Spring Bootで実装した認証付きWeb APIで異なるAPIのレスポンスが返される問題

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

力能扛鼎的路灯 · nginx监听80和443区别 - CSDN文库· 3 月前 ·

聪明的冰棍 · 一路向西：我的川藏线骑行日记 - 嘀咕· 5 月前 ·

很拉风的荒野 · 在Datatable，DataView和Da ...· 6 月前 ·

踢足球的南瓜 · 社会经济 - 北辰概况 - 天津市北辰区人民政府· 7 月前 ·

安静的熊猫 · Same theme for GTK ...· 1 年前 ·

問題が発生するパターンのSpring Securityの設定は概ねこんな感じ。

public class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter {
    private static final String URL_PATTERN = "xxx";
    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        http.regexMatcher(URL_PATTERN)
                .formLogin()
                .successHandler((req, res, auth) -> res.setStatus(HttpServletResponse.SC_OK))
                .failureHandler((req, res, auth) -> res.setStatus(HttpServletResponse.SC_UNAUTHORIZED))
                .permitAll();
        http.regexMatcher(URL_PATTERN)
                .exceptionHandling()
                .authenticationEntryPoint(new Http401AuthenticationEntryPoint("Bearer error=\"invalid_request\""));
        http.regexMatcher(URL_PATTERN).csrf().disable();
また、APIは下記のような実装を行っていた。
単一URLにPOST
HTTP Headerによって処理をルーティング
&lt;cite class="hatena-citation"&gt;&lt;a href="https://medium.com/@voluntas/http-api-%E3%81%AE%E8%A8%AD%E8%A8%88%E6%96%B9%E5%90%91-7ccaca671d9d#51ad"&gt;medium.com&lt;/a&gt;&lt;/cite&gt;&lt;/p&gt;
&lt;p&gt;この環境下で、前述の再現手順を行うと、以下のようなことが発生していた。&lt;/p&gt;
&lt;li&gt;Spring Securityがリク&lt;a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A8%A5%B9"&gt;エス&lt;/a&gt;トをキャッシュ
&lt;li&gt;&lt;a href="https://github.com/spring-projects/spring-security/blob/a82cab7afdb1fc58830b1c415f1874d36b2c6c92/web/src/main/java/org/springframework/security/web/access/ExceptionTranslationFilter.java#L201"&gt;https://github.com/spring-projects/spring-security/blob/a82cab7afdb1fc58830b1c415f1874d36b2c6c92/web/src/main/java/org/springframework/security/web/access/ExceptionTranslationFilter.java#L201&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;ログイン後初回のリク&lt;a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A8%A5%B9"&gt;エス&lt;/a&gt;トで、キャッシュしたリク&lt;a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A8%A5%B9"&gt;エス&lt;/a&gt;トが強制的に使われてしまう&lt;/li&gt;
&lt;p&gt;Spring Securityの設定でリク&lt;a class="keyword" href="http://d.hatena.ne.jp/keyword/%A5%A8%A5%B9"&gt;エス&lt;/a&gt;トキャッシュを無効にする。&lt;/p&gt;
&lt;pre class="code lang-java" data-lang="java" data-unlink=""&gt;&lt;span class="synType"&gt;public&lt;/span&gt; &lt;span class="synType"&gt;class&lt;/span&gt; ApiWebSecurityConfig &lt;span class="synType"&gt;extends&lt;/span&gt; WebSecurityConfigurerAdapter {
    &lt;span class="synType"&gt;private&lt;/span&gt; &lt;span class="synType"&gt;static&lt;/span&gt; &lt;span class="synType"&gt;final&lt;/span&gt; String URL_PATTERN = &lt;span class="synConstant"&gt;"xxx"&lt;/span&gt;;
    &lt;span class="synPreProc"&gt;@Override&lt;/span&gt;
    &lt;span class="synType"&gt;protected&lt;/span&gt; &lt;span class="synType"&gt;void&lt;/span&gt; configure(&lt;span class="synType"&gt;final&lt;/span&gt; HttpSecurity http) &lt;span class="synType"&gt;throws&lt;/span&gt; Exception {
        http.regexMatcher(URL_PATTERN)
                .requestCache().requestCache(&lt;span class="synStatement"&gt;new&lt;/span&gt; NullRequestCache());
&lt;h3&gt;参考URL&lt;/h3&gt;
&lt;p&gt;&lt;a href="http://www.sedooe.com/2016/04/rest-authentication-using-spring-security-and-spring-session/"&gt;http://www.sedooe.com/2016/04/rest-authentication-using-spring-security-and-spring-session/&lt;/a&gt;&lt;/p&gt;