SpringBoot - 完全停用安全性以启用摘要转发

Posted 2023-02-24

【中文标题】SpringBoot - 完全停用安全性以启用摘要转发

【英文标题】：SpringBoot - Deactivate security completely to enable digest forwarding

【发布时间】：2017-03-29 13:16:53

【问题描述】：

我们正在构建一个基于 SpringBoot 的应用程序，它将像代理一样工作。它接受请求并将它们发送到另一个端点。这包括摘要式身份验证。

Client --> Proxy (Spring) --> Resource

客户端和资源使用摘要式身份验证，无需代理即可正常工作。

我如何完全禁用任何安全性，尤其是摘要式身份验证的默认处理，以明确转发请求（无需讨论潜在的安全问题，这是预期）。

我们尝试了.authorizeRequests().antMatchers("/**").permitAll()、security.ignored=/**、management.security.enabled=false 和

@EnableAutoConfiguration(exclude = 
    org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration.class)

我测试过摘要转发在技术上是在 NodeJS/Express 堆栈上。

【问题讨论】：

移除 spring 安全依赖，只有当这些 jars 在类路径上时才会启用安全性。如果您不需要安全措施，请移除它们。

【参考方案1】：

您必须忽略任何请求。此外，如果存在，您必须删除 servlet 的摘要过滤器。

@Override
public void configure(WebSecurity web) throws Exception 
    web.ignoring().antMatchers("/**");

【讨论】：

“servlet 的摘要过滤器” - 您是指我们添加的过滤器还是有任何默认的摘要过滤器？

没有默认过滤器阻止这个:)