Question

У меня проблема с конфигом по поводу Spring-Security. Итак, я уже выполнил некоторые настройки, и я могу использовать все API с ** GET. Но ни один из остальных API, таких как Delete-PUT-Post. И для этого я получаю ошибку, как показано ниже:

Ошибка 403.

Итак, моя конфигурация состоит из двух классов:

CorsFilter. java

package com.example.rest.webservices.restfulwebservices.basic.auth;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class CorsFilter implements Filter
{
    @Override
    public void init(FilterConfig filterConfig) throws ServletException
    {
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
            FilterChain filterChain) throws IOException, ServletException
    {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;
//        if (request.getMethod().equals("OPTIONS"))
//        {
            response.setHeader("Access-Control-Allow-Origin", "http://localhost:4200");
            response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
            response.setHeader("Access-Control-Allow-Headers", "*");
            response.setHeader("Access-Control-Max-Age", "3600");
            response.setHeader("Access-Control-Allow-Headers",
                    "Content-Type, Authorization, Content-Length, X-Requested-With");
            response.addHeader("Access-Control-Allow-Credentials", "true");
//        }
        filterChain.doFilter(servletRequest, servletResponse);
    }
    @Override
    public void destroy()
    {
    }
}

и второй класс:

SpringSecurityConfigurationBasicAuth

package com.example.rest.webservices.restfulwebservices.basic.auth;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.csrf.CookieCsrfTokenRepository;
import org.springframework.security.web.session.SessionManagementFilter;
@Configuration
@EnableWebSecurity
public class SpringSecurityConfigurationBasicAuth extends WebSecurityConfigurerAdapter {

    @Bean
    CorsFilter corsFilter() {
        CorsFilter filter = new CorsFilter();
        return filter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .addFilterBefore(corsFilter(), SessionManagementFilter.class);
        //http.cors();
        http .csrf()
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
            http.authorizeRequests()
                .antMatchers("/**").permitAll()
                    .anyRequest().authenticated()
                    .and()
//            .formLogin().and()
                .httpBasic();
    }
}

Мой контроллер выглядит следующим образом:

ItemController

package com.example.rest.webservices.restfulwebservices.todo;
import java.net.URI;
import java.util.List;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.DeleteMapping;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.PutMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.support.ServletUriComponentsBuilder;
@CrossOrigin(origins="http://localhost:4200")
@RestController
public class ItemController {
    @Autowired
    private ItemService itemService;

    @GetMapping(path = "/users/{username}/items")
    public List<Item> getAllToDosList(@PathVariable String username){
        return itemService.findAll(username);
    }

    @GetMapping(path = "/users/{username}/item/{id}")
    public Item getItem(@PathVariable String username, @PathVariable Integer id){
        return itemService.findById(id);
    }

    @PutMapping("/users/{username}/item/{id}")
    public ResponseEntity<Item> updateItem(@PathVariable String username,
            @PathVariable Integer id, @RequestBody Item item ){
        Item updateditem = itemService.saveItem(item);
                return new ResponseEntity<Item>(updateditem, HttpStatus.OK);

    }

    @PostMapping("/users/{username}/item")
    public ResponseEntity<Void> addItem(@PathVariable String username, @RequestBody Item item ){
        Item createdItem = itemService.saveItem(item);

                URI uri = ServletUriComponentsBuilder.fromCurrentRequest().path("/{id}")
                .buildAndExpand(createdItem.getId()).toUri();

                return ResponseEntity.created(uri).build();             
    }
    @DeleteMapping(path = "/users/{username}/item/{id}")
    public ResponseEntity<Void> removeToDosFromList(@PathVariable String username,
            @PathVariable Integer id){
        Item todo = itemService.deleteToDoById(id);
                if (todo != null)
                {
                    return ResponseEntity.noContent().build();
                }

                return ResponseEntity.notFound().build();
    }
}

И пока эта работа только для GET API. Пожалуйста, ознакомьтесь с классами, может быть, у вас больше идей, чем у меня, так как у меня недостаточно опыта.

JArgente · Answer 1 · 03 февраля 2020

Я думаю, что вопрос здесь заключается в следующем: хотите ли вы подтвердить подлинность пользователя, чтобы вызвать некоторые из путей?

Если ответ «нет», вы должны удалить эту строку .anyRequest().authenticated()

, если ответ «да», следует указать URL-адреса, которые вы хотите аутентифицировать, определить метод аутентификации и сделать вызов с правильным заголовком авторизации

user12047085 · Answer 2 · 03 февраля 2020

            http.authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS,"/**").permitAll()

Вы передаете метод OPTIONS в аргументе, который указывает, какой метод разрешить, будет разрешен только запрос типа OPTIONS, используйте GET, если вы хотите разрешить получение запросов. Если вы хотите разрешить все типы запросов, просто передайте «/ **» в качестве аргумента, без указания любого типа метода.

Как настроить весеннюю безопасность

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как настроить весеннюю безопасность

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы