = $resource('mocks/regions.json'); $scope.regions =
在 Azure 门户中,如何查看不同资源之间的依赖关系。我特别想查看哪些资源正在使用我要删除的存储。 最佳答案 您可以使用应用程序洞察应用程序 map 来执行此操作: 您还可以打开存储帐户的日志记录:
我正在使用 ionic 生成资源(图标和启动画面)。我正在使用 ionic v2.1.0 和 cordova v6.4.0。 到目前为止我一直在使用(它在以前的版本中工作): cordova plat
是否可以使用 Assets 包含子文件夹中的文件? 示例:[base_url]/assets/css/pepper-grinder/jquery-ui-1.8.11.custom.min.css 最佳
我正在阅读一些尝试教授 Android 开发的书。在书中,作者概述了 res/下的一些目录。他提到 res/menu 包含基于 XML 的菜单规范。他还提到了保存“通用文件”的 res/raw。当我创
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
我在服务器上使用 express-resource。在我的 AngularJS Controller 中: var User = $resource('/services/users/:use
因此,每当我运行我的应用程序时,它都会立即崩溃并给出以下错误: No package identifier when getting value for resource number 0x00000
对于我正在创建的(网络)应用程序,我需要使用基本身份验证在我的 UIWebView 中加载页面。 现在设置我使用的授权 header : NSString *result = [NSString st
我是一名优秀的程序员,十分优秀!