SpringBoot2.x整合Activiti7后，禁用SpringBootSecurity问题

很多项目中，使用的权限管理，还是采用的Shiro

当我们想使用Activiti7来做流程业务的时候，我们又不想使用SpringSecurity来管理我们的权限

只好在项目中，剔除SpringSecurity

剔除方式也很简单，在启动类上，剔除 SecurityAutoConfiguration和ManagementWebSecurityAutoConfiguration

@SpringBootApplication(
		exclude = {org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class,
		org.springframework.boot.actuate.autoconfigure.security.servlet.ManagementWebSecurityAutoConfiguration.class
})

其实这个都很简单，但是我看了不少博客下的评论都说按照这个方式剔除了，但是还是不行

An Authentication object was not found in the SecurityContext

当我们自信的对着接口发起请求的时候，报了浏览器出现了500，控制台报出上面的异常，中文意思：在SecurityContext中没有找到身份验证对象

why? 我明明已经剔除了啊，为什么还是要验证身份？

到底是哪里出了问题？想不明白！

如果上上面的问题，你只需要使用，老的API即可，因为新封装的API使用SpringSecurity,所以需要身份验证

注意：以下均是个人理解，如有错误，还请指正

其实，当我们使用Activiti7的时候，要知道Activit7的开发团队，不在是之前Tom Baeyens的团队负责开发，也就是下面这个哥们。

 

Activiti7中，重新封装了一些新的API，比如ProcessRuntime和TaskRuntime

既然是新封装的，那一定和老的API会有所区别，那具体区别在哪里呢？

我们可以直接查看这两个接口里面的内容，去一探究竟！

   @Autowired
    private TaskRuntime taskRuntime;

我这里拿TaskRuntime举例，我们可以直接查看下。

直接去查看接口里面方法的实现类，打开方式idea,如上图

进入实现类中，我们可以看到类上面使用

@PreAuthorize("hasRole('ACTIVITI_USER')")

这个是什么？

SpringSecurity用来在方法调用前或者调用后进行权限检查

说到这里，您应该明白了吧！因为Activiti7中封装出来的新接口，都加了这个注解，所以当我们即使照着最开始的方法剔除了，仍然还会出现身份认证问题！

那为什么我们调用老的接口，却不需要身份验证呢，其实不用开源码就可以推出，老的接口上并没有添加该注解

我们可以看看RuntimeService的实现类

 

以上，祝好