Я настроил приложение для использования OAuth2, но теперь оно фильтрует каждый запрос, например
$ curl http://localhost:8080/robots.txt
{"error":"unauthorized","error_description":"Full authentication is required to access this resource"}
Не только те, которые я хочу.Как указать фильтрацию безопасности для только определенных путей?Я следовал этому руководству и прочитал это руководство тоже .
Я попробовал следующее, что показалось работать для неПути OAuth2, но это вызывает ошибку на путях OAuth2!
class WebSecurityConfiguration {
UserMapper userMapper;
PasswordEncoder passwordEncoder() {
// return NoOpPasswordEncoder.getInstance();
return new BCryptPasswordEncoder();
UserDetailsService userDetailsService() {
return new UserDetailsService() {
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User myU = userMapper.getUser(username);
if (myU == null) throw new UsernameNotFoundException("Could not find the user '"+username+"'");
UserDetails springU = org.springframework.security.core.userdetails.User
.authorities("USER", "write")
return springU;
// Java 8
// return (username) -> accountRepository
// .findByUsername(username)
// .map(a -> User.builder()
// .username(a.getUsername())
// .password(a.getPassword())
// .authorities("USER", "write")
// .build())
// .orElseThrow(
// () -> new UsernameNotFoundException("could not find the user '"
// + username + "'"));
WebSecurityConfigurerAdapter webSecurityConfigurerAdapter() {
return new WebSecurityConfigurerAdapter() {
public void configure(HttpSecurity http) throws Exception {
// http.antMatcher("/flights/**").authorizeRequests().anyRequest().authenticated();
// http.antMatcher("/robots.txt").anonymous();
.antMatchers("/robots.txt", "/error", "/login", "/doLogut", "/home", "/pageNotFound",
"/errorNonSamsung", "/snsandroidgear", "/snstheme", "/errorDesktop", "/*", "/getUrls",
"/css/**", "/js/**", "/fonts/**", "/img/**",
"/dologin", "/form", "/addImage", "/addThemeImage", "/exportUniqueToexcel", "/exporttoexcel",
"/delete", "/activateDeactivate").permitAll().and()
// .authorizeRequests().antMatchers("/login", "/robots.txt").permitAll().and()
// default protection for all resources (including /oauth/authorize)
// .authorizeRequests()
//// .anyRequest().permitAll()
// .antMatchers("/isTagAvailable").authenticated()
//// .antMatchers("/robots.txt", "/error", "/login", "/doLogut", "/home", "/pageNotFound",
//// "/errorNonSamsung", "/snsandroidgear", "/snstheme", "/errorDesktop", "/*", "/getUrls",
//// "/css/**", "/js/**", "/fonts/**", "/img/**",
//// "/dologin", "/form", "/addImage", "/addThemeImage", "/exportUniqueToexcel", "/exporttoexcel",
//// "/delete", "/activateDeactivate").permitAll()
//// .anyRequest().authenticated()
//// .and().formLogin()
Маркер доступа и разрешенные пути работают, но не путь, защищенный OAuth2.Принимая во внимание, что он обошелся без @Bean
$ curl http://localhost:8080/robots.txt
User-agent: *
Disallow: /
$ curl -u xxxxxxx:xxxxxxx http://localhost:8080/oauth/token -d grant_type=password -d username=xxxxx -d password=xxxx -d client_id=xxxxxxx -d client_secret=xxxxxxx -d scope=write
$ curl -X POST -H "Content-Type: application/json" -H "Authorization: Bearer f90b4bdf-a380-40d6-a6a7-5be28bd3ce99" -d '{"apiKey": "xxxxxxxx", "tag": "xxx"}' localhost:8080/isTagAvailable
This is not a valid request
С полным комментарием @Bean
, тогда он работает .WTF?!
$ curl -X POST -H "Content-Type: application/json" -H "Authorization: Bearer 7cf2bf7a-249f-45c2-95d9-a36d508b743a" -d '{"apiKey": "samsung", "tag": "cnn"}' localhost:8080/isTagAvailable
{"message":"CustomTag is not available","tagAvailable":false}