Дайте простой HTTP 401 при попытке получить доступ к некоторой части сети вместо перенаправления на страницу входа

Question

Я сделал весеннюю страницу, используя Spring Security.Когда я пытаюсь получить доступ к любому URL-адресу внутри этой страницы, если сеанс не установлен, он перенаправит вас на страницу входа: / login.Это нормально, но теперь я сделал простой http rest api внутри этой сети.Что мне нужно, если я пытаюсь получить доступ к любому URL-адресу внутри / api / **, просто отбросьте 401 вместо отправки HTTP-перенаправления для входа в систему.

Я создал фильтр с preHandle:

открытый класс BusinessKeyInterceptor extends HandlerInterceptorAdapter {

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    if (auth != null && auth.isAuthenticated()
            &&
            // when Anonymous Authentication is enabled
            !(auth instanceof AnonymousAuthenticationToken)) {
       // other stuf ....
        }
    } else {
        if (request.getRequestURI().startsWith("/api")) {
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            return false;
        }
    }
    return true;
}
}

Но в этом случае URI запроса уже / login

Моя конфигурация:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and().sessionManagement()
                .invalidSessionUrl("/login?invalid")
                .and().csrf().disable().formLogin()
                .loginPage("/login")
                .failureHandler(customAuthenticationFailureHandler)
                .defaultSuccessUrl("/loggedIn")
                .usernameParameter("email")
                .passwordParameter("password")
                .successHandler(authenticationSuccessHandler)
                .and().logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .logoutSuccessUrl("/").and().exceptionHandling()
                .accessDeniedPage("/access-denied")
        ;
    }

Answer 1

Я бы порекомендовал не смешивать вашу предыдущую конфигурацию безопасности с вашей новой REST API-конфигурацией.Вы можете сделать следующее:

@EnableWebSecurity 
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Configuration
    @Order(1)
    public static class WebConfiguration extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatchers("/web")
            ...
           /* Your previous config would go here */
        }
    }

    @Configuration
    @Order(2)
    public static class ApiConfiguration extends WebSecurityConfigurerAdapter {


        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatchers("/web")

            ... /* Your /api configuration goes here */

                .exceptionHandling()
                  .authenticationEntryPoint(customAuthenticationEntryPoint)

        }

        @Bean
        AuthenticationEntryPoint customAuthenticationEntryPoint() {
            return new HttpStatusEntryPoint(HttpStatus.UNAUTHORIZED);
        }
    }
}

Таким образом, вы можете настроить остальные API отдельно.Теперь у вас может быть другая точка входа для аутентификации для вашего остального API.Дело в том, что вы, скорее всего, захотите также предоставить собственный обработчик ошибок и обработчик успеха, который вы теперь можете легко сделать и который останется отдельным от остальной части вашего веб-приложения.