@PreAuthorize (permitAll) richiede ancora l'autenticazione

Question

Ho il seguente metodo esempio nel mio Repository (con @RepositoryRestResource annotazione):

@Override 
@PreAuthorize("permitAll") 
@PostAuthorize("permitAll") 
public Iterable<User> findAll(); 

Ma sto ancora ricevendo 401 Unauthorized, evento quando aggiungo quelli permitAll annotazione intero Interfaccia del repository.

Ho ottenuto questo come il mio WebSecurityConfigurerAdapter:

@EnableWebSecurity 
@EnableGlobalMethodSecurity(prePostEnabled = true) 
@Configuration 
class WebSecurityConfig extends WebSecurityConfigurerAdapter { 
    @Override 
    protected void configure(final HttpSecurity http) throws Exception { 
     http.authorizeRequests().anyRequest().fullyAuthenticated().and().httpBasic().and().csrf().disable(); 
    } 
} 

Suppongo che questo ha la precedenza su quelle annotazioni metodo, bu non so come risolvere questo problema.

Answer 1

La sicurezza del metodo viene applicata dopo il filtro di sicurezza Web.

Dato che nella configurazione è presente il anyRequest().fullyAuthenticated(), il metodo findAll non verrà colpito. anyRequest().fullyAuthenticated() significa che tutti i tentativi di accesso a un endpoint Web di cui non si dispone di un'autenticazione utente completa su di esso avranno esito negativo.

Dal JavaDoc

specificare che gli URL sono consentiti dagli utenti che hanno autenticati ed erano non è "ricordato".

È necessario aggiungere un ulteriore percorso nella sicurezza Web, ad esempio.

protected void configure(final HttpSecurity http) throws Exception { 
    http.authorizeRequests() 
      .anyRequest().fullyAuthenticated() 
      .antMatchers(HttpMethod.GET, '/somePath').permitAll() 
     .and() 
      .httpBasic() 
     .and() 
      .csrf().disable(); 
}