Question

Тестировал жестко закодированную конечную точку для моего API управления Calor ie. Я жестко закодировал некоторых пользователей в моем UserService.java и сопоставил их в своем UserController с /users url.

Когда Tomcat работает на localhost:8080, я предположил, что когда я go до localhost:8080/users I будет видеть пользователей, которых я добавил

Вместо этого я перехожу на страницу входа, созданную Spring. Несмотря на то, что я могу войти в систему как «пользователь», поскольку имя пользователя и сгенерированный пароль находятся в сборке, я не хочу, чтобы это было реализовано, поскольку я буду делать свою собственную аутентификацию в будущем.

При просмотре информации о файле сборки страница входа в систему связана с этой информацией:

2020-04-23 11: 22: 38.314 INFO 1548 --- [restartedMain] ossweb.DefaultSecurityFilterChain: Создание цепочки фильтров: любой запрос, [org.springframework.security.web.context.request.asyn c. WebAsyncManagerIntegrationFilter@150d0d25, org.springframework.security.web.context. SecurityContextPersistenceFilter@7c82be70, org.springframework.security.web .header. HeaderWriterFilter@3258c818, org.springframework.security.web.csrf. CsrfFilter@18dd2f3, org.springframework.security.web.authentication.logout. LogoutFilter@336c3f7a, org.springframework.security.web.authentication. UsernamePasswordAuthenticationFilter@641198db , org.springframework.security.web.authentication.ui. DefaultLoginPageGeneratingFilter@7b7cd5a, org.springframework.security.web.authentication.ui. DefaultLogoutPageGeneratingFilter@1c801106, org.springframework.security.web.authentication. www.BasicAuthenticationFilter@4b9896a8, org.springframework .security.web.savedrequest. RequestCacheAwareFilter@77927c43, org.springframework.security.web.servletapi. SecurityContextHolderAwareRequestFilter@6861d187, org.springframework.security.web.authentication. AnonymousAuthenticationFilter@d43945e, org.springframework.security.web.session. SessionManagementFilter@19cc57e5, org.springframework.security.web.acce ss. ExceptionTranslationFilter@7b984a77, org.springframework.security.web.access.intercept. FilterSecurityInterceptor@2521604c]

У меня нет зависимости, связанной с безопасностью или аутентификацией? это происходит от другой зависимости, которая имеет эту информацию. Я прикрепил мой pom.xl

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.M4</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.MS3.bootcamp</groupId>
    <artifactId>healthDiary</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>healthDiary</name>
    <description>Bootcamp project for MS3</description>

    <properties>
        <java.version>11</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-rest</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.gurux</groupId>
            <artifactId>gurux.dlms</artifactId>
            <version>4.0.4</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

    <repositories>
        <repository>
            <id>spring-milestones</id>
            <name>Spring Milestones</name>
            <url>https://repo.spring.io/milestone</url>
        </repository>
    </repositories>
    <pluginRepositories>
        <pluginRepository>
            <id>spring-milestones</id>
            <name>Spring Milestones</name>
            <url>https://repo.spring.io/milestone</url>
        </pluginRepository>
    </pluginRepositories>

</project>

bob tang · Answer 1 · 24 апреля 2020

Вы можете исключить конфигурацию безопасности пружины по умолчанию, добавив аннотацию над приложением

@SpringBootApplication(exclude = { SecurityAutoConfiguration.class })
@ServletComponentScan
public class Application {

}

Sham Fiorin · Answer 2 · 24 апреля 2020

Как вы сказали по этому вопросу, похоже, что поведение Spring Security зависит от зависимостей, поэтому, если вы имеете дело с логином Spring Security по умолчанию с http basi c, правильным решением будет настроить его примерно так:


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        http.csrf().disable()
        .authorizeRequests().antMatchers("/**").permitAll()
        .and();
    }
}

Кусок кода http.authorizeRequests().antMatchers("/**").permitAll() в этом контексте разрешает маршрутам не требовать аутентификации. /** сообщает все возможные маршруты из контекста. По умолчанию весной все маршруты требуют аутентификации. Поэтому, если вы включите Spring Security в свой проект без настройки безопасности, вы заставите всех пользователей войти в систему. Думаю, это для безопасности.

Я создал проект, который был простым примером RESTful API с весенней загрузкой, но я не использовал «Spring Boot Data Rest», который я опубликовал на Github, используемом классе для этой конфигурации было SecurityConfiguration. java, полный репозиторий находится на galeria-spring-boot .

Много дополнительной информации о Spring Security на Безопасность с пружиной

Зависимость безопасности и страница входа, которая была реализована

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Зависимость безопасности и страница входа, которая была реализована

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов