springsecurity中http.permitall與web.ignoring的區別說明

springsecurity http.permitAll與web.ignoring的區別

  • 這兩個都是繼承WebSecurityConfigurerAdapter後重寫的方法
  • http.permitAll不會繞開springsecurity驗證,相當於是允許該路徑通過
  • web.ignoring是直接繞開spring security的所有filter,直接跳過驗證

web.ignoring()與permitAll

AnonymousAuthenticationFilter,創建認證信息的地方,默認是被認證的,那麼後面就不需要進行鑒權操作瞭

總結

web ignore比較適合配置前端相關的靜態資源,它是完全繞過spring security的所有filter的;

permitAll,會給沒有登錄的用戶適配一個AnonymousAuthenticationToken,設置到SecurityContextHolder,方便後面的filter可以統一處理authentication

以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。

推薦閱讀: