微服务网关作为资源服务器配置permitAll的问题

来源：8-7 资源服务器的配置

weixin_慕移动7390343

2022-12-05

老师好，我在实践微服务网关统一认证鉴权时对一块配置有疑问。OAuth2资源服务器是基于spring cloud新一代gateway网关来配置的。

有效的配置

首先对白名单api直接放行，其他所有访问都要先走授权管理器进行check，这个配置ok的：
图片描述
测试也ok，白名单里的api可以直接访问：

而请求http://localhost:8065/api/article/personal/1则需要携带有效令牌才能访问，也ok：

现在我只关心要认证和授权的api，其他通通都放行，因此我尝试做了如下的调整：
图片描述
但是，测试却发现需要授权的api不用携带令牌就能直接访问了：

我怀疑.anyExchange().permitAll()这段配置对上一行的配置进行了覆盖，如果我不考虑白名单，只想配置要拦截的api而其他的都放行，正确的配置应该怎么做？

写回答

1回答

接灰的电子产品

2022-12-05

没太明白，你的新配置里面只有放行没有配置需要认证授权的api 路径啊，所以 any request 都是 permit 啊

接灰的电子产品

weixin_慕移动7390343

你的这个配置是写在哪里？是网关还是资源服务器？

2022-12-07

共2条回复

Spring Security+OAuth2 精讲，打造企业级认证与授权

一站式掌握主流安全框架与行业解决方案，从容应对各种安全难题。

1042 学习 · 316 问题

相似问题

回答 1

回答 1

回答 1

回答 1

回答 1