我相信您提到的错误仅是因为
AbstractAuthenticationProcessingFilter您使用的基类需要一个
AuthenticationManager。如果您不打算使用它,可以将其设置为无操作,也可以
Filter直接实现。如果您
Filter可以验证请求并进行设置,
SecurityContext则通常将跳过下游处理(这取决于下游过滤器的实现,但我在您的应用程序中看不到任何奇怪的东西,因此它们的行为可能都如此)。
如果您是我,我可能会考虑将API端点放在一个完全独立的过滤器链(另一个
WebSecurityConfigurerAdapterbean)中。但这只会使事情更容易阅读,而不一定至关重要。
您可能会发现(如评论中的建议)最终重新发明了轮子,但是尝试无害,并且您可能会在此过程中学习更多有关Spring和Security的知识。
补充:github方法非常有趣:用户只需在基本身份验证中使用令牌作为密码,服务器就不需要自定义过滤器(
BasicAuthenticationFilter很好)。
