用于非授权连接的 Spring Security REST Api

Posted 2023-02-27

【中文标题】用于非授权连接的 Spring Security REST Api

【英文标题】：Spring Security REST Api for non-authorized connections

【发布时间】：2014-09-20 00:39:02

【问题描述】：

我有一个应用程序和 API。我同时使用 Spring 和 Spring 安全性。访问 API 需要身份验证。

我配置 RESTFUL Web 服务仅在身份验证成功时响应（登录后使用 JSESSIONID 处理），如果用户未登录或凭据错误，则无法查询数据库。但不知何故，我需要访问数据库并对忘记的密码进行一些更改。我需要检查请求的电子邮件是否在记录中。此外，更改密码后更新数据库。例如;如果我做'UPDATE USER'动作permitAll()，就会出现安全问题。

你能给我一些想法来解决这个问题吗？

【问题讨论】：

您可以创建一些具有更改密码权限的用户，然后在更改密码时自动登录该用户->发送请求->注销用户以及用户视图后面的所有内容。

是的，我就是这样解决这个问题的。我为这种未经授权的编程调用创建了一个虚拟凭据。谢谢！

欢迎您。如果您可以将其设置为已解决。谢谢！

【参考方案1】：

您可以创建一些具有更改密码权限的用户，然后在更改密码时自动登录该用户->发送请求->注销用户以及用户视图后面的所有内容。