XuqmGroup-Server/update-service/src/main/java/com/xuqm/update/config/SecurityConfig.java

package com.xuqm.update.config;

import com.xuqm.common.security.JwtAuthFilter;
import com.xuqm.common.security.JwtUtil;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

import java.util.List;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final JwtUtil jwtUtil;

    public SecurityConfig(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf(AbstractHttpConfigurer::disable)
                .cors(cors -> {})
                .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                        .requestMatchers(
                                "/actuator/**",
                                "/api/v1/updates/app/check",
                                "/api/v1/updates/app/inspect",
                                "/api/v1/rn/update/check",
                                "/api/v1/rn/inspect",
                                "/api/v1/rn/files/**",
                                "/files/apk/**"
                        ).permitAll()
                        .anyRequest().authenticated()
                )
                .exceptionHandling(ex -> ex
                        .authenticationEntryPoint((req, res, e) -> res.sendError(HttpServletResponse.SC_UNAUTHORIZED))
                )
                .addFilterBefore(new JwtAuthFilter(jwtUtil), UsernamePasswordAuthenticationFilter.class)
                .httpBasic(AbstractHttpConfigurer::disable)
                .formLogin(AbstractHttpConfigurer::disable);
        return http.build();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.setAllowedOriginPatterns(List.of(
                "http://localhost:*",
                "http://127.0.0.1:*",
                "http://*.xuqinmin.com",
                "https://*.xuqinmin.com"
        ));
        config.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "PATCH", "OPTIONS"));
        config.setAllowedHeaders(List.of("*"));
        config.setExposedHeaders(List.of("Location"));
        config.setMaxAge(3600L);

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return source;
    }
}
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`package com.xuqm.update.config;`

docs(api): 添加联调接口文档并实现功能服务管理 - 创建了完整的 API 联调文档，包含各服务地址、ID 约定和鉴权规则 - 实现了 FeatureServiceManager 用于管理服务激活和配置功能 - 添加了安全配置确保各服务间正确的身份验证机制 - 定义了统一的响应格式和错误码处理规范 - 集成了 IM、推送和更新服务的管理接口实现 2026-04-29 16:07:22 +08:00			`import com.xuqm.common.security.JwtAuthFilter;`
			`import com.xuqm.common.security.JwtUtil;`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`import org.springframework.context.annotation.Bean;`
			`import org.springframework.context.annotation.Configuration;`
docs(server): 添加服务器信息记录和联调接口文档 - 创建信息记录文档，包含项目管理要求、产物范围、Git仓库、制品仓库信息 - 添加服务器部署信息，包括应用服务器、MySQL/Redis服务器、Jenkins服务配置 - 记录邮件服务、DNS/HTTPS证书配置及安全备注 - 创建API联调文档，包含线上入口、ID约定、初始化管理员账号信息 - 添加统一响应格式、常见错误码、鉴权规则说明 - 提供核心接口清单，涵盖tenant-service、im-service、push-service等服务 - 补充curl示例，包含运营平台登录、IM登录、会话管理等操作示例 - 实现会话控制器，支持置顶、免打扰、标记已读、草稿等功能 - 添加全局异常处理器，统一处理业务异常和参数校验错误 - 创建IM管理控制器，提供用户管理、好友请求、黑名单等管理功能 2026-04-29 12:33:25 +08:00			`import org.springframework.http.HttpMethod;`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`import org.springframework.security.config.annotation.web.builders.HttpSecurity;`
			`import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;`
			`import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;`
			`import org.springframework.security.config.http.SessionCreationPolicy;`
fix: return 401 (not 403) for unauthenticated requests across all services Spring Security's default Http403ForbiddenEntryPoint was returning 403 for all auth failures. Frontend clients treat 403 as a permission error (not an auth error), so silent loops occurred instead of proper re-login. Adding a custom AuthenticationEntryPoint that returns 401 makes clients handle auth failures correctly (show login page on 401). Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> 2026-05-18 13:31:24 +08:00			`import jakarta.servlet.http.HttpServletResponse;`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`import org.springframework.security.web.SecurityFilterChain;`
docs(api): 添加联调接口文档并实现功能服务管理 - 创建了完整的 API 联调文档，包含各服务地址、ID 约定和鉴权规则 - 实现了 FeatureServiceManager 用于管理服务激活和配置功能 - 添加了安全配置确保各服务间正确的身份验证机制 - 定义了统一的响应格式和错误码处理规范 - 集成了 IM、推送和更新服务的管理接口实现 2026-04-29 16:07:22 +08:00			`import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;`
docs(server): 添加服务器信息记录和联调接口文档 - 创建信息记录文档，包含项目管理要求、产物范围、Git仓库、制品仓库信息 - 添加服务器部署信息，包括应用服务器、MySQL/Redis服务器、Jenkins服务配置 - 记录邮件服务、DNS/HTTPS证书配置及安全备注 - 创建API联调文档，包含线上入口、ID约定、初始化管理员账号信息 - 添加统一响应格式、常见错误码、鉴权规则说明 - 提供核心接口清单，涵盖tenant-service、im-service、push-service等服务 - 补充curl示例，包含运营平台登录、IM登录、会话管理等操作示例 - 实现会话控制器，支持置顶、免打扰、标记已读、草稿等功能 - 添加全局异常处理器，统一处理业务异常和参数校验错误 - 创建IM管理控制器，提供用户管理、好友请求、黑名单等管理功能 2026-04-29 12:33:25 +08:00			`import org.springframework.web.cors.CorsConfiguration;`
			`import org.springframework.web.cors.CorsConfigurationSource;`
			`import org.springframework.web.cors.UrlBasedCorsConfigurationSource;`

