spring securityのpermitAllが「/h2-console/**」に対して効かない

前提

・Spring bootアプリケーション
・Spring securityを導入
・h2DBを導入

実現したいこと

h2-consoleに認証なしでアクセスしたいです。
SecurityConfigには以下を設定しています。

Java
1    @Bean
2    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
3        http.formLogin().and().httpBasic().and()
4                .headers().frameOptions().disable().and()
5                .authorizeHttpRequests(authz -> authz
6                        .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
7                        .mvcMatchers("/h2-console/**").permitAll()
8                        .anyRequest().authenticated())
9                .csrf().disable();
10        return http.build();
11    }

発生している問題・エラーメッセージ

h2-consoleにアクセスするとlogin画面にリダイレクトされてしまう。
o.s.security.web.FilterChainProxy : Securing GET /h2-console/
o.s.s.web.DefaultRedirectStrategy : Redirecting to http://localhost:8080/login

試したこと

mvcMatchers("/**").permitAll()でh2-consoleにアクセスできることは確認しています。
ですがこれは避けたいです。

行動規範の内容に同意します

回答1件

ベストアンサー

localhost:8080/h2-console/は、実際には「spring.h2.console.path(servlet) + "/"」の合成URLです。
mvcMatchersは、Spirng MVCパターンに従って書く必要があるため、以下のような書き方になります。

java
1.authorizeHttpRequests(authz -> authz
2    .mvcMatchers("/**").servletPath("/h2-console").permitAll()
3
4// これは、以下と同等になります
5.authorizeHttpRequests(authz -> authz
6    .antMatchers("/h2-console/**").permitAll()