AuthorizationManager arbeitet auch dann, wenn kein Auth -Token in der Frühjahrssicherheit bereitgestellt wird ⇐ Java

[Guest]

Ich habe eine solche Bean in Sicherheitskonfiguration: < /p>
@Bean
public SecurityFilterChain filterChain(HttpSecurity http, CustomAuthorizationManager authorizationManager) throws Exception {
return http.authorizeHttpRequests(
auth -> auth.dispatcherTypeMatchers(FORWARD, ERROR).permitAll()
.requestMatchers("/error").permitAll()
.anyRequest().access(authorizationManager))
.oauth2ResourceServer(
configurer -> configurer.jwt(Customizer.withDefaults()))
.sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.NEVER))
.build();
}
< /code>
und Ich haben solche Fälle: < /p>

[*] (erwartet) gültiges Token mit gültiger Rolle -> authentifiziert -> AuHtorization Manager begonnen zu arbeiten -> Zugriff gewährt -> Statuscode 200
[*] (erwartet) Ungültiges Token -> Nicht authentifiziert -> Autorisierungsmanager war nicht beteiligt -> Statuscode 401
(erwartet) gültiges Token ohne Rolle -> Authentifiziert -> Autorisierungsmanager begann zu funktionieren -> Zugriff nicht gewährt -> Statuscode 403 < /li>
(nicht erwartet) Nein Token - > Autorisierungsmanager begann weiterhin zu arbeiten (ich sehe es in Protokollen) -> Zugriff nicht gewährt -> Statuscode 401 < /li>
< /ol>
Können Sie bitte den letzten Fall erklären?
Warum Der Autorisierungsmanager wird ausgelöst, auch wenn die Anfrage nicht authentifiziert werden sollte? Wie ich verstehe, sollte es nicht involviert sein, wenn die Anfrage nicht vorher authentifiziert wurde. Zugriff gewähren?