[Java] 若依框架接口免登录放行指南：Spring Security配置实践与调试技巧

在使用RuoYi 若依框架进行接口开发时，系统默认的权限验证机制要求所有接口都必须登录并携带Token才能访问。这对于使用Apifox等工具进行高频接口调试的开发场景来说，显得不够便捷。因此，一种常见的开发需求是：在保证核心安全策略不变的前提下，放行特定的调试接口，使其无需登录即可访问。

本文将详细介绍在若依框架中，如何通过修改安全配置来放行指定的接口路径，并创建一个标准的测试接口进行验证。

一、定位安全配置文件

若依框架基于Spring Security构建权限体系，相关配置位于以下路径：

src/main/java/com/ruoyi/framework/config/SecurityConfig.java

在该配置类中，通过HttpSecurity对象可以定义丰富的访问控制规则，例如：

• permitAll(): 允许所有用户访问（无需登录）。
• authenticated(): 需要用户认证后才能访问。
• hasAuthority(): 需要用户具备特定权限才能访问。

核心的过滤器链配置方法 filterChain 是本次调整的重点。

二、修改配置放行调试接口

在 SecurityConfig.java 的 filterChain 方法中，找到 .authorizeHttpRequests 配置块。若依通常已预设了一些免登录路径，如登录、注册、静态资源、Swagger文档等。我们只需在对应的位置添加需要放行的调试接口路径即可。

以下是配置片段示例，重点在于添加对 /test/** 路径的放行：

.authorizeHttpRequests(requests -> {
    // ... 其他已存在的放行规则，如登录、静态资源等

    requests.antMatchers(
            "/swagger-ui.html",
            "/swagger-resources/**",
            "/webjars/**",
            "/*/api-docs",
            "/druid/**",
            // 新增调试接口放行规则
            "/test/**"
    ).permitAll();

    // 其余所有请求都需要认证
    requests.anyRequest().authenticated();
})

通过添加 "/test/**" 到 permitAll() 的规则列表中，所有以 /test 开头的接口都将绕过Spring Security的登录验证逻辑，可以直接访问。

三、创建测试接口

接口放行规则配置完成后，即可在对应的路径下创建控制器。以下是创建一个标准RESTful测试接口的步骤。

1. 创建控制器类
   在 src/main/java/com/ruoyi/web/controller/ 目录下创建 test 包，并新建 TestController.java 文件。

2. 编写控制器代码
   若依框架推荐使用统一的响应对象 AjaxResult。示例代码如下：

   package com.ruoyi.web.controller.test;
   
   import com.ruoyi.common.core.domain.AjaxResult;
   import org.springframework.web.bind.annotation.GetMapping;
   import org.springframework.web.bind.annotation.RequestMapping;
   import org.springframework.web.bind.annotation.RestController;
   
   @RestController
   @RequestMapping("/test")
   public class TestController {
   
       @GetMapping("/hello")
       public AjaxResult hello() {
           return AjaxResult.success("测试接口成功访问！");
       }
   }

   关键点：

   • 使用 @RestController 注解表明这是一个返回JSON数据的控制器。
   • @RequestMapping("/test") 定义了控制器的根路径，与安全配置中放行的路径一致。
   • @GetMapping("/hello") 定义了一个具体的GET请求接口。
   • 方法返回 AjaxResult.success()，这是若依约定的成功响应格式。

四、接口调试与验证

启动项目后，即可使用Apifox、Postman或浏览器进行验证。

• 请求URL: GET http://localhost:8080/test/hello
• 预期响应:

  {
  "code": 200,
  "msg": "操作成功",
  "data": "测试接口成功访问！"

  访问该接口时，无需在请求头中携带任何Token或进行登录操作，即可成功收到响应，证明接口放行配置生效。

五、总结与实践建议

本次实践通过修改Spring Security配置，实现了对特定路径（/test/**）接口的免登录访问，极大便利了开发阶段的接口调试工作。主要步骤包括：

1. 在 SecurityConfig.java 的安全规则中添加需要放行的接口路径模式。
2. 在对应的路径下创建标准的控制器并编写接口。

注意事项：

• 此配置仅推荐用于开发调试环境。在生产环境部署前，务必审查并清理这些调试接口或恢复严格的身份验证，以免引入安全风险。
• 理解若依的权限配置体系有助于更灵活地管理不同环境下的接口访问策略。
• 除了简单的路径匹配，Spring Security还支持基于注解（如 @PreAuthorize）的细粒度方法级权限控制，适合更复杂的业务场景。