问题描述

在SpringSecurity中发现携带token时候访问接口出现org.springframework.security.access.AccessDeniedException: Access is denied 异常

当不携带token时接口正常。

原因

在SecurityConfig中使用了anonymous()，

.anonymous() 配置允许匿名用户（未经身份验证的用户）访问指定的URL或请求。如果用户携带了合法token再去访问被anonymous() 配置的资源就会出现异常 Access is denied

解决方案

将请求配置改为permitAll()：

.permitAll() 配置允许所有用户（包括匿名用户和经过身份验证的用户）访问指定的URL或请求。

修改之后对应请求无论用户是否携带token都会允许访问。

总结

.anonymous() 用于明确指定只允许未经身份验证的用户访问，如果用户进行了身份验证反而不能访问，这种配置一般用于登录、注册页面，用户未登录时候可以访问，登录之后不能访问，而 .permitAll()用于明确指定允许所有用户（包括已登录的用户）访问。