			`import java.util.List;`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00
			`@Configuration`
			`@EnableWebSecurity`
			`public class SecurityConfig {`

docs(api): 添加联调接口文档并实现功能服务管理 - 创建了完整的 API 联调文档，包含各服务地址、ID 约定和鉴权规则 - 实现了 FeatureServiceManager 用于管理服务激活和配置功能 - 添加了安全配置确保各服务间正确的身份验证机制 - 定义了统一的响应格式和错误码处理规范 - 集成了 IM、推送和更新服务的管理接口实现 2026-04-29 16:07:22 +08:00			`private final JwtUtil jwtUtil;`

			`public SecurityConfig(JwtUtil jwtUtil) {`
			`this.jwtUtil = jwtUtil;`
			`}`

feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`@Bean`
			`public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {`
			`http`
			`.csrf(AbstractHttpConfigurer::disable)`
docs(server): 添加服务器信息记录和联调接口文档 - 创建信息记录文档，包含项目管理要求、产物范围、Git仓库、制品仓库信息 - 添加服务器部署信息，包括应用服务器、MySQL/Redis服务器、Jenkins服务配置 - 记录邮件服务、DNS/HTTPS证书配置及安全备注 - 创建API联调文档，包含线上入口、ID约定、初始化管理员账号信息 - 添加统一响应格式、常见错误码、鉴权规则说明 - 提供核心接口清单，涵盖tenant-service、im-service、push-service等服务 - 补充curl示例，包含运营平台登录、IM登录、会话管理等操作示例 - 实现会话控制器，支持置顶、免打扰、标记已读、草稿等功能 - 添加全局异常处理器，统一处理业务异常和参数校验错误 - 创建IM管理控制器，提供用户管理、好友请求、黑名单等管理功能 2026-04-29 12:33:25 +08:00			`.cors(cors -> {})`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`.sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS))`
			`.authorizeHttpRequests(auth -> auth`
docs(server): 添加服务器信息记录和联调接口文档 - 创建信息记录文档，包含项目管理要求、产物范围、Git仓库、制品仓库信息 - 添加服务器部署信息，包括应用服务器、MySQL/Redis服务器、Jenkins服务配置 - 记录邮件服务、DNS/HTTPS证书配置及安全备注 - 创建API联调文档，包含线上入口、ID约定、初始化管理员账号信息 - 添加统一响应格式、常见错误码、鉴权规则说明 - 提供核心接口清单，涵盖tenant-service、im-service、push-service等服务 - 补充curl示例，包含运营平台登录、IM登录、会话管理等操作示例 - 实现会话控制器，支持置顶、免打扰、标记已读、草稿等功能 - 添加全局异常处理器，统一处理业务异常和参数校验错误 - 创建IM管理控制器，提供用户管理、好友请求、黑名单等管理功能 2026-04-29 12:33:25 +08:00			`.requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`.requestMatchers(`
			`"/actuator/**",`
			`"/api/v1/updates/app/check",`
docs(sdk): 添加 React Native SDK 文档和 Android/HarmonyOS 发版脚本 - 新增 XuqmGroup React Native SDK 使用文档，包含安装、初始化、HTTP客户端、IM模块、推送模块、版本管理等功能说明 - 添加 Android Gradle 发版任务脚本，支持构建发布 APK 并上传到更新服务 - 添加 HarmonyOS hvigorw 发版任务脚本，支持 HAP 包构建和上传功能 - 实现多平台版本检查、自动重连、灰度发布等发版流程自动化 - 集成商店提交、定时发布、Webhook 回调等发布后处理功能 2026-04-29 17:35:52 +08:00			`"/api/v1/updates/app/inspect",`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`"/api/v1/rn/update/check",`
docs(sdk): 添加 React Native SDK 文档和 Android/HarmonyOS 发版脚本 - 新增 XuqmGroup React Native SDK 使用文档，包含安装、初始化、HTTP客户端、IM模块、推送模块、版本管理等功能说明 - 添加 Android Gradle 发版任务脚本，支持构建发布 APK 并上传到更新服务 - 添加 HarmonyOS hvigorw 发版任务脚本，支持 HAP 包构建和上传功能 - 实现多平台版本检查、自动重连、灰度发布等发版流程自动化 - 集成商店提交、定时发布、Webhook 回调等发布后处理功能 2026-04-29 17:35:52 +08:00			`"/api/v1/rn/inspect",`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`"/api/v1/rn/files/**",`
