Я пытаюсь понять, как работают RequestMatcher, AntMatcher и так далее. Я читаю некоторые посты и понимаю основы. На самом деле у меня есть этот простой базовый конфиг:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers() //1
.antMatchers("/login", "/oauth/authorize") //2
.and() //3
.authorizeRequests() //4
.anyRequest() //5
.authenticated() //6;
Я действительно не понимаю пункты 1,2 и 3. Насколько я понимаю, это означает, что запросы /login
и /oauth/authorize
отображаются и должны быть авторизованными запросами. ,Все остальные запросы требуют аутентификации.
Средства для конечной точки /user/me
Я должен быть аутентифицирован, потому что он управляется пунктами 5 и 6? Звонок на эту конечную точку работает для меня.
В моем другом конфиге я использую другой подход:
@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
http
.authorizeRequests() //1
.antMatchers("/login", "/oauth/authorize", "/img/**").permitAll() //2
.anyRequest() //3
.authenticated() //4
С моей точки зрения, это должна быть та же логика, что и в первомконфигурации. Но на самом деле конечная точка /user/me
больше недоступна.
Я был бы очень признателен за разъяснения
Обновление 1:
Это моя конфигурация сейчас:
@Override
protected void configure(HttpSecurity http) throws Exception { // @formatter:off
http
.requestMatchers()
.antMatchers("/", "/login", "/oauth/authorize",
"/main", "/logout-success", "/single-logout",
"/password_forgotten", "/enter_new_password", "/img/**",
"/logout", "/access_denied")
.and().authorizeRequests()
.antMatchers("/img/**", "/logout-success", "/password_forgotten",
"/enter_new_password", "/access_denied").permitAll()
.requestMatchers(SecurityUtils::isFrameworkInternalRequest).permitAll()
.and()
.authorizeRequests()
.anyRequest()
.authenticated()
.and()
.formLogin()
.loginPage("/login")
.failureUrl("/login?error")
.defaultSuccessUrl("/main")
.permitAll()
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.logoutSuccessUrl("/logout-success")
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.and()
.exceptionHandling()
.accessDeniedPage("/access_denied")
.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login"))
.and().csrf().disable();
и если я ввожу URL \user\me
как не прошедший проверку подлинности пользователя, я получаю 401 и это сообщение:
<oauth>
<error_description>
Vollständige Authentifikation wird benötigt um auf diese Resource zuzugreifen
</error_description>
<error>unauthorized</error>
</oauth>
Что в порядке, но означает, что для этого URL имеет место любая другая опция SecurityFilterChain, верно?