Wie wird der Sicherheitsfilter nur auf gesicherten Endpunkten angewendet?

Question

Ich habe folgende Spring Security-Konfiguration:

httpSecurity 
      .csrf() 
      .disable() 
      .exceptionHandling() 
      .authenticationEntryPoint(unauthorizedHandler) 
      .and() 
      .sessionManagement() 
      .sessionCreationPolicy(SessionCreationPolicy.STATELESS) 
      .and() 
      .authorizeRequests() 
      .antMatchers("/api/**").fullyAuthenticated() 
      .and() 
      .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); 

Die authenticationTokenFilterBean() angewendet wird, auch auf Endpunkte, die nicht /api/** Ausdruck passen. Ich habe auch versucht, folgenden Konfigurationscode

@Override 
public void configure(WebSecurity webSecurity) { 
    webSecurity.ignoring().antMatchers("/some_endpoint"); 
} 

hinzuzufügen, aber das hat immer noch nicht mein Problem gelöst. Wie kann ich der Spring-Sicherheit mitteilen, Filter nur auf Endpunkten anzuwenden, die dem gesicherten URI-Ausdruck entsprechen? Danke

Answer 1

Ich habe eine Anwendung mit der gleichen Forderung und es zu lösen ich im Grunde beschränkt Spring Security zu einem bestimmten Ameise Spiel Rüttler (mit antMatcher) wie folgt:

http.antMatcher("/api/**").authorizeRequests() // 
     .anyRequest().authenticated() // 
     .and() 
     .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); 

Sie es lesen kann wie folgt: für http nur diese Konfigurationen auf Anfragen rufen Sie die Ameise pattern-Matching /api/**Ermächtigungbis authenticated Benutzer andadd filterauthenticationTokenFilterBean()beforeUsernamePasswordAuthenticationFilter. Für alle anderen Anfragen hat diese Konfiguration keine Auswirkung.

Answer 2

Feder Sicherheit für einige spezifischen Endpunkte zu umgehen wie folgt vor:

httpSecurity 
    .authorizeRequests() 
    .antMatchers("/some_endpoints").permitAll() 
    .anyRequest().authenticated() 
    .and() 
    ...