即使没有安全性,SpringBoot 401 UnAuthorized

【问题标题】:SpringBoot 401 UnAuthorized even with out security即使没有安全性,SpringBoot 401 UnAuthorized
【发布时间】:2017-12-27 04:12:50
【问题描述】:

我没有使用 Spring Security,但它要求我进行身份验证。

URL(http://localhost:8080/SpringJob/ExecuteJob) 的例外:

{
    "timestamp": 1500622875056,
    "status": 401,
    "error": "Unauthorized",
    "message": "Bad credentials",
    "path": "/SPPA/ExecuteSPPAJob"
}
----below log details
2017-07-21 13:15:35.210  INFO 19828 --- [nio-8080-exec-1] o.a.c.c.C.[Tomcat].[localhost].[/SpringJob]   : Initializing Spring FrameworkServlet 'dispatcherServlet'
2017-07-21 13:15:35.210 [http-nio-8080-exec-1] INFO 
                    o.a.c.c.C.[.[localhost].[/SpringJob]-Initializing Spring FrameworkServlet 'dispatcherServlet' 
2017-07-21 13:15:35.211  INFO 19828 --- [nio-8080-exec-1] o.s.web.servlet.DispatcherServlet        : FrameworkServlet 'dispatcherServlet': initialization started
2017-07-21 13:15:35.211 [http-nio-8080-exec-1] INFO 
                    o.s.web.servlet.DispatcherServlet-FrameworkServlet 'dispatcherServlet': initialization started 
2017-07-21 13:15:35.494  INFO 19828 --- [nio-8080-exec-1] o.s.web.servlet.DispatcherServlet        : FrameworkServlet 'dispatcherServlet': initialization completed in 282 ms
2017-07-21 13:15:35.494 [http-nio-8080-exec-1] INFO 
                    o.s.web.servlet.DispatcherServlet-FrameworkServlet 'dispatcherServlet': initialization completed in 282 ms

应用程序-dev.xml

#Spring Boot based configurations
management.security.enabled: "false"
spring.autoconfigure.exclude:  "org.springframework.boot.autoconfigure.jdbc.DataSourceAutoConfiguration"
spring.batch.job.enabled: false
server.contextPath: /SpringJob

build.gradle sn-p

plugins {
    id 'jacoco'
    id 'org.sonarqube' version '2.5'
}

apply plugin: 'java'
apply plugin: 'eclipse'
apply plugin: 'idea'
apply plugin: 'org.springframework.boot'
apply plugin: "no.nils.wsdl2java"
apply plugin: 'jacoco'
apply plugin: "org.sonarqube"
dependencies {
    compile("org.springframework.boot:spring-boot-starter-web")
    compile("org.springframework.boot:spring-boot-starter-batch")
    compile("org.springframework.boot:spring-boot-starter-mail")
    //compile("org.springframework.boot:spring-boot-devtools")
    compile group: 'org.apache.commons', name: 'commons-lang3', version: '3.5'
    compile group: 'org.apache.cxf', name: 'cxf-spring-boot-starter-jaxws', version: '3.1.10'
    compile group: 'org.apache.cxf', name: 'cxf-rt-ws-security', version: '3.1.10'
    compile("org.springframework.boot:spring-boot-starter-actuator")
    testCompile('org.springframework.boot:spring-boot-starter-test')
}

控制器

@Controller
@EnableAutoConfiguration
@EnableBatchProcessing
public class MyController {
    @Autowired
    JobLauncher jobLauncher;

    @RequestMapping("/ExecuteJob")
    @ResponseBody
    public String callPrelegalJob(@RequestParam("user") String userName, @RequestParam("password") String password) {
        log.info("Job is to be launched from controller...");
}
}

【问题讨论】:

  • 这是因为 cxf-rt-ws-security
  • 如何解决这个问题,谢谢回复
  • 如果安全不是您的首要任务,您可以注释掉依赖项。否则您需要自定义配置以设置身份验证详细信息
  • 查看techtots.blogspot.in/2016/07/…
  • 有没有办法在 application.properties 中禁用此身份验证?因为 czf-rt-ws-security 仅用于 Spring 的 SOAP 服务调用,而不用于身份验证。

