Spring-Security возвращает 401, несмотря на authorizeRequests().anyRequest(). allowAll()

Question

Spring-Security возвращает 401, несмотря на authorizeRequests().anyRequest(). allowAll()

Я использую spring-security а также spring-security-oauth2 (Токены доступа JWT) для аутентификации и авторизации. Идея состоит в том, чтобы пропустить все запросы, но чтобы иметь возможность различать аутентифицированных пользователей и неаутентифицированных пользователей. Как только я включу @EnableResourceServer моя настроена HttpSecurity кажется, игнорируется. И просит вернуть 401:

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

Вот конфиг:

@SpringBootApplication
@EnableJpaRepositories
@ComponentScan
@EntityScan
@EnableWebSecurity
public class Application {

    public static void main(final String[] args) {
        new SpringApplicationBuilder(Application.class).bannerMode(Banner.Mode.OFF).run(args);
    }

    @EnableResourceServer
    public static class SecurityConfig extends WebSecurityConfigurerAdapter implements JwtAccessTokenConverterConfigurer {

        @Override
        protected void configure(final HttpSecurity http) throws Exception {
            http.csrf().disable();
            http.authorizeRequests().anyRequest().permitAll();
        }

        @Override
        public void configure(final JwtAccessTokenConverter converter) {
            final DefaultAccessTokenConverter conv = new DefaultAccessTokenConverter();
            conv.setUserTokenConverter(userAuthenticationConverter());
            converter.setAccessTokenConverter(conv);

        }

        @Bean
        public UserAuthenticationConverter userAuthenticationConverter() {
            return new ResourceAuthenticationConverter();
        }
    }

3

java spring spring-security jwt spring-oauth2

Источник

user184792 12 май '17 в 06:58

1 ответ

Решение

Другие вопросы по тегам java spring spring-security jwt spring-oauth2

user184792 12 май '17 в 06:58 2017-05-12 06:58 · Accepted Answer · 2017-05-12 06:58

Ты почти там. It's an easy fix - the javadoc of @EnableResourceServer provides the answer:

Users should add this annotation and provide a @Bean of type ResourceServerConfigurer (eg via ResourceServerConfigurerAdapter) that specifies the details of the resource (URL paths and resource id).

Вы используете WebSecurityConfigurerAdapter тем не мение. Просто измените это на ResourceServerConfigurerAdapter and enhance the visibility of configure:

@EnableResourceServer
public static class SecurityConfig extends ResourceServerConfigurerAdapter implements JwtAccessTokenConverterConfigurer {
// snip
        @Override
        public void configure(final HttpSecurity http) throws Exception {
            http.csrf().disable();
            http.authorizeRequests().anyRequest().permitAll();
        }
// snip