Требуется базовая аутентификация Spring Security для REST Api? - PullRequest
Новая
       3

Требуется базовая аутентификация Spring Security для REST Api?

0 голосов
/ 26 июня 2019

Я использую базовую аутентификацию Spring Security для своего REST API.

Изначально я получаю неавторизованный Статус ответа HTTP для неаутентифицированных защищенных маршрутов.

Если я предоставляю правоучетные данные, я получаю Ok статус ответа HTTP, но после однократного успешного входа я могу получить доступ ко всем защищенным маршрутам без предоставления учетных данных пользователя.

Вот мои вопросы:

  1. Это правильное поведение для базовой аутентификации?
  2. Почему это происходит?

Мой конфигурационный файл безопасности: 

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setUserDetailsService(userService);
        authenticationProvider.setPasswordEncoder(passwordEncoder());
        return authenticationProvider;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //J-
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/save")
                .permitAll()
                .and()
                .authorizeRequests()
                .antMatchers("/h2-console/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .httpBasic();
        //J+

        //adding support for h2 console, otherwise crashes
        http.headers().frameOptions().disable();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(authenticationProvider());
    }
}

и вот метод UserDetailsService loadByUsername () метод: 

@Override
public UserDetails loadUserByUsername(String username) {
    User user = userRepository.findByUsername(username);

    if (user == null) {
        throw new UserNotFoundException(username);
    } else if (UserStatus.Deactivated.equals(user.getStatus())) {
        throw new UserDeactivatedException(username);
    }

    return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), Collections.singleton(new SimpleGrantedAuthority("USER")));
}

1 Ответ

1 голос
/ 26 июня 2019

https://www.baeldung.com/spring-security-session

См. Упомянутую ссылку. Для Restful API используйте политику сеанса без сохранения состояния

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...