Приложение Spring Boot (Thymeleaf) с защитой паролем для некоторых URL-адресов и публичным доступом для некоторых других

Приложение Spring Boot (Thymeleaf) с защитой паролем для некоторых URL-адресов и публичным доступом для некоторых других ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Приложение Spring Boot (Thymeleaf) с защитой паролем для некоторых URL-адресов и публичным доступом для некоторых других

Цитата

Сообщение Anonymous » 18 фев 2026, 15:55

Я работаю над приложением Spring Boot, упакованным в формате JAR, а также с шаблонами Thymeleaf. У меня есть следующие URL:

Код: Выделить всё
```
/app/endpoint
```
: REST API с несколькими сопоставлениями запросов с выводом JSON.
Код: Выделить всё
```
/app/login
```
: Сопоставление HTML-страницы входа в систему (пока только фиктивный контент, для тестирования).
Код: Выделить всё
```
/app/index
```
: Сопоставление главной страницы HTML (пока только фиктивный контент для тестирования).

У меня есть класс Java для определения авторизации следующим образом:

Код: Выделить всё

@Configuration
@EnableWebSecurity
public class SecurityConfig {

@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager =
new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("admin").
password("{noop}admin").roles("ADMIN")
.build());
manager.createUser(User.withUsername("user").
password("{noop}user").roles("USER")
.build());
return manager;
}

@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
return (web) -> web.ignoring()
.requestMatchers("/app/endpoint/**");
}

@Bean
public SecurityFilterChain filterChain(HttpSecurity http)
throws Exception {
http.authorizeHttpRequests((a) ->
a.requestMatchers("/app/endpoint/**").permitAll()
.requestMatchers("/app/login", "/app/index")
.hasAnyRole("ADMIN", "USER")
.anyRequest().authenticated()
).httpBasic(withDefaults());
return http.build();
}
}

Я ожидаю, что пользователь должен предоставить учетные данные для посещения /app/login и /app/index, но сохраняя конечные точки REST API (

Код: Выделить всё

/app/endpoint/**

) общедоступно без них. Но при выполнении обеих команд я получаю статус 401 вместо статуса 200 для второй:

Код: Выделить всё

$ curl -k -I https://localhost:8443/app/login
HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"
(... other headers...)

$ curl -k -I https://localhost:8443/app/endpoint/list
HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"
(... other headers...)

Думаю, я близок к этому, отредактировав метод filterChain(), но что-то, похоже, не так.

Подробнее здесь: https://stackoverflow.com/questions/798 ... urls-and-p

1771419308

Anonymous

Я работаю над приложением Spring Boot, упакованным в формате JAR, а также с шаблонами Thymeleaf. У меня есть следующие URL:
[list]
[*][code]/app/endpoint[/code] : REST API с несколькими сопоставлениями запросов с выводом JSON.
[*][code]/app/login[/code] : Сопоставление HTML-страницы входа в систему (пока только фиктивный контент, для тестирования).
[*][code]/app/index[/code] : Сопоставление главной страницы HTML (пока только фиктивный контент для тестирования).
[/list]
У меня есть класс Java для определения авторизации следующим образом:
[code]@Configuration
@EnableWebSecurity
public class SecurityConfig {

@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager =
new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("admin").
password("{noop}admin").roles("ADMIN")
.build());
manager.createUser(User.withUsername("user").
password("{noop}user").roles("USER")
.build());
return manager;
}

@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
return (web) -> web.ignoring()
.requestMatchers("/app/endpoint/**");
}

@Bean
public SecurityFilterChain filterChain(HttpSecurity http)
throws Exception {
http.authorizeHttpRequests((a) ->
a.requestMatchers("/app/endpoint/**").permitAll()
.requestMatchers("/app/login", "/app/index")
.hasAnyRole("ADMIN", "USER")
.anyRequest().authenticated()
).httpBasic(withDefaults());
return http.build();
}
}
[/code]
Я ожидаю, что пользователь должен предоставить учетные данные для посещения /app/login и /app/index, но сохраняя конечные точки REST API ([code]/app/endpoint/**[/code]) общедоступно без них. Но при выполнении обеих команд я получаю статус 401 вместо статуса 200 для второй:
[code]$ curl -k -I https://localhost:8443/app/login
HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"
(... other headers...)

$ curl -k -I https://localhost:8443/app/endpoint/list
HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"
(... other headers...)
[/code]
Думаю, я близок к этому, отредактировав метод filterChain(), но что-то, похоже, не так.
 

Подробнее здесь: [url]https://stackoverflow.com/questions/79891538/spring-boot-application-thymeleaf-with-password-protection-for-some-urls-and-p[/url]