Spring Security中permitAll()和anonymous()的区别

Posted 2021-10-24 辉常努腻

anonymous() 允许匿名用户访问,不允许已登入用户访问
permitAll() 不管登入,不登入 都能访问
permitAll(): Always evaluates to true
isAnonymous(): Returns true if the current principal is an anonymous user
从 Spring文档：

采用“默认拒绝”通常被认为是良好的安全实践，您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况，尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容（例如主页和登录页面）的身份验证。在这种情况下，最容易为这些特定 URL 定义访问配置属性，而不是为每个受保护的资源定义访问配置属性。换句话说，有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况，例如登录、注销和应用程序的主页。您也可以完全从过滤器链中省略这些页面，从而绕过访问控制检查，

这就是我们所说的匿名身份验证。

请注意，“经过匿名身份验证”的用户和未经身份验证的用户之间没有真正的概念差异。Spring Security 的匿名身份验证只是为您提供了一种更方便的方式来配置您的访问控制属性。

使用.permitAll()will 配置授权，以便在该特定路径上允许所有请求（来自匿名用户和登录用户）。

的.anonymous()表达主要是指用户（登录与否）的状态。基本上，在用户通过“身份验证”之前，它是“匿名用户”。这就像每个人都有一个“默认角色”。