#java #angular #spring #spring-security
#java #угловой #весна #spring-безопасность
Вопрос:
В моем приложении spring я хочу вернуть некоторую информацию моему угловому клиенту. Сначала я отправляю запрос на ‘/ login’, и это работает нормально. Затем я отправляю запрос HTTP-post на ‘/ user’, и он также работает нормально. Но второй вызов ‘/ user’ возвращает исключение 401.
У меня также есть XhrInterceptor в app.module.ts
Вот моя конфигурация безопасности:
@Configuration
@EnableWebSecurity
public class BasicAuthConfiguration extends WebSecurityConfigurerAdapter {
@Bean("authenticationManager")
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Override
public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) {
authenticationManagerBuilder
.authenticationProvider(authenticationProvider());
}
@Bean
public DaoAuthenticationProvider authenticationProvider() {
DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
authProvider.setUserDetailsService(userService);
authProvider.setPasswordEncoder(getPasswordEncoder());
return authProvider;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
.antMatchers("/login").permitAll()
.anyRequest()
.authenticated()
.and()
.httpBasic();
http.cors();
}
Controller.java
@RestController
@Api(tags = "user")
@CrossOrigin(value = "*", allowedHeaders = {"*"})
public class UserController {
@Resource(name = "authenticationManager")
private AuthenticationManager authManager;
@RequestMapping("/login")
public boolean login(@RequestParam("username") final String username, @RequestParam("password") final String password, final HttpServletRequest request) {
UsernamePasswordAuthenticationToken authReq =
new UsernamePasswordAuthenticationToken(username, password);
Authentication auth = authManager.authenticate(authReq);
SecurityContext sc = SecurityContextHolder.getContext();
sc.setAuthentication(auth);
HttpSession session = request.getSession(true);
session.setAttribute("SPRING_SECURITY_CONTEXT", sc);
return
username.equals("john.doe") amp;amp; password.equals("passwd");
}
@RequestMapping(value = "/user")
public Principal user(HttpServletRequest request) {
String authToken = request.getHeader("Authorization")
.substring("Basic".length()).trim();
return () -> new String(Base64.getDecoder()
.decode(authToken)).split(":")[0];
}
}
AuthService.ts
@Injectable({
providedIn: 'root'
})
export class AuthService {
constructor(private http: HttpClient, private router: Router) { }
userName: string;
auth() {
const headers = new HttpHeaders({
authorization: 'Basic ' btoa('john.doe:passwd')
});
let url = 'http://localhost:8080/login';
const formData = new FormData();
formData.append("username", "john.doe")
formData.append("password", "passwd")
this.http.post(url, formData, { headers: headers }).subscribe(isValid => {
if (isValid) {
console.log("isValid", isValid);
sessionStorage.setItem('token', btoa('john.doe:passwd'));
this.router.navigate(['']);
} else {
alert("Authentication failed.")
}
});
}
getUser() {
let url = 'http://localhost:8080/user';
let headers: HttpHeaders = new HttpHeaders({
'Authorization': 'Basic ' sessionStorage.getItem('token')
});
let options = { headers: headers };
// this.http.post(url, "johndoe").
this.http.get(url, options).
subscribe(principal => {
console.log(principal);
this.userName = principal['name'];
},
error => {
if (error.status == 401)
alert('Unauthorized');
}
);
}
LoginComponent.ts
@Component({
selector: 'app-login',
templateUrl: './login.component.html',
styleUrls: ['./login.component.scss']
})
export class LoginComponent implements OnInit {
constructor(private authService: AuthService, private http: HttpClient,
private router: Router) {}
ngOnInit() {
sessionStorage.setItem('token', '');
this.authService.auth()
}
}
Ответ №1:
ОБНОВЛЕНИЕ Вы можете добавить это в свой метод настройки:
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
.antMatchers("/login").permitAll()
.antMatchers("/users").permitAll()
.anyRequest()
.authenticated()
.and()
.httpBasic();
http.cors();
}
Вы хотите, чтобы Angular перехватывал URL-адрес ‘/ user’? Если это так, вы можете настроить перенаправление ViewController любого URL, который вы хотите index.html , который является тем, что читает Angular
public void addViewControllers(ViewControllerRegistry registry) {
String forward = "forward:/index.html";
registry.addViewController("/").setViewName(forward);
registry.addViewController("/login").setViewName(forward);
registry.addViewController("/user").setViewName(forward);
}
Комментарии:
1. Я просто хочу получить некоторые данные из rest-api, но spring security не позволяет мне этого.
2. Отправляете ли вы токен аутентификации в своем запросе?
3. С вашей обновленной версией это будет работать, но я не могу сделать это для каждого отдельного пути, поскольку смысл заключается в том, что пользователь должен иметь доступ только к другим маршрутам, если он аутентифицирован… Да, я отправляю
Ответ №2:
Раньше я не знал, что при использовании ‘httpBasic ()’ всегда требуется аутентификация для каждого запроса. Поэтому я отправляю имя пользователя и пароль в каждом запросе в качестве заголовка авторизации.
Комментарии:
1. Лучшим подходом является использование JWT