最近在使用springboot整合springSecurity安全框架，使用postman除錯專案介面。

專案是新起的，除錯的第一個介面是上傳靜態資源的，第一次用postman上傳附件，結果返回結果報404。

         可是這個介面明明是有的

 我就開始懷疑自己是不是什麼地方有空格，檢查一遍都能匹配的上，於是我嘗試用GET請求方式呼叫一下介面

結果報405，GET方式不支援，說明url匹配是正確的，可是為什麼POST就404呢，浪費我一上午的時間，我都開始懷疑是不是spring容器出現了什麼問題，就是沒有懷疑springSecurity，然後我慢慢一步步的排除問題，知道我把springSecurity的相關配置以及pmx去掉之後發現上傳介面調通了。

查看了springSecurity的文件以及各種論壇，發現springSecrity預設開啟csrf保護。

解決方案：

方式一.服務後臺配置

       1.直接禁用csrf保護。在configure(HttpSecurity http)方法中新增   http.csrf().disable();

       2.重寫csrf保護策略。

        在configure(HttpSecurity http)方法中新增   http.csrf().requireCsrfProtectionMatcher(requestMatcher());

        新增處理類

package com.levenx.config.security;

import org.springframework.security.web.util.matcher.RequestMatcher;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Pattern;

/**
 * Created by 樂聞 on 2018/9/11.
 */
public class CsrfSecurityRequestMatcher implements RequestMatcher {

    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");

    @Override
    public boolean matches(HttpServletRequest request) {
        List<String> unExecludeUrls = new ArrayList<>();
        //unExecludeUrls.add("/api/test");//（不允許post請求的url路徑）此處根據自己的需求做相應的邏輯處理

        if (unExecludeUrls != null && unExecludeUrls.size() > 0) {
            String servletPath = request.getServletPath();
            request.getParameter("");
            for (String url : unExecludeUrls) {
                if (servletPath.contains(url)) {
                    return true;
                }
            }
        }
        return allowedMethods.matcher(request.getMethod()).matches();
    }
}
 

總結：

springSecurity需要系統的學習一下，用一點學一點容易走進死衚衕。