Как разрешить 403 для весенней безопасности JWT-аутентификации для общедоступных ресурсов

Я пытаюсь реализовать аутентификацию на основе JWT с использованием Spring Security в Spring Boot API, но я не знаю, что я делаю неправильно. В моей реализации WebSecurityConfigurerAdapter я разрешаю доступ к ресурсу auth/**, но когда я делаю запрос, например, к /auth/login, я получаю 403. Кажется, что он игнорирует «общедоступные» ресурсы.

csrf() отключен.

Это репозиторий: https://github.com/wallysoncarvalho/jwt-auth-spring-security

Я включил режим DEBUG, и вот что я получаю:

Request received for POST '/auth/login?username=wally&password=wally':

org.apache.catalina.connector.RequestFacade@585d8cc6

servletPath:/auth/login
pathInfo:null
headers: 
user-agent: PostmanRuntime/7.26.8
accept: */*
postman-token: 91c2a071-a353-4d77-9c7c-b04a43b94081
host: localhost:8091
accept-encoding: gzip, deflate, br
connection: keep-alive
content-length: 0


Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  JwtFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]


************************************************************


2020-12-22 20:21:15.919 DEBUG 6288 --- [nio-8091-exec-2] o.s.security.web.FilterChainProxy        : Securing POST /auth/login?username=wally&password=wally
2020-12-22 20:21:15.937 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Set SecurityContextHolder to empty SecurityContext
2020-12-22 20:21:15.948 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Cleared SecurityContextHolder to complete request
2020-12-22 20:21:15.960  INFO 6288 --- [nio-8091-exec-2] Spring Security Debugger                 : 

************************************************************

Request received for POST '/error?username=wally&password=wally':

org.apache.catalina.core.ApplicationHttpRequest@6d88bc8c

servletPath:/error
pathInfo:null
headers: 
user-agent: PostmanRuntime/7.26.8
accept: */*
postman-token: 91c2a071-a353-4d77-9c7c-b04a43b94081
host: localhost:8091
accept-encoding: gzip, deflate, br
connection: keep-alive
content-length: 0


Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  LogoutFilter
  JwtFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]


************************************************************


2020-12-22 20:21:15.961 DEBUG 6288 --- [nio-8091-exec-2] o.s.security.web.FilterChainProxy        : Securing POST /error?username=wally&password=wally
2020-12-22 20:21:15.961 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Set SecurityContextHolder to empty SecurityContext
2020-12-22 20:21:15.967 DEBUG 6288 --- [nio-8091-exec-2] o.s.s.w.a.AnonymousAuthenticationFilter  : Set SecurityContextHolder to anonymous SecurityContext
2020-12-22 20:21:15.998 DEBUG 6288 --- [nio-8091-exec-2] o.s.s.w.a.i.FilterSecurityInterceptor    : Failed to authorize filter invocation [POST /error?username=wally&password=wally] with attributes [authenticated]
2020-12-22 20:21:16.022 DEBUG 6288 --- [nio-8091-exec-2] o.s.s.w.a.Http403ForbiddenEntryPoint     : Pre-authenticated entry point called. Rejecting access
2020-12-22 20:21:16.025 DEBUG 6288 --- [nio-8091-exec-2] s.s.w.c.SecurityContextPersistenceFilter : Cleared SecurityContextHolder to complete request

spring spring-boot spring-security

23.12.2020 00:45

Запросы к JPA

Модели проектирования, используемые в spring framework

2 554

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

@Override
public void configure(WebSecurity web) throws Exception {
    web
            .ignoring()
            .antMatchers("/assets/**",);
}

И ваш класс @Configuration должен реализовывать WebMvcConfigurer

Изменить
Также включите WebSecurity в своем классе конфигурации, аннотировав его с помощью @EnableWebSecurity

Но нужно ли ему реализовывать какие-либо из его методов? Пока эти изменения не работают.

— 23.12.2020 01:15

Вы включили WebSecurity с аннотацией @EnableWebSecurity?

— 23.12.2020 01:24

dm_tr, на самом деле просто добавление метода, который вы предоставили, заставило его работать. Я уже использовал аннотацию, и мне не нужно было реализовывать интерфейс. Я просто пытаюсь понять, почему он работает только с этим методом. Спасибо!

— 24.12.2020 00:34

Web.ignoring сообщает вашему контексту безопасности, что он не должен контролировать URL-адреса в antMatchers. Если это ответ на ваш вопрос, отметьте его как правильный, чтобы помочь будущим читателям. Удачного кодирования

— 24.12.2020 11:08

23.12.2020 00:48