0

我正在尝试通过 Java Config 配置 Spring Security 以处理我的应用程序上的两种身份验证:基于表单(用户登录)和基于令牌(REST api)。

表单配置很简单,除了我必须创建自己的部分SecuritySocialConfigurer(基本上是带有自定义身份验证成功处理程序的副本,SpringSocialConfigurer该处理程序生成 JWT 令牌并在响应中设置一个 cookie)。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    super.configure(auth);
    auth
        .userDetailsService(userDetailsService())
        .passwordEncoder(NoOpPasswordEncoder.getInstance());
}

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/css/**", "/img/**");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .formLogin()
            .loginPage("/signin")
            .loginProcessingUrl("/signin/authenticate")
            .failureUrl("/signin?param.error=bad_credentials")
        .and()
            .logout()
                .logoutUrl("/signout")
                .deleteCookies("JSESSIONID")
        .and()
            .authorizeRequests()
                .antMatchers("/admin/**", "favicon.ico", "/public/**", "/auth/**", "/signin/**").permitAll()
                .antMatchers("/**").hasRole("USER")
        .and()
            .rememberMe()
        .and()
            .apply(new MilesSocialSecurityConfigurer());
}

当只有这个配置在运行时,我可以访问http://localhost:8080并被重定向http://localhost:8080/signin到执行登录。成功登录后,我检查 JWT 令牌 cookie 是否存在。

第二个安全配置目的是在调用 REST api 时检查 JWT 令牌的存在。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .addFilterAfter(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
        .antMatcher("/api/**")
            .csrf()
                .disable()
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
            .exceptionHandling()
                .authenticationEntryPoint(restAuthenticationEntryPoint)
        .and()
            .authorizeRequests()
                .antMatchers("favicon.ico", "/public/**", "/auth/**", "/signin/**").permitAll()
                .antMatchers("/**").authenticated()
        ;
}

@Bean
public JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
    JwtAuthenticationFilter filter = new JwtAuthenticationFilter("/api/**");
    filter.setAuthenticationSuccessHandler(jwtAuthenticationSuccessHandler);
    filter.setAuthenticationManager(apiAuthenticationManager());
    return filter;
}

@Bean
public ProviderManager apiAuthenticationManager() {
    return new ProviderManager(Arrays.asList(jwtAuthenticationProvider));
}

JwtAuthenticationProvider是一个解析 JWT 令牌并生成对象的类,如果令牌不存在或无效则UserDetails抛出一个对象。AuthenticationException

当第二个配置到位时,我无法导航到http://localhost:8080(或/signin)启动登录过程 - 浏览器返回 ERR_TOO_MANY_REDIRECTS。

我尝试了一些事情但没有成功。任何有关正在发生的事情的线索将不胜感激。

谢谢。

4

1 回答 1

0

改变 

.antMatchers("/**").authenticated()


 .anyRequest().authenticated()

这意味着任何与您明确定义的 URL 不匹配的 URL 都需要进行身份验证。

于 2016-03-06T06:22:41.410 回答