Spring Security(08)——intercept-url配置

最新推荐文章于 2023-05-08 14:41:58 发布
最新推荐文章于 2023-05-08 14:41:58 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: spring 权限/认证系统 spring security 文章标签: spring security

intercept-url配置

目录

1.1     指定拦截的url

1.2     指定访问权限

1.3     指定访问协议

1.4     指定请求方法

 

1.1    指定拦截的url

       通过pattern指定当前intercept-url定义应当作用于哪些url。

<security:intercept-url pattern="/**" access="ROLE_USER"/>

 

1.2     指定访问权限

       可以通过access属性来指定intercept-url对应URL访问所应当具有的权限。access的值是一个字符串,其可以直接是一个权限的定义,也可以是一个表达式。常用的类型有简单的角色名称定义,多个名称之间用逗号分隔,如:

<security:intercept-url pattern="/secure/**" access="ROLE_USER,ROLE_ADMIN"/>

       在上述配置中就表示secure路径下的所有URL请求都应当具有ROLE_USER或ROLE_ADMIN权限。当access的值是以“ROLE_”开头的则将会交由RoleVoter进行处理。

 

       此外,其还可以是一个表达式,上述配置如果使用表达式来表示的话则应该是如下这个样子。

   <security:http use-expressions="true">

      <security:form-login />

      <security:logout />

      <security:intercept-url pattern="/secure/**"access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

   </security:http>

       或者是使用hasRole()表达式,然后中间以or连接,如:

   <security:intercept-url pattern="/secure/**" access="hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')"/>

       需要注意的是使用表达式时需要指定http元素的use-expressions=”true”。更多关于使用表达式的内容将在后文介绍。当intercept-url的access属性使用表达式时默认将使用WebExpressionVoter进行处理。

       此外,还可以指定三个比较特殊的属性值,默认情况下将使用AuthenticatedVoter来处理它们。IS_AUTHENTICATED_ANONYMOUSLY表示用户不需要登录就可以访问;IS_AUTHENTICATED_REMEMBERED表示用户需要是通过Remember-Me功能进行自动登录的才能访问;IS_AUTHENTICATED_FULLY表示用户的认证类型应该是除前两者以外的,也就是用户需要是通过登录入口进行登录认证的才能访问。如我们通常会将登录地址设置为IS_AUTHENTICATED_ANONYMOUSLY。

   <security:http>

      <security:form-login login-page="/login.jsp"/>

      <!-- 登录页面可以匿名访问 -->

      <security:intercept-url pattern="/login.jsp*"access="IS_AUTHENTICATED_ANONYMOUSLY"/>

      <security:intercept-url pattern="/**" access="ROLE_USER"/>

   </security:http>

 

1.3     指定访问协议

       如果你的应用同时支持Http和Https访问,且要求某些URL只能通过Https访问,这个需求可以通过指定intercept-url的requires-channel属性来指定。requires-channel支持三个值:http、https和any。any表示http和https都可以访问。

   <security:http auto-config="true">

      <security:form-login/>

      <!-- 只能通过https访问 -->

      <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" requires-channel="https"/>

      <!-- 只能通过http访问 -->

      <security:intercept-url pattern="/**" access="ROLE_USER" requires-channel="http"/>

   </security:http>

 

       需要注意的是当试图使用http请求限制了只能通过https访问的资源时会自动跳转到对应的https通道重新请求。如果所使用的http或者https协议不是监听在标准的端口上(http默认是80,https默认是443),则需要我们通过port-mapping元素定义好它们的对应关系。

   <security:http auto-config="true">

      <security:form-login/>

      <!-- 只能通过https访问 -->

      <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" requires-channel="https"/>

      <!-- 只能通过http访问 -->

      <security:intercept-url pattern="/**" access="ROLE_USER" requires-channel="http"/>

      <security:port-mappings>

         <security:port-mapping http="8899" https="9988"/>

      </security:port-mappings>

   </security:http>

 

