1
resposta

[Dúvida] Possibilidade de acessar uma uri sem estar configurada no SecurityConfiguration

Olá, bom dia, pessoALL, blz? Eu estou fazendo o curso seguindo o passo-a-passo e aplicando num projeto pessoal, acabei me deparando com uma "caracteristica", daí eu baixei o projeto da aula, e este também se comportou da mesma forma. O problema ocorre na classe SecurityConfigurations no método abaixo:

//Configuracoes de autorizacao
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
        .antMatchers(HttpMethod.GET, "/topicos").permitAll()
        .antMatchers(HttpMethod.GET, "/topicos/*").permitAll()
        .antMatchers(HttpMethod.POST, "/auth").permitAll()
        .anyRequest().authenticated()
        .and().csrf().disable()
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and().addFilterBefore(new AutenticacaoViaTokenFilter(tokenService, usuarioRepository), UsernamePasswordAuthenticationFilter.class);
    }

Mesmo se eu remover essas duas linhas :

    .antMatchers(HttpMethod.GET, "/topicos").permitAll()
    .antMatchers(HttpMethod.GET, "/topicos/*").permitAll()

Ainda assim, é possível acessar as operações relacionada a tópicos, isso passando o token e tals, o projeto que estou usando é o que está disponível na aula inicial "07 Documentação da API com Swagger. "

Enfim é isso, gostaria de uma ajudinha nisso...vlw pessoALL

1 resposta

Oi Rodrigo,

Essas duas linhas não são para bloquear as urls, mas sim para liberar.

Todo o resto vai cair nessa última regra: .anyRequest().authenticated(), ou seja, pode acessar desde que esteja autenticado.

Bons estudos!