错误描述:

        用PostMan第一次访问登录接口【加入了白名单】正常,再点击登录,报403错误

错误如下:

{
        "timestamp": "2022-06-29 11:20:48+08:00",
        "status": 403,
        "error": "Forbidden",
        "message": "",
        "path": "/api/login.json"
 }

 看下spring security的核心配置代码:

protected void configure(HttpSecurity httpSecurity) throws Exception {
        
        httpSecurity
                // CSRF禁用
                .csrf().disable()
                // 对于登录login 注册register  允许匿名访问
                .antMatchers("/**/login.json", "/register").anonymous()
                .anyRequest().authenticated();
}

错误原因:

.antMatchers("/**/login.json", "/register").anonymous()

 1、anonymous是匿名访问

 2、spring security对匿名访问的定义可能很神奇,你没登录前,访问白名单接口,这个时候你是没有身份认证的,也就是匿名,当你登录认证后,再次访问这类接口,这个时候你是有身份的,不再是匿名,配置的白名单是给匿名用户访问的,所有导致403错误!~~~~晕

解决办法:

anonymous【匿名】替换成permitAll【任何人都可以访问】即可

protected void configure(HttpSecurity httpSecurity) throws Exception {
        
        httpSecurity
                // CSRF禁用
                .csrf().disable()
                // 对于登录login 注册register  允许任何人都能直接访问
                .antMatchers("/**/login.json", "/register").permitAll()
                .anyRequest().authenticated();
}

# spring boot
Logo
华为开发者空间

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐

cover

GaussDB Ustore存储引擎解读

avatar 华为开发者空间

如何在鲲鹏平台上快速上手应用开发?鲲鹏DevKit给你答案

鲲鹏DevKit针对不同的业务场景,提供了应用迁移和系统迁移两套解决方案,帮忙开发者快速从X86平台迁移至鲲鹏平台,通过详细的迁移建议降低迁移门槛,可视化展示迁移进度,打消鲲鹏平台开发的顾虑。

avatar 华为开发者空间
cover

华为云开源项目Sermant正式成为CNCF官方项目

avatar 华为开发者空间