Spring security antMatchers 未应用于 POST 请求，仅适用于 GET

Question

我正在使用 Spring 安全库来保护我的应用程序中的 REST api，我现在正在尝试允许访问所有 URL（暂时）但是通过以下配置我发现只允许 GET 请求但不允许 POST 请求（其中我得到 403 禁止响应），我知道下面的第一个 antmatcher 应该同时允许 GET 和 POST，但实际上 2 个 antMatcher 不允许 POST

有人可以告诉我我在这里缺少什么吗？

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
// first I have tried only this antMatcher
            .antMatchers("/**").permitAll()
// But then it didn't allow POST even when only using the line below
            .antMatchers(HttpMethod.POST, "/**").permitAll()
}

Answer 1

经过一番调查，事实证明 antMatcher 正在按预期工作并允许所有 URL 按预期进行，但我收到的 POST API 被禁止响应的原因是 Spring 安全性正在等待这些 POST 的 csrf 令牌请求，因为在 Spring Security 中默认启用 CSRF 保护。

所以为了让它像这样工作，你必须在 POST 请求中提供 csrf 令牌，或者你可以暂时关闭 CSRF 保护（但你应该在投入生产之前再次启用它，因为这是一个严重的攻击）

示例代码：

protected void configure(HttpSecurity http) throws Exception {
    http
        // disabling csrf here, you should enable it before using in production
        .csrf().disable()
        .authorizeRequests()
       // this matcher is working for all GET/POST/... , any URL matching the reg expression
            .antMatchers("/**").permitAll()
}

Answer 2

正如提问者在您自己的回复中所说，403 禁止错误可能是由 CSRF 保护引起的。但除了禁用此保护之外，您还可以像这样将一些 AntMatchers 排除在外：

http
                (...) // oculted for brevity
                .and()
                .csrf()
                    .ignoringAntMatchers("/api/a", "/api/b")

Answer 3

你需要做类似的事情，你应该提到角色

http
  .httpBasic().and()
  .authorizeRequests()
    .antMatchers(HttpMethod.POST, "/employees").hasRole("ADMIN")
    .antMatchers(HttpMethod.PUT, "/employees/**").hasRole("ADMIN")

希望它能解决您的问题。