REST api 的 Spring security 在身份验证失败时显示浏览器弹出窗口

Question

我有一个使用 Facebook 的 React 框架开发的单页应用程序，我在其中使用 JSX 来确定用户是否登录:

render: function() {
    return <div>
      <BrandBar/>
      <div className="container">
        <TopBar/>
        {this.state.sessionState == 'LOADING' ? (<h1>Loading</h1>) : (this.state.sessionState == 'LOGGEDIN' ? this.props.children : <Login/>)}
      </div>
    </div>
}

改变该组件状态的登录函数是一个简单的 REST 调用(使用 superagent)，它获取附加了基本身份验证凭据的用户信息:

login: function(username, password){
    return {
      then: function(callback){
        request 
          .get(rootUrl + 'me')
          .auth(username, password)
          .end((err, res) => {
            callback(res);
          });
      }
   }
}

在后端，我在 Spring Boot 中有一个 REST api:

Controller :

@RequestMapping(value = "/me",
        produces = {APPLICATION_JSON},
        method = RequestMethod.GET)
public User getMe() {
    Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    if (principal != null && principal instanceof CurrentUser){
        return ((CurrentUser) principal).getUser();
    }

    return null;
}

@RequestMapping("/stop")
@ResponseStatus(HttpStatus.NO_CONTENT)
public void stop(HttpSession session) {
    session.invalidate();
}

安全配置:

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable()
                .httpBasic().and()
                .authorizeRequests().anyRequest().authenticated()
                .and().anonymous().disable()
                .exceptionHandling().authenticationEntryPoint(new BasicAuthenticationEntryPoint(){
            @Override
            public void commence(final HttpServletRequest request, final HttpServletResponse response, final AuthenticationException authException) throws IOException, ServletException {
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage());
            }
        });

    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(new BCryptPasswordEncoder());
    }

}

只要我提供的信息正确，登录就可以正常工作，但是当我提供错误的凭据时，服务器会绕过返回普通 401 的异常处理(没有 WWW-Authenticate header ) 。因此，尽管已覆盖 BasicAuthenticationEntryPoint，浏览器仍向我显示弹出窗口。

更奇怪的是，当我在浏览器弹出窗口中提供正确的详细信息时，它仍然返回 401 状态。

这似乎是一个基本设置:一个带有 Spring Security 的简单 REST 服务和前端的单页应用程序。有人遇到过类似的问题吗？

Answer 1

您是否已尝试注册访问被拒绝处理程序？

http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandlerImpl());

public class AccessDeniedHandlerImpl implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse     response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.sendError(HttpStatus.UNAUTHORIZED.value());
    }
}

就像测试当您在安全上下文( Controller 内的代码)中找不到主体时，尝试抛出 AuthenticationException 以查看过滤器链中的某个位置是否处理了异常，应该是这样。