Spring Security 过滤器链常见问题：requestMatchers(

## Spring Security 过滤器链常见问题：requestMatchers("").permitAll() 失效

作为一名程序员和技术作家，我经常遇到 Spring Security 的过滤器链问题。requestMatchers("").permitAll() 设置失效是一个常见的痛点。在本文中，我将深入探讨这个问题，提供详细的解决步骤，并阐明背后的原理。

### 问题

该问题通常发生在你试图免除某些请求进行身份验证，但仍然收到 401 未授权错误时。在 filterChain 中，requestMatchers 方法用于定义应该被允许访问的请求路径。然而，当使用 requestMatchers("").permitAll() 时，它却无法正常工作。

### 解决步骤

要解决这个问题，需要采取以下步骤：

• 检查过滤器顺序： 确保 requestMatchers("").permitAll() 位于其他请求匹配器之前。
• 禁用 CSRF： CSRF 保护可能会干扰 permitAll() 的功能。尝试禁用 CSRF 保护。
• 检查注解： @PreAuthorize 注解可能会覆盖 filterChain 中的权限设置。确保 @PreAuthorize 注解与 filterChain 中的权限设置一致。
• 移除 anyRequest().authenticated()： 移除 anyRequest().authenticated() 行，因为这会强制对所有请求进行身份验证。
• 检查资源服务器配置： 如果是资源服务器，请确保 ResourceServerConfigurerAdapter 已正确配置。
• 检查调试日志： 启用 Spring Security 调试日志，以检查过滤器链是否按预期执行。

### 原理说明

requestMatchers("").permitAll() 通过添加一个 AnonymousAuthenticationFilter 来允许匿名访问。该过滤器创建一个匿名 Authentication 对象，并将其置于安全上下文中。但是，如果后面的过滤器覆盖了 AnonymousAuthenticationFilter，则匿名身份验证将被禁用。

### 结论

通过遵循这些步骤，你应该能够解决 requestMatchers("").permitAll() 失效的问题。记住，Spring Security 的过滤器链是一个强大的工具，但理解其工作原理并仔细配置它至关重要。

### 常见问题解答

1. 过滤器链是什么？

过滤器链是一个在请求到达目标控制器之前执行的一系列过滤器。Spring Security 使用过滤器链来实现身份验证、授权和请求处理。

2. 为什么 requestMatchers("").permitAll() 可能会失效？

它可能失效的原因包括过滤器顺序不正确、CSRF 保护或 @PreAuthorize 注解干扰。

3. 禁用 CSRF 保护安全吗？

在开发和测试环境中，禁用 CSRF 保护通常是安全的。但在生产环境中，建议启用 CSRF 保护。

4. 如何检查调试日志？

在 application.properties 文件中设置 logging.level.org.springframework.security=DEBUG。

5. 如何配置资源服务器？

在 ResourceServerConfigurerAdapter 中，配置 requestMatchers 和 authorizeRequests，以指定要保护的资源和授权规则。