#spring #spring-boot #spring-security
#spring #spring-boot #пружина-безопасность
Вопрос:
У меня есть API, настроенный с помощью функции PermitAll() Spring Security:
class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/api").permitAll()
.and().httpBasic();
}
}
Хотя это работает, я заметил, что если вы включите базовый заголовок авторизации, Spring Security все равно попытается обработать и проверить заголовок авторизации.
Я использую AWS API gateway для авторизации. Затем AWS перешлет запрос в мое приложение. Дело в том, что AWS API gateway пересылает заголовок auth в приложение.
Каков наилучший способ решить эту проблему, удалить заголовок до того, как AWS отправит запрос в приложение? или я настраиваю Spring Security на игнорирование заголовка auth, если API является общедоступным?
Комментарии:
1. Просто чтобы добавить, я добавил spring security, потому что приложение может быть развернуто с безопасностью на уровне приложения или с помощью API gateway auth public app api.
2. попробуйте
http.httpBasic().authorizeRequests().antMatchers("/api").permitAll()3. @dgzz вы нашли ответ. Я столкнулся с этим в 2022 году 🙂 Помощь приветствуется.