那些遇到过的问题

Spring security webflux 中的 AuthenticationManger

Vib*_*pal 2 spring-security spring-webflux

我正在尝试为我的 spring-webflux 应用程序构建自定义身份验证管理器。然而我发现我的经理从来没有被打电话过。我的代码如下:

@Bean
SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
    return http
            .authorizeExchange().pathMatchers("/**").authenticated().and().httpBasic().disable()
            .securityContextRepository(webSessionServerSecurityContextRepository())
            .addFilterAfter(new AuthenticationWebFilter(bearerTokenAuthenticationManager()),
                    SecurityWebFiltersOrder.REACTOR_CONTEXT)
            .build();

}
Run Code Online (Sandbox Code Playgroud)

我究竟做错了什么?

Nic*_*ico 5

假设你把这个bean放在一个带有注释的类中@Configuration@EnableWebFluxSecurity你的问题似乎是你没有禁用csrfSpring Security默认配置的。

您可以通过以下方式做到这一点:

@Bean
SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
    return http
            .authorizeExchange().pathMatchers("/**").authenticated()
            .and()
            .httpBasic().disable()
            .csrf().disable() // Disable csrf
            .securityContextRepository(webSessionServerSecurityContextRepository())
            .addFilterAfter(new AuthenticationWebFilter(bearerTokenAuthenticationManager()),
                    SecurityWebFiltersOrder.REACTOR_CONTEXT)
            .build();

}
Run Code Online (Sandbox Code Playgroud)

此外,您必须正确配置AuthenticationWebFilter.

AnAuthenticationWebFilter具有以下依赖关系:

AuthenticationWebFilter 依赖项

...其中大多数默认作为 HttpBasic deps 提供(从 Spring Security 源代码复制并粘贴):

private final ReactiveAuthenticationManagerResolver<ServerWebExchange> authenticationManagerResolver;

private ServerAuthenticationSuccessHandler authenticationSuccessHandler = new WebFilterChainServerAuthenticationSuccessHandler();

private ServerAuthenticationConverter authenticationConverter = new ServerHttpBasicAuthenticationConverter();

private ServerAuthenticationFailureHandler authenticationFailureHandler = new ServerAuthenticationEntryPointFailureHandler(new HttpBasicServerAuthenticationEntryPoint());

private ServerSecurityContextRepository securityContextRepository = NoOpServerSecurityContextRepository.getInstance(); // Stateless session

private ServerWebExchangeMatcher requiresAuthenticationMatcher = ServerWebExchangeMatchers.anyExchange();
Run Code Online (Sandbox Code Playgroud)

您可以使用 的 setters 方法设置您想要的任何内容AuthenticationWebFilter。AnAuthenticationWebFilter的逻辑如下:

AuthenticationWebFilter 流程

因此,根据情况,您必须配置一个依赖项或另一个依赖项。您可以在我的存储库中看到身份验证和授权如何工作的完整示例: https: //github.com/soasada/kotlin-coroutines-webflux-security(在 kotlin 中,但情况相同)

归档时间:

查看次数:

2155 次

最近记录:

5 年,4 月 前
相关归档
Mono&lt;Void&gt; 和 Mono.empty() 有何不同 23
重写spring-security重定向URL 6
使用JSON响应处理Spring安全性错误 5
带有 spring 安全性的 OAuth 2 并在重定向中设置 State 参数 5
我们可以根据路径变量将httpbasic和OAuth2都用于API吗? 5
使用 spring-webflux 忽略网络 5
Spring security 重定向到状态码为 999 的页面 2
在微服务之间传播访问令牌 2
定制Spring CAS j_spring_cas_security_check URL 0
java中的URL路径匹配器(Spring) 0
难疑归档
最终C++书籍指南和列表 4246
JavaScript等效于printf/String.Format 1874
使用jQuery中止Ajax请求 1775
如何在Notepad ++中格式化XML? 1661
lodash和下划线之间的差异 1566
.gitignore被Git忽略了 1407
window.onload vs $(document).ready() 1205
如何在不使用存储库的情况下将Docker镜像从一个主机复制到另一个主机 1181
如何撤消'git reset'? 1172
如何通过对象中的属性对List <T>进行排序 1146