黄鼠狼在养鸡场山崖边立了块碑，写道：“不勇敢地飞下去，你怎么知道自己原来是一只搏击长空的鹰？！”

从此以后

黄鼠狼每天都能在崖底吃到那些摔死的鸡！

前言

上周五有网友问道，在使用spring-security-oauth2时，虽然配置了.antMatchers("/permitAll").permitAll()，但如果在header 中 携带 Authorization Bearer xxxx，OAuth2AuthenticationProcessingFilter还是会去校验Token的正确性，如果Token合法，可以正常访问，否则，请求失败。他的需求是当配置.permitAll()时，即使携带Token，也可以直接访问。

解决思路

根据Spring Security源码分析一：Spring Security认证过程得知spring-security的认证为一系列过滤器链。我们只需定义一个比OAuth2AuthenticationProcessingFilter更早的过滤器拦截指定请求，去除header中的Authorization Bearer xxxx即可。

代码修改

添加PermitAuthenticationFilter类

添加PermitAuthenticationFilter类拦截指定请求，清空header中的Authorization Bearer xxxx

@Component("permitAuthenticationFilter")

@Slf4j

public class PermitAuthenticationFilter extends OncePerRequestFilter {

    @Override

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        log.info("当前访问的地址:{}", request.getRequestURI());

        if ("/permitAll".equals(request.getRequestURI())) {

            request = new HttpServletRequestWrapper(request) {

                private Set<String> headerNameSet;

                @Override

                public Enumeration<String> getHeaderNames() {

                    if (headerNameSet == null) {

                        // first time this method is called, cache the wrapped request's header names:

                        headerNameSet = new HashSet<>();

                        Enumeration<String> wrappedHeaderNames = super.getHeaderNames();

                        while (wrappedHeaderNames.hasMoreElements()) {

                            String headerName = wrappedHeaderNames.nextElement();

                            if (!"Authorization".equalsIgnoreCase(headerName)) {

                                headerNameSet.add(headerName);

                            }

                        }

                    }

                    return Collections.enumeration(headerNameSet);

                }

                @Override

                public Enumeration<String> getHeaders(String name) {

                    if ("Authorization".equalsIgnoreCase(name)) {

                        return Collections.<String>emptyEnumeration();

                    }

                    return super.getHeaders(name);

                }

                @Override

                public String getHeader(String name) {

                    if ("Authorization".equalsIgnoreCase(name)) {

                        return null;

                    }

                    return super.getHeader(name);

                }

            };

        }

        filterChain.doFilter(request, response);

    }

}

添加PermitAllSecurityConfig配置

添加PermitAllSecurityConfig配置用于配置PermitAuthenticationFilter

@Component("permitAllSecurityConfig")

public class PermitAllSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity> {

    @Autowired

    private Filter permitAuthenticationFilter;

    @Override

    public void configure(HttpSecurity http) throws Exception {

        http.addFilterBefore(permitAuthenticationFilter, OAuth2AuthenticationProcessingFilter.class);

    }

}

修改MerryyouResourceServerConfig，增加对制定路径的授权

 @Override

    public void configure(HttpSecurity http) throws Exception {

        // @formatter:off

        http.formLogin()

                .successHandler(appLoginInSuccessHandler)//登录成功处理器

                .and()

                .apply(permitAllSecurityConfig)

                .and()

                .authorizeRequests()

                .antMatchers("/user").hasRole("USER")

                .antMatchers("/forbidden").hasRole("ADMIN")

                .antMatchers("/permitAll").permitAll()

                .anyRequest().authenticated().and()

                .csrf().disable();

        // @formatter:ON

    }

• 关于各个路径的说明参考：使用Spring MVC测试Spring Security Oauth2 API

修改测试类SecurityOauth2Test

添加permitAllWithTokenTest方法

    @Test

    public void permitAllWithTokenTest() throws Exception{

        final String accessToken = obtainAccessToken();

        log.info("access_token={}", accessToken);

        String content = mockMvc.perform(get("/permitAll").header("Authorization", "bearer " + accessToken+"11"))

                .andExpect(status().isOk())

                .andReturn().getResponse().getContentAsString();

        log.info(content);

    }

• Authorization bearer xxx 11后面随机跟了两个参数

效果如下

不配置permitAllSecurityConfig时

配置permitAllSecurityConfig时

代码下载

• github:https://github.com/longfeizheng/security-oauth2
• gitee:https://gitee.com/merryyou/security-oauth2

推荐文章

1. Java创建区块链系列
2. Spring Security源码分析系列
3. Spring Data Jpa 系列
4. 【译】数据结构中关于树的一切（java版）
5. SpringBoot+Docker+Git+Jenkins实现简易的持续集成和持续部署

---

Spring Security Oauth2 permitAll()方法小记的更多相关文章

1. Spring Security OAuth2 实现登录互踢

   背景说明 一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的. 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足类似的需求. 我们先来看 To ...