1.4     指定请求方法

       通常我们都会要求某些URL只能通过POST请求,某些URL只能通过GET请求。这些限制Spring Security也已经为我们实现了,通过指定intercept-url的method属性可以限制当前intercept-url适用的请求方式,默认为所有的方式都可以。

   <security:http auto-config="true">

      <security:form-login/>

      <!-- 只能通过POST访问 -->

      <security:intercept-url pattern="/post/**" method="POST"/>

      <!-- 只能通过GET访问 -->

      <security:intercept-url pattern="/**" access="ROLE_USER" method="GET"/>

   </security:http>

 

       method的可选值有GET、POST、DELETE、PUT、HEAD、OPTIONS和TRACE。

 

(注:本文是基于Spring Security3.1.6所写)

(注:原创文章,转载请注明出处。原文地址:http://haohaoxuexi.iteye.com/blog/2161056

caomiao2006
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
intercept-proxy
06-17
然后你可以调用: intercept-proxy myremote -h myremotesite.com -p 3000cd myremotenpm installnpm start...该站点将在并指向 myremotesite.com ##Usage 通过将代理服务器指向一个 url 并运行该应用程序,您可以...
spring security2配置文件学习小结
iteye_19622的博客
05-11 113
[b]1.applicationContext-security配置[/b] 使用命名空间,主要分为3个部分: a. 注册过滤器链,配置表单登陆,注销等 b. 注册自定义的安全认证管理器 c. 注册自定义的授权过滤器 [b]2.[/b] a. 元素会创建一个FilterChainProxy和filter使用的bean。以前常常出现的因为filter顺序不正确产生的问题不会再出现了...
Spring Security框架的实现方式、配置方法等
lonely_baby的博客
03-18 231
除了以上三种配置方式,Spring Security 还提供了基于 LDAP、数据库和自定义认证等更加灵活的配置方式,开发者可以根据自己的需求选择适合自己的配置方式。在上述代码中,我们通过 @EnableWebSecurity 注解启用 Spring Security,并通过 configure() 方法配置了请求的授权、登录和注销等功能。在上述代码中,我们通过 元素配置了请求的授权、登录和注销等功能,同时通过 元素配置了用户的认证信息。
8. Spring Security intercept-url配置
一个人的人生
11-29 8017
intercept-url配置 目录 1.1     指定拦截的url 1.2     指定访问权限 1.3     指定访问协议 1.4     指定请求方法   1.1    指定拦截的url        通过pattern指定当前intercept-url定义应当作用于哪些url。 "/**" access="ROLE_USER"/>   1.2     指定访问权限
Spring Security面试题
yangzhihua的专栏
05-08 1964
Spring 安全性本质上只是一堆 servlet 过滤器,它们使 Java 应用程序能够包含身份验证和授权功能。它是功能最强大且高度可定制的访问控制框架(安全框架)之一,可为基于 Java EE(企业版)的企业应用程序提供身份验证、授权和其他安全功能。Spring 安全的真正力量在于它能够扩展以满足自定义需求。它的主要职责是对访问任何资源的传入请求进行身份验证和授权,包括 rest API 端点、MVC(模型-视图-控制器)URL、静态资源等。
Spring Security】五、自定义过滤器
weixin_34049032的博客
07-04 304
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包...
SpringSecurity学习总结
qq_44185887的博客
04-12 895
一、spring security 简介 认证:(你是谁)身份认证,使用系统的任何用户,系统对于他来讲必须要能够进行识别,这个识别的过程我们就称之为认证。在此过程中牵涉到两个表,用户表和角色表,他们能够确定用户的权限。 授权(你能干什么):对于一个指定的用户,系统必须能够知道他具体有什么权限。权限表能够确定用户拥有什么权限。一个完整的系统,必须能够进行认证和鉴权,否则系统不具有安全性,系统的功能也不具有任何意义! 攻击防护:(防止伪造身份) <!--设置不拦截这个页面!-->
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 ...<intercept-url...
Intercept-blocker-window.rar_intercept window_visual c_拦截窗口
09-23
拦截窗口Intercept blocker windowInterceptblocker window
Popup Intercept - One Window-crx插件
04-03
