Как получить permitAll в Spring Security, чтобы не бросать AuthenticationCredentialsNotFoundexception в объекте @Controller?

Question

Как получить permitAll в Spring Security, чтобы не бросать AuthenticationCredentialsNotFoundexception в объекте @Controller?

у меня есть контроллер, который имеет много действий, и он указывает аннотацию класса по умолчанию @PreAuthorize, но одно из действий, которое я хочу впустить кого-либо (действие "показать").

@RequestMapping("/show/{pressReleaseId}")
@PreAuthorize("permitAll")
public ModelAndView show(@PathVariable long pressReleaseId) {
    ModelAndView modelAndView = new ModelAndView(view("show"));

    modelAndView.addObject("pressRelease",
        sysAdminService.findPressRelease(pressReleaseId));

    return modelAndView;
}

к сожалению, Spring Security выдает это исключение:

org.springframework.security.authentication.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext
    at org.springframework.security.access.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterceptor.java:321)
    at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:195)
    at org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:64)

Как я могу заставить Spring Security не выбрасывать это исключение? Я просто хочу, чтобы кто - нибудь-не аутентифицированные пользователи и аутентифицированные пользователи - все.

мое единственное решение-поставить это метод Вообще на другой контроллер без @предварительного блокирования средств на всех... это сработает, но это глупо. Я хочу, чтобы все мои действия пресс-релиза были в одном контроллере.

Спасибо за помощь!

6

authentication authorization controller exception spring-security

автор: egervari

3 ответов

автор: gutch · Accepted Answer · 2010-12-20 06:07:55

обычный способ разрешить кому-либо доступ к методу контроллера -не аннотировать его с любыми аннотациями безопасности Spring; ie нет @PreAuthorize нет @Secured etc.

вы должны быть в состоянии просто удалить @PreAuthorize с show() метод, любой оставьте аннотацию на других методах в этом контроллере. Другие методы останутся независимо от того, что вы делаете с show() метод.

автор: axtavt · Accepted Answer · 2010-12-20 14:01:38

Я думаю, у вас нет фильтра аутентификации anonymouse включен.

Если вы используете конфигурацию пространства имен и auto-config = "true", Он должен быть включен по умолчанию. Если вы не используете auto-config, вы можете включить анонимный фильтр как <security:anonymous />.

автор: Seb · Accepted Answer · 2014-01-17 11:48:18

значение по умолчанию изменилось с более новой версией (версия 2) плагина spring security. Это означает, что все контроллеры защищены по умолчанию (вам нужно войти в систему, чтобы увидеть их). Удаление @Secured не будет работать вообще, он все равно останется защищенным. Вы можете изменить это поведение по умолчанию, но для меня новое поведение по умолчанию имеет смысл, потому что это гораздо более безопасно. И безопасность очень важна.

Я использую только

@Secured(['permitAll'])

для моего контроллера, но он также должен работать для метода.