2. Spring Security OAuth2 SSO

   通常公司肯定不止一个系统,每个系统都需要进行认证和权限控制,不可能每个每个系统都自己去写,这个时候需要把登录单独提出来 登录和授权是统一的 业务系统该怎么写还怎么写 最近学习了一下Spring Sec ...

3. springboot+spring security +oauth2.0 demo搭建（password模式）（认证授权端与资源服务端分离的形式）

   项目security_simple(认证授权项目) 1.新建springboot项目 这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖  ...

4. 关于 Spring Security OAuth2 中 CORS 跨域问题

   CORS 是一个 W3C 标准,全称是”跨域资源共享”(Cross-origin resource sharing).它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了 AJA ...

5. Spring Security Oauth2 单点登录案例实现和执行流程剖析

   Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本.OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(au ...

6. Spring Security OAuth2 Demo —— 隐式授权模式（Implicit）

   本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html 写在前面 在文章OAuth 2.0 概念及授权流程梳 ...

7. 使用Redis作为Spring Security OAuth2的token存储

   写在前边 本文对Spring Security OAuth2的token使用Redis保存,相比JWT实现的token存储,Redis可以随时吊销access_token,并且Redis响应速度很快, ...

8. 使用JWT作为Spring Security OAuth2的token存储

   序 Spring Security OAuth2的demo在前几篇文章中已经讲过了,在那些模式中使用的都是RemoteTokenService调用授权服务器来校验token,返回校验通过的用户信息供上 ...

9. Spring security oauth2 password flow

   Spring security oauth2 包含以下两个endpoint来实现Authorization Server: AuthorizationEndpoint: 授权请求访问端点, 默认url ...

随机推荐

1. [转]Linux进程间通信——使用消息队列

   点击此处阅读原文 另收藏作者ljianhui的专栏初学Linux 下面来说说如何使用消息队列来进行进程间的通信,消息队列与命名管道有很多相似之处.有关命名管道的更多内容可以参阅我的另一篇文章:Linu ...

2. Git基本交互流程图

3. asp.net 获取客户机IP地址

   /// <summary> ///get client IP /// </summary> /// <returns></returns> public ...

4. appDelegate中的委托协议方法以及使用观察者模式获取其触发方法

   //当应用程序将要进入非活动状态执行,在此期间,应用程序不接受消息或事件,比如来电 - (void)applicationWillResignActive:(UIApplication *)appli ...

5. 使用OkHttp和Retrofit发送网易云信验证码

   短信服务(Short Message Service)是网易网易云通信为用户提供的一种通信服务的能力,目前支持验证码类短信.通知类短信.运营类短信.语音类短信.国际短信等事务性短信.网易网易云通信短信 ...

6. Educational Codeforces Round 53 &lpar;Rated for Div&period; 2&rpar; D&period; Berland Fair

   题意:一个人  有T块钱 有一圈商店 分别出售 不同价格的东西  每次经过商店只能买一个  并且如果钱够就必须买 这个人一定是从1号店开始的!(比赛的时候读错了题,以为随意起点...)问可以买多少个 ...

7. canvas（二） lineCap demo

   var dom = document.getElementById('clock'), ctx = dom.getContext('2d'); ctx.beginPath(); ctx.moveTo( ...

8. 撸&period;NET Core的正确姿势

   特点 案例基于刚发布的.NET Core 2.1 只需一台Linux服务器搞定一切, 全程无需自己配置dotnet环境, 需要熟悉git docker基础知识可有可无, 过了下面几个步骤,你就已经入门 ...

9. 转：PHPStorm&plus;XDebug进行调试图文教程

   原文:PHPStorm+XDebug进行调试图文教程 一.XDebug安装配置 (1)下载XDebug下载地址:http://www.xdebug.org/必须下载跟机器上安装的php匹配的版本才行. ...

10. MarkDown to PDF

    前面随便说说 之前在 windows 上一直习惯用 cmdmarkdown 把要写的东西写下来,再通过 typora 转成 pdf:现在很多时候在用 Ubuntu,需要把写完的作业转成 pdf 交上去 ...