使用Spring-WebFlux忽略Web

2022-04-06 00:00:00 java spring-webflux spring-security

在Spring中-MVC可以从WebSecurityConfigurerAdapter扩展，重写configure(WebSecurity web)，并进行如下思考：

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers(AUTH_WHITE_LIST);
}

这种方法的主要好处是，Spring-Security甚至不会尝试对传递的令牌进行解码。除了使用WebFlux之外，是否有可能做同样的事情？

我知道我可以这样做：

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) throws Exception {
    http.csrf().disable()
            .authorizeExchange().pathMatchers(AUTH_WHITE_LIST).permitAll()
            .anyExchange().authenticated();
    return http.build();
}

但在这种情况下，据我所知，Spring-Security将首先尝试解析提供的令牌。

解决方案

据我所知，在WebFlux中确保路径(和标记)被Spring安全忽略的等价物是在ServerHttpSecurity上使用securityMatcher()方法。即应与使用带有antMatcher的WebSecurity#IGNORING()方法相同。

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
    return http.securityMatcher(new NegatedServerWebExchangeMatcher(
                ServerWebExchangeMatchers.pathMatchers("/ignore/this/path")))
            .authorizeExchange()
                .anyExchange().authenticated()
            .and()
                .csrf().disable()
             .build();
}

相关文章