一.目的:
自定义@AnonymousAccess注解,可以直接在controller上添加该注解使请求绕过权限验证进行匿名访问,便于快速调用调试以及部分不需要进行安全验证的接口。而不是每次都需要去SecurityConfig文件中进行修改。
二.流程:
三.实现
1.自定义注解 @AnonymousAccess的java类
package com.hng.config.security;
import java.lang.annotation.*;
/**
* 用于标记匿名访问方法
*/
@Inherited
@Documented
@Target({ElementType.METHOD,ElementType.ANNOTATION_TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface AnonymousAccess {
}
2.在security的配置类的 configure(HttpSecurity httpSecurity)方法中配置匿名访问
//TODO 第一步,在configure方法开始先收集所有的带匿名标记的url
//查找匿名标记URL
Map<RequestMappingInfo, HandlerMethod> handlerMethods =
applicationContext.getBean(RequestMappingHandlerMapping.class).getHandlerMethods();
Set<String> anonymousUrls = new HashSet<>();
for (Map.Entry<RequestMappingInfo, HandlerMethod> infoEntry : handlerMethods.entrySet()) {
HandlerMethod handlerMethod = infoEntry.getValue();
AnonymousAccess anonymousAccess = handlerMethod.getMethodAnnotation(AnonymousAccess.class);
if (anonymousAccess != null) {
anonymousUrls.addAll(infoEntry.getKey().getPatternsCondition().getPatterns());
}
}
anonymousUrls.forEach(s -> log.warn("可以匿名访问的url:{}", s));
//TODO 第二步,在configure方法httpSecurity配置信息上配置第一步收集到的url
//添加可匿名访问的接口
.antMatchers(anonymousUrls.toArray(new String[0])).anonymous()
四.使用
在需要匿名访问的controller方法上直接添加@AnonymousAccess即可
@AnonymousAccess
@ApiOperation("用户注册")
@PostMapping("/register")
@ResponseBody
public ResponseResult<Object> userRegister(@RequestBody RegisterUser registerUser){
SysUser user = new SysUser();
BeanUtil.copyProperties(registerUser,user);
user.setPassword(passwordEncoder.encode("123456"));
user.setCreateBy("新用户注册");
user.setUpdateBy("新用户注册");
sysUserService.addSysUser(user);
return ResponseResult.success("用户注册成功,初始密码为【123456】,请尽快修改",user);
}