			`"/files/apk/**"`
			`).permitAll()`
			`.anyRequest().authenticated()`
			`)`
fix: return 401 (not 403) for unauthenticated requests across all services Spring Security's default Http403ForbiddenEntryPoint was returning 403 for all auth failures. Frontend clients treat 403 as a permission error (not an auth error), so silent loops occurred instead of proper re-login. Adding a custom AuthenticationEntryPoint that returns 401 makes clients handle auth failures correctly (show login page on 401). Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> 2026-05-18 13:31:24 +08:00			`.exceptionHandling(ex -> ex`
			`.authenticationEntryPoint((req, res, e) -> res.sendError(HttpServletResponse.SC_UNAUTHORIZED))`
			`)`
docs(api): 添加联调接口文档并实现功能服务管理 - 创建了完整的 API 联调文档，包含各服务地址、ID 约定和鉴权规则 - 实现了 FeatureServiceManager 用于管理服务激活和配置功能 - 添加了安全配置确保各服务间正确的身份验证机制 - 定义了统一的响应格式和错误码处理规范 - 集成了 IM、推送和更新服务的管理接口实现 2026-04-29 16:07:22 +08:00			`.addFilterBefore(new JwtAuthFilter(jwtUtil), UsernamePasswordAuthenticationFilter.class)`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`.httpBasic(AbstractHttpConfigurer::disable)`
			`.formLogin(AbstractHttpConfigurer::disable);`
			`return http.build();`
			`}`
docs(server): 添加服务器信息记录和联调接口文档 - 创建信息记录文档，包含项目管理要求、产物范围、Git仓库、制品仓库信息 - 添加服务器部署信息，包括应用服务器、MySQL/Redis服务器、Jenkins服务配置 - 记录邮件服务、DNS/HTTPS证书配置及安全备注 - 创建API联调文档，包含线上入口、ID约定、初始化管理员账号信息 - 添加统一响应格式、常见错误码、鉴权规则说明 - 提供核心接口清单，涵盖tenant-service、im-service、push-service等服务 - 补充curl示例，包含运营平台登录、IM登录、会话管理等操作示例 - 实现会话控制器，支持置顶、免打扰、标记已读、草稿等功能 - 添加全局异常处理器，统一处理业务异常和参数校验错误 - 创建IM管理控制器，提供用户管理、好友请求、黑名单等管理功能 2026-04-29 12:33:25 +08:00
			`@Bean`
			`public CorsConfigurationSource corsConfigurationSource() {`
			`CorsConfiguration config = new CorsConfiguration();`
			`config.setAllowCredentials(true);`
			`config.setAllowedOriginPatterns(List.of(`
			`"http://localhost:*",`
			`"http://127.0.0.1:*",`
			`"http://*.xuqinmin.com",`
			`"https://*.xuqinmin.com"`
			`));`
			`config.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "PATCH", "OPTIONS"));`
			`config.setAllowedHeaders(List.of("*"));`
			`config.setExposedHeaders(List.of("Location"));`
			`config.setMaxAge(3600L);`

			`UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();`
			`source.registerCorsConfiguration("/**", config);`
			`return source;`
			`}`
feat: finalize backend deployment and api docs 2026-04-24 10:42:11 +08:00			`}`