仅选择您想要的URL的选项。 是否要阻止弹出窗口在单独的窗口中加载,而是加载到主窗口中? 通过此扩展,您可以通过在设置中键入URL网址来有选择地选择将哪些弹出窗口加载到一个窗口中。 当看到带有该URL的弹出窗口时...
java匹配规则_SpringInterceptor之path patterns路径匹配规则
weixin_28718641的博客
02-25 3762
SpringInterceptor之path patterns路径匹配规则一、简单而言:一个*:只匹配字符,不匹配路径(/)两个**:匹配字符,和路径(/)二、详细及更多:public class AntPathMatcherextends java.lang.Objectimplements PathMatcherPathMatcher implementation for Ant-style...
Spring Security通过URL模式匹配的声明式权限控制
热门推荐
luenxin的博客
12-03 1万+
Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第一种。 一、创建一个类继承WebSecurityConfigurerAdapter,并使用注解@EnableWebSecurity标注。这个类我之前写到过很多次,是配置CAS客户端和Spring Security的核心类。同时也是启动注解声明权限的入口。 @Ena
Spring-Security的详细配置及用法01
Hpeacheng的博客
11-23 1235
【1】Spring-Security通俗一点来讲是用来管理我们登陆的一个框架,之前我们的登陆底层代码,都是自己手写的,要从web端获取parameter,然后从数据库中取出,再获取数据库中的账户密码,进行对比,相同的话跳转到登陆成功页面,不成功提示登陆失败。 【2】利用Spring-Security框架的目的自然就是节省代码量,而且方便管理,不需要手动获取前端数据。 【3】第一步,我们需要在pol中导入spring-security的jar包,一共四个,分别是web,config,core,和jstl需
Spring Security intercept url
果园春色
09-02 213
客户遗留系统的权限部分使用了Spring security中的FilterSecurityInterceptor,可以通过设置intercept-url及对应的权限进行验证。 其典型用法是在配置文件的Bean中定义:     &lt;bean id="filterSecurityInterceptor" class="org.springframework.security.intercept...
SpringSecurity整合SSM和SpringBoot完成方法级权限控制
CDHong.it的技术分享博客
11-16 1154
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。
SpringSecurity - 登录注册加密/登录拦截/失败信息回显详解(慢步骤解析)
江南烟雨却痴缠丶
01-24 3856
配置文件中form-login标签详解 login-page // 自定义登录页面的url,例如login.htmllogin-processing-url // 登录请求拦截的url,即form表单提交的url,默认值是/login // 以下2个需要配合使用,如果需要认证成功跳转的url,则always-use-d...
spring security运行时配置ignore url
weixin_33895695的博客
08-14 4170
序 以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。 问题 对于免登陆的url,采用java config,可以这样配置: @EnableWebSecurity public class SecurityConfig extends WebSe...
springsecurity中anonymous_Spring Security---安全管理框架(三)
最新发布
06-11
Spring Security是一个功能强大的安全管理框架,提供了多种身份验证和授权机制,可以在Web应用程序中轻松地实现安全保护。 其中,anonymous身份验证是一种简单的身份验证方式,即允许未经身份验证的用户访问某些受保护的资源。使用anonymous身份验证时,Spring Security会自动为未经身份验证的用户分配一个匿名身份,并将其与相应的权限进行绑定。这样,即使用户未经身份验证,也可以根据其所分配的权限来访问受保护的资源。 在Spring Security中,可以通过配置anonymous元素来启用anonymous身份验证。例如: ``` <security:http> <security:intercept-url pattern="/public/**" access="permitAll"/> <security:intercept-url pattern="/admin/**" access="hasRole('ADMIN')"/> <security:anonymous enabled="true"/> <security:http-basic /> </security:http> ``` 在上述配置中,通过设置<security:anonymous enabled="true"/>来启用anonymous身份验证。这样,访问/public/**下的资源时,不需要身份验证;而访问/admin/**下的资源时,则需要具有ADMIN角色的身份验证。 需要注意的是,使用anonymous身份验证时,应该尽可能限制未经身份验证用户可以访问的资源,以保证系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值