请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

anyRequest

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests(req->req.anyRequest().authenticated());
    }
}

这里配置的意思是不是说所有的请求都必须认证?

访问的结果是403而不是我理解的401

图片描述
一日看盡長安花 2020-11-08 17:14:20
源自:2-5  安全配置
550
收起

正在回答 回答被采纳积分+3

2回答

反重力 2022-05-22 11:45:21

我理解是因为这种配置下,会被AnonymousFilter拦截,并添加默认authentication: AnonymousToken。这时候代表authentication是通过的
再往下走到AffirmativeBased中会进行老师说的vote,检查到AnonymousToken没有访问资源的authorization,返回了403。

0 回复 有任何疑惑可以回复我~
收起回答
取消 回复
接灰的电子产品 2020-11-08 20:04:44

这是由于你没有配置任何认证的方式,比如表单登录等。所以这种配置方式下Spring security会认为认证成功,然后进行授权检查,而在security config中配置的这个表达式在授权检查中返回了不通过,所以403

0 回复 有任何疑惑可以回复我~
收起回答
  • 提问者 一日看盡長安花 #1 
    是不是可以理解为要对请求进行 '认证',必须指定一种登录方式,如果没有指定的话,spring security则不会对相关请求进行认证,接着会做'授权'判断,又因为没有上一步的认证动作,所以授权是不通过的(因为这里授权通过的条件就是'已认证'请求)
    回复 有任何疑惑可以回复我~ 2020-11-08 20:25:18
  • 接灰的电子产品 #2 
    授权检查那块不是由于上一步没检查,而是这些表达式会作为授权环节的一个投票者进行投票。
    回复 有任何疑惑可以回复我~ 2020-11-08 21:53:54
  • cyper 回复 接灰的电子产品 #3 
    你说的“这些表达式”具体是指什么, 题主说的这个req->req.anyRequest().authenticated()算一个表达式吗
    回复 有任何疑惑可以回复我~ 2022-03-29 04:33:31
点开查看后面1条评论
取消 回复

相似问题

配置BrowerSecurityConfig后系统报错
995 0 1
老师啊,快来解决我的问题啊,自己写的RBAC都实现了,就是最后用户登录后,他没权限的路径也能访问,限制不住是怎么回事啊
387 0 1
授权路径都在同一模块下,如/admin 下但授予不同权限但是也能访问进去
434 0 1
如何动态的吧数据库的权限路径在WebSecurityConfigurerAdapter中注册上,角色也是动态的。我看您注册都是写死的路径的。5.0框架
443 0 1
springboot项目添加activiti的两个依赖之后无法正常跨域
897 0 2

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
Spring Security+OAuth2 精讲,打造企业级认证与授权
  • 参与学习       1007    人
  • 解答问题       313    个

一站式掌握主流安全框架与行业解决方案,从容应对各种安全难题。

了解课程

本课精华内容

问答

加了Resource Bundle,以及yml内添加messages只有登录页面展示还是乱码

655 9

H2无法连接

931 9

请问源码全部导入进去怎么成功运行起来呢?

294 7

为什么不加token方法依然可以访问?

798 6

3-3 验证错误时不会返回详细的错误信息

598 6

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信