标签: java spring spring-boot spring-security controller


【解决方案1】:

在当前版本的 Spring Boot (v2.1.0.RELEASE) 中,摆脱安全问题的最简单方法是在您的项目中添加“WebSecurityConfig.java”,如下所示:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
    }

}

当然请注意,这消除了对跨站点请求伪造的保护,因此这实际上只适用于简单的只读端点。

【讨论】:

    【解决方案2】:

    尝试在application.properties 文件中添加以下行

    security.basic.enable: false
security.ignored=/**

    根据spring doc,使用security.ignored=

    要从默认安全中排除的路径的逗号分隔列表 路径

    【讨论】:

    • 这行得通@Afridi 谢谢,如果可以的话,请提供我的文档链接。
    • @sunleo 导航到docs.spring.io/spring-boot/docs/current/reference/html/…,然后搜索单词“security.ignored="
    • @trevorsky 此选项在 1.5.8.RELEASE 版本之前可用,上面的链接引用当前版本,当前版本为 2.1.x。可能他们现在删除了它。 docs.spring.io/spring-boot/docs/1.5.8.RELEASE/reference/html/…
    • @alfridi 谢谢,是的,与 2+ 相比,这个领域看起来发生了很大变化。我们最终添加了一段明确的代码来禁用安全性,作为临时修复,直到我们优先考虑学习并添加适当的安全配置。对于像我这样偶然发现此主题的其他人,我会将其添加为下面的答案。
    • 这些已被弃用
    【解决方案3】:

    只需从 pom.xml 文件中删除 spring 安全依赖项。 为我工作:)..

    【讨论】:

    • 删除这个:compile('org.springframework.boot:spring-boot-starter-security'),如果它存在的话
    【解决方案4】:

    如果我们使用 CXF 安全性和 Spring Boot 安全性,就会出现这个问题。 注释掉依赖项,即禁用 Spring Boot 安全性然后它允许。

    <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>       
</dependency>

    要启用此功能,我们必须编写自定义安全性或添加以下配置

    @Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().permitAll();
    }
}

    【讨论】:

    • 它适用于 Spring boot 2.2.6.RELEASE,谢谢
    【解决方案5】:

    我找不到禁用身份验证的确切方法。但是通过删除正在工作的执行器依赖项。

    compile("org.springframework.boot:spring-boot-starter-actuator")

    【讨论】:

      【解决方案6】:

      @harshit-sharma 的解决方案对我有用;我在主应用程序类中添加了排除项:

      @SpringBootApplication(exclude = { SecurityAutoConfiguration.class })

      【讨论】:

        【解决方案7】:

        您可以将 springSecurityFilterChain 配置为忽略所有请求,从而允许对您的所有端点进行未经身份验证的访问:

        @Configuration
@EnableWebSecurity
public class WebConfiguration extends WebSecurityConfigurerAdapter {


    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/**");
    }

}

        【讨论】:

        • 请在您的回答中添加解释
        • 还有什么包是WebSecurity。我实际上想打开一个点,但我不能导入WebSecurity
        • @JGleason WebSecurity 位于 spring-security 的 spring-security-config 中。
        【解决方案8】:

        Spring Security 可能仍通过传递依赖项存在于项目库中。在 Spring Boot 中应该仍然有效的是:

            @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/**")
                .permitAll();
    }

        注意:http 是一个org.springframework.security.config.annotation.web.builders.HttpSecurity,它在一个@Component 中,它可能已经被一些org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter implementation 在你的应用程序的框架中注入和调用。这应该覆盖任何内置的 catch-all 子句,即 http.authorizeRequests().anyRequest().denyAll() 用于测试等目的。

        【讨论】:

          【解决方案9】:

          我通过从 pom.xml 中删除此依赖项来解决

           <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
 </dependency>

          【讨论】:

            猜你喜欢
            • 2020-10-20
            • 2019-03-25
            • 2019-06-07
            • 2017-04-26
            • 2020-12-15
            • 2017-11-03
            • 1970-01-01
            • 2021-09-25
            • 1970-01-01
            相关资源
            最近更新 更多
            热门标签
            Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode