Verwirrung um Spring Security anonymen Zugriff mit Java-Config

Ich bin mit dem folgenden Java-Config mit Spring Security:

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .httpBasic();
}

Basierend auf dieser Konfiguration alle Anforderungen authentifiziert werden. Wenn Sie auf einen controller, ohne authentifiziert werden, die AnonymousAuthenticationFilter wird ein Authentication-Objekt mit username=anonymousUser, role=ROLE_ANONYMOUS.

Ich versuche, den anonymen Zugriff auf eine controller-Methode und haben versucht, jede der folgenden:

  1. @Secured("ROLE_ANONYMOUS")
  2. @Secured("IS_AUTHENTICATED_ANONYMOUSLY")

Wenn die controller-Methoden get aufgerufen wird, wird die folgende Antwort gegeben:
"HTTP Status 401 - Volle Authentifizierung erforderlich ist, um auf diese Ressource zuzugreifen"

Kann mir jemand helfen zu verstehen, warum wir sind, empfangen diese Nachricht und warum ROLE_ANONYMOUS/IS_AUTHENTICATED_ANONYMOUSLY scheinen nicht zu funktionieren mit dieser Konfiguration?

Dank,

JP

InformationsquelleAutor user2145809 | 2014-03-13
  1. 3

    Ihre Sicherheit-Konfiguration blockiert alle nicht authentifizierten Anfragen.
    Sollten Sie Zugriff auf den controller mit

    .antMatchers("/mycontroller").permitAll()

    Siehe auch:

    • Hmm... das ist, wo ich Mangel an Klarheit. Wenn ich einen Anruf an eine VORGEGEBENE url-Adresse mit dem java-config, die ich vorhin angegeben, wenn ich noch keinen Anmeldeinformationen mit der basic-auth, die AnonymousAuthenticationFilter Schritte und erstellt eine authentication-Objekt, aber mit ROLE_ANONYMOUS. Sollte dies nicht immer noch funktionieren? Ich weiß nicht, dass die Konfiguration, die Sie haben oben notwendig sein sollte. Gedanken?
    • Es ist notwendig, weil ROLE_ANONYMOUS gibt der Benutzer ist anonym und NICHT authentifiziert. Beachten Sie, dass die Anmerkungen, die Sie angegeben haben, auf den controller überschreiben nicht die URL-basierte Sicherheit, Sie ergänzen es zu Verteidigung in der Tiefe (also mehrere Schichten der Sicherheit).
    • Rob, ich glaube, meine Verwirrung ergibt sich aus denken, dass die Verwendung von @Secured("ROLE_ANONYMOUS") auf eine controller-Methode mit einem spezifischen @RequestMapping(value="/mycontroller" -) mapping annotation definiert wurde, der Vermerk "äquivalent" zu sagen: .antMatchers("/mycontroller").permitAll() oder vielleicht .antMatchers("/mycontroller").hasRole("ROLE_ANONYMOUS"). Basierend auf dem, was Sie sagen, annotation-Konfiguration ist kein Ersatz für den xml/java-config (wie @RequestMapping ist ein Ersatz für die xml-controller-mappings). Ist das richtig?
    • ja - die antMatchers gilt in der security-filter-Kette - so wie Sie es konfiguriert haben, Ihre Sicherheit Kette um alle Anforderungen zu authentifizieren, diese fängt die anonyme Anforderung und lehnt Sie ab, bevor es auf den controller. Allerdings, Umgekehrt, wenn Sie sagen, permitAll() in der security-Kette, und definieren Sie dann eine gesicherte annotation ROLE_ADMIN, das würde sicher die Seite - die Anfrage bekommen würde, durch den security-filter-chain, aber dann auf der controller-servlet-level-fail-Authentifizierung. Als Rob Winch gesagt - mehrere Schichten der Sicherheit
    • Ich habe versucht, die oben nicht arbeitet wie erwartet, ich bin mit httpSecurity Objekt
    InformationsquelleAutor anttix
Schreibe einen Kommentar