Spring Security permitAll()不允许匿名访问的操作

在Spring Security中，permitAll()方法用于指定某些URL路径不需要任何身份验证即可访问，但如果需要对某些操作进行授权，例如限制只有管理员才能访问，需要使用其他方法进行配置。如果只使用permitAll()方法，可能会因为某些操作不允许匿名访问而导致访问被拒绝的问题。

以下是详细的攻略：

1.理解 Spring Security 中的匿名访问

在 Spring Security 中，未进行身份验证的访问请求会被视为匿名访问。如果在某些接口或操作需要进行身份验证和授权，但在 Spring Security 中未进行相应的配置，则会被视为匿名访问，进而被拒绝访问。

2.使用 antMatchers 指定 URL 路径

可以使用 Spring Security 中的 antMatchers 方法来指定需要进行授权的 URL 路径，例如：

http.authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .anyRequest().permitAll();

以上代码指定了 /admin/** 路径需要具有 ADMIN 角色才能访问，而其他路径则允许任何人访问。

3.使用 access 方法授权

另外一种进行授权的方式是使用 Spring Security 中的 access 方法，例如：

http.authorizeRequests()
    .antMatchers("/admin/**").access("hasRole('ADMIN')")
    .anyRequest().permitAll();

以上代码和前面的示例类似，但是使用了 access 方法来进行授权。

4.使用 WebExpressionConfiguraterAdapter 配置

如果需要更加复杂的授权逻辑，可以使用 WebExpressionConfiguraterAdapter 进行配置，例如：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ...
        http.authorizeRequests()
            .expressionHandler(expressionHandler())
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .httpBasic();
    }

    @Bean
    public DefaultWebSecurityExpressionHandler expressionHandler() {
        DefaultWebSecurityExpressionHandler expressionHandler =
            new DefaultWebSecurityExpressionHandler();
        expressionHandler.setPermissionEvaluator(new CustomPermissionEvaluator());
        return expressionHandler;
    }
}

以上代码使用了 DefaultWebSecurityExpressionHandler 和 CustomPermissionEvaluator 来对访问请求进行授权判断。

以上就是关于 Spring Security 中 permitAll() 不允许匿名访问的操作的攻略，希望对您有所帮助。

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：Spring Security permitAll()不允许匿名访问的操作 - Python技术站