Сопоставители запросов Spring Security 3.1.4 с переменной Pathvariable

Сопоставители запросов Spring Security 3.1.4 с переменной Pathvariable ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Сопоставители запросов Spring Security 3.1.4 с переменной Pathvariable

Цитата

Сообщение Anonymous » 21 ноя 2025, 15:51

У меня непонятная ситуация. Я использую контроллер с любыми конечными точками. У меня есть два метода с конечными точками Get /short и /{idOrCode}. Переменная пути имеет строковый тип. Конечная точка с этой переменной пути имеет конфигурацию PermitAll() в SecurityFilterChain. Согласно документации, эти конечные точки для авторизации различаются. Однако когда я вызываю конечную точку /short без авторизации, я получаю от нее данные.
Конфигурация Spring Security:

Код: Выделить всё

   @Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.csrf(AbstractHttpConfigurer::disable)
.cors(Customizer.withDefaults())
.authorizeHttpRequests(auth ->
auth.requestMatchers("/api/v1/auth/authenticate",
"/actuator/**",
"/api/v1/service-point/{idOrCode}",
"/api/v1/service-point/parent/{servicePointId}")
.permitAll()
.requestMatchers(AUTH_WHITELIST)
.permitAll()
.requestMatchers("/api/v1/auth/change/admindata").hasRole(RoleEnum.BURNS.name())
.requestMatchers("/api/v1/auth/register").hasRole(RoleEnum.ADMIN.name())
.requestMatchers("/api/v1/auth/change/password")
.hasAnyRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.POST).hasRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.DELETE).hasRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.PUT).hasRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.PATCH).hasRole(RoleEnum.ADMIN.name())
.anyRequest()
.authenticated())
.sessionManagement(ssmng -> ssmng.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
.authenticationProvider(authProvider)
.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

return http.build();
}

и JWTFilter проверяет отсутствие jwt и отправляет его дальше по цепочке:

Код: Выделить всё

@Override
protected void doFilterInternal(
@NonNull HttpServletRequest request,
@NonNull HttpServletResponse response,
@NonNull FilterChain filterChain
) throws ServletException, IOException {

final String authHeader = request.getHeader("Authorization");
final String jwt;
final String userName;
if (StringUtils.isBlank(authHeader) || !authHeader.startsWith("Bearer ")) {
filterChain.doFilter(request, response);
return;
}
...
}

Единственный выход, который я нашел, — это добавить регулярное выражение для переменной пути в конфигурации. НО ЧТО Стандартное правило не работает?

Подробнее здесь: https://stackoverflow.com/questions/798 ... thvariable

1763729505

Anonymous

У меня непонятная ситуация. Я использую контроллер с любыми конечными точками. У меня есть два метода с конечными точками Get /short и /{idOrCode}. Переменная пути имеет строковый тип. Конечная точка с этой переменной пути имеет конфигурацию PermitAll() в SecurityFilterChain. Согласно документации, эти конечные точки для авторизации различаются. Однако когда я вызываю конечную точку /short без авторизации, я получаю от нее данные.
Конфигурация Spring Security:
[code]   @Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.csrf(AbstractHttpConfigurer::disable)
.cors(Customizer.withDefaults())
.authorizeHttpRequests(auth ->
auth.requestMatchers("/api/v1/auth/authenticate",
"/actuator/**",
"/api/v1/service-point/{idOrCode}",
"/api/v1/service-point/parent/{servicePointId}")
.permitAll()
.requestMatchers(AUTH_WHITELIST)
.permitAll()
.requestMatchers("/api/v1/auth/change/admindata").hasRole(RoleEnum.BURNS.name())
.requestMatchers("/api/v1/auth/register").hasRole(RoleEnum.ADMIN.name())
.requestMatchers("/api/v1/auth/change/password")
.hasAnyRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.POST).hasRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.DELETE).hasRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.PUT).hasRole(RoleEnum.ADMIN.name())
.requestMatchers(HttpMethod.PATCH).hasRole(RoleEnum.ADMIN.name())
.anyRequest()
.authenticated())
.sessionManagement(ssmng -> ssmng.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
.authenticationProvider(authProvider)
.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

return http.build();
}
[/code]
и JWTFilter проверяет отсутствие jwt и отправляет его дальше по цепочке:
[code]@Override
protected void doFilterInternal(
@NonNull HttpServletRequest request,
@NonNull HttpServletResponse response,
@NonNull FilterChain filterChain
) throws ServletException, IOException {

final String authHeader = request.getHeader("Authorization");
final String jwt;
final String userName;
if (StringUtils.isBlank(authHeader) || !authHeader.startsWith("Bearer ")) {
filterChain.doFilter(request, response);
return;
}
...
}
[/code]
Единственный выход, который я нашел, — это добавить регулярное выражение для переменной пути в конфигурации. НО ЧТО Стандартное правило не работает? 

Подробнее здесь: [url]https://stackoverflow.com/questions/79826514/spring-security-3-1-4-requestmatchers-with-pathvariable[/url]