解決使用security和靜態資源被攔截的問題
使用security和靜態資源被攔截
之前的博客中我給過如何在springboot中整合security,當時寫的界面很簡單,沒有CSS樣式,更談不上靜態資源,而現在在實際開發過程中經理讓我們用security來開發,界面肯定不可能就是兩個輸入框,一個按鈕就完事啊,當加上CSS樣式的時候問題就來瞭。
首先是CSS樣式沒辦法被加載,其次登錄之後跳轉的路徑出錯,隨機跳轉到一個CSS文件中,這讓我很煩惱,查瞭很多資料,也問瞭很多前輩之後終於解決瞭這個問題。
解決方法
下面我給出具體的代碼
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ @Autowired private UserDetailsServiceImpl uds; protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login","/css/**","/image/*").permitAll() .anyRequest().authenticated().and().formLogin() .loginPage("/login").defaultSuccessUrl("/index").permitAll().and().logout().permitAll(); } public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(uds); } }
上面給出瞭不被攔截的一些靜態資源的路徑 **表示可以跨文件夾
Spring Security踩坑記錄(靜態資源放行異常)
問題描述
今天使用springboot整合springsecurity,出現靜態資源404的狀態
解決
1.首先嘗試使用網上的方法繼承 WebSecurityConfigurerAdapter
然後重寫public void configure(WebSecurity web)
@Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers(loadExcludePath()); } private String[] loadExcludePath() { return new String[]{ "/", "/static/**", "/templates/**", "/img/**", "/js/**", "/css/**", "/lib/**" }; }
照道理說。這應該就可以瞭,然而我這裡就是不能成功放行
2.於是我又重寫瞭方法 protected void configure(HttpSecurity http)
@Override protected void configure(HttpSecurity http) throws Exception { http //關閉跨域限制 .csrf().disable() .authorizeRequests() //在此處放行 .antMatchers(loadExcludePath()).permitAll() .anyRequest().authenticated()//其他的路徑都是登錄後即可訪問 .and() .formLogin() // .loginPage("/login") // .loginProcessingUrl("/doLogin") .successHandler(getAuthenticationSuccessHandler()) .failureHandler(getAuthenticationFailureHandler()) // .permitAll() .and() .logout() .permitAll() .and() .exceptionHandling().accessDeniedHandler(getAccessDeniedHandler()); }
這裡的重點是下面幾句(其他的配置可以忽略)
http
//關閉跨域限制
.csrf().disable()
.authorizeRequests()
//在此處放行
.antMatchers(loadExcludePath()).permitAll()
.anyRequest().authenticated()//其他的路徑都是登錄後即可訪問
然而盡管標紅的地方也進行瞭放行,可是依然失敗。
到目前為止,應該是已經沒問題瞭,畢竟兩個方法中都進行瞭放行,可是靜態資源依舊404
3.最終發現是跨域配置和springsecurity產生瞭沖突
也就是我項目中在其他位置配置瞭跨域的內容,如下
@Configuration public class CORSConfiguration extends WebMvcConfigurationSupport { @Override protected void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("GET", "HEAD", "POST","PUT", "DELETE", "OPTIONS") .allowedHeaders("*") .exposedHeaders( "access-control-allow-headers", "access-control-allow-methods", "access-control-allow-origin", "access-control-max-age", "X-Frame-Options") .allowCredentials(true) .maxAge(3600); super.addCorsMappings(registry); } }
把 CORSConfiguration 註釋掉,最終問題解決~
以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。
推薦閱讀:
- spring boot security設置忽略地址不生效的解決
- Spring Boot security 默認攔截靜態資源的解決方法
- springSecurity實現簡單的登錄功能
- SpringBoot+Spring Security無法實現跨域的解決方案
- Spring Security系列教程之會話管理處理會話過期問題