Spring Security Configuration фильтрует любые запросы, кроме определенной конечной точки?

Question

У меня есть следующий код

http.authorizeRequests()
                .antMatchers("/users/login","/token/refresh").permitAll()
                .anyRequest().authenticated()
                .and()
                .addFilterAfter(new JWTAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class)

И я подумал, что это значит не фильтровать запросы, которые соответствуют / users / login или / token / refresh, но фильтровать любые запросы, которые не соответствуют этому. Но это все еще фильтрует на /users/login.

Answer 1

Способ, который я решил в старом проекте, требует аутентификации на каждой конечной точке

http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .addFilterAfter(new JWTAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class)

и игнорирование безопасности на желаемых конечных точках

 public void configure(WebSecurity web) {
        web.ignoring().antMatchers(HttpMethod.POST, "/users/login");
    }

Answer 2

csrf включается Spring Security автоматически. Попробуйте отключить его.

http.csrf (). (Отключить). AuthorizeRequests (). AntMatchers ( "Вход в систему / пользователей /", "/ маркер / обновить"). PermitAll (). AnyRequest (). Проверка подлинности (). И (). addFilterAfter (новый JWTAuthenticationFilter (), UsernamePasswordAuthenticationFilter.class)

Answer 3

Попробуйте это.

.antMatchers("/users/login").permitAll()
.antMatchers("/token/refresh").permitAll()