Spring Security 匿名访问是不是不能带token

Spring Security 的匿名访问通常是指允许未登录用户访问某些资源而不需要提供身份验证信息的情况。在这种模式下，是不会期望或支持用户携带 token 的，因为匿名用户并没有经过身份验证。然而，你可以配置 Spring Security 来允许匿名访问同时处理基于 cookie 或 session 的轻量级认证。

相关问题

Spring Security 允许匿名访问接口,携带无效beartoken会 报401

在Spring Security中，允许匿名访问接口并处理无效的Bearer Token是一个常见的需求。默认情况下，Spring Security会保护所有接口，只有经过身份验证的用户才能访问。如果你希望某些接口允许匿名访问，同时处理无效的Bearer Token，可以通过以下步骤实现：

1. **配置匿名访问接口**：使用`http.authorizeRequests()`方法来配置哪些接口允许匿名访问。

2. **处理无效的Bearer Token**：当用户携带无效的Bearer Token访问受保护的接口时，Spring Security会返回401 Unauthorized。

以下是一个示例配置：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 允许匿名访问某些接口
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            .and()
            // 配置JWT过滤器
            .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
            // 禁用CSRF
            .csrf().disable();
    }

    @Bean
    public JwtAuthenticationFilter jwtAuthenticationFilter() {
        return new JwtAuthenticationFilter();
    }
}

在这个配置中，`/public/**`路径下的接口允许匿名访问，其他接口需要身份验证。`JwtAuthenticationFilter`是一个自定义的过滤器，用于验证JWT Token。

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;
import java.io.IOException;

public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("Authorization");

        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7);
            // 验证Token
            if (isValidToken(token)) {
                // 设置认证信息
                SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken("user", null, new ArrayList<>()));
            } else {
                // 无效的Token，返回401
                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                return;
            }
        }

        filterChain.doFilter(request, response);
    }

    private boolean isValidToken(String token) {
        // 实现你的Token验证逻辑
        return false;
    }
}

在这个过滤器中，我们检查请求头中的`Authorization`字段，如果包含有效的Bearer Token，则设置认证信息，否则返回401。

springsecurity jwt RBAC

### 实现 Spring Security 中基于 JWT 的 RBAC

为了在 Spring Security 中实现基于 JSON Web Token (JWT) 的角色基础访问控制(RBAC)，可以遵循以下方法：

#### 配置依赖项
项目应引入必要的依赖库来支持 Spring Security 和 JWT 处理。通常这会涉及到 `spring-boot-starter-security` 以及用于创建和验证 JWT 的库，比如 JJWT。

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>${jjwt.version}</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <scope>runtime</scope>
    <version>${jjwt.version}</version>
</dependency>
<!-- 更多配置... -->

#### 创建自定义过滤器
通过继承 `OncePerRequestFilter` 类并重写其 doFilterInternal 方法来自定义一个名为 JwtAuthenticationTokenFilter 的类[^1]。此过滤器负责解析请求头中的 JWT 并将其转换成认证对象供后续处理流程使用。

#### 定义权限常量和服务接口
建立一组枚举类型的权限值以便于管理不同资源所需的最小授权级别；同时提供服务层逻辑以加载用户详情信息（包括用户名、密码哈希及关联的角色列表）。这些数据将在登录成功后被编码到 JWT 载荷部分[^2]。

#### 修改安全配置类
调整现有的 WebSecurityConfigurerAdapter 子类设置，确保启用无状态(session-less)模式，并注册之前提到过的 JWT 认证过滤器实例至全局过滤链中去。另外还需指定哪些 URL 模式允许匿名访问而哪些则需强制执行身份验证检查[^3]。

#### 编码与解码令牌
利用 JJWT 提供的功能编写工具函数完成对称密钥签名算法 HS256 下的 token 构建工作，同时也能够从已有的字符串形式恢复出原始声明集结构体。注意要妥善保管 secret key 不泄露给外界[^4]。

public class JwtUtil {
    
    private static final String SECRET_KEY = "your-secret-key";

    public Claims extractAllClaims(String token){
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
    }

    // More methods...
}