весенняя безопасность вообще не работает

Question

У меня есть следующая конфигурация:

@Configuration
@EnableWebSecurity
class SignInSecurityConfig(
        val authenticationEntryPoint: AppAuthenticationEntryPoint
) : WebSecurityConfigurerAdapter() {

    override fun configure(http: HttpSecurity) {
        http.cors().and().csrf().disable()
                .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint)
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers("/sign_in", "/users/sign_up").permitAll()
                .anyRequest().authenticated()

        http.addFilterBefore(JwtAuthorizationFilter(), UsernamePasswordAuthenticationFilter::class.java)
    }
}

в настоящее время, JwtAuthorizationFilter просто регистрирует некоторую информацию и вызывает chain.doFilter

Теперь происходят некоторые интересные вещи:

1) когда я звоню /users/sign_up, запускается процесс регистрации, пытается зарегистрировать пользователя, в случае успеха, возвращает 201, если нет, возвращает 401 вместо 500 (в моем случае я хотелвернуть 500)

2) когда я звоню /sign_in, я просто получаю 401, без ошибок, без журналов, ничего.

3) JwtAuthorizationFilter, хотя этов списке фильтров, никогда не вызывается.

4) Цепочка фильтров выглядит странно:

2018-05-21 14:58:22.318  INFO 2339 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: Ant [pattern='/users/sign_up'], []
2018-05-21 14:58:22.484  INFO 2339 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: org.springframework.security.web.util.matcher.AnyRequestMatcher@1, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46b2cadf, org.springframework.security.web.context.SecurityContextPersistenceFilter@e41e9a9, org.springframework.security.web.header.HeaderWriterFilter@733dea73, org.springframework.security.web.csrf.CsrfFilter@59140203, org.springframework.security.web.authentication.logout.LogoutFilter@6e8e5936, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@52fb6fa5, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@497c75f3, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@10a4663e, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@2cfbcfd6, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5aa01db1, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@fe39081, org.springframework.security.web.session.SessionManagementFilter@47da14ce, org.springframework.security.web.access.ExceptionTranslationFilter@376d0f3a, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@797b0e0c]

Есть идеи, почему это происходит?

Я использую Spring Boot 2.0.2 с версией зависимостей по умолчанию

Answer 1

попробуй с

.antMatchers(HttpMethod.GET,"/sign_in").permitAll().and()
.antMatchers(HttpMethod.GET, "/users/sign_up").permitAll().and()
.anyRequest().authenticated()