public修饰的configure和protected修饰的configure方法
共同点:都可以配置后台权限可以忽略的请求
区别:
1、public修饰的configure:
经常用来处理静态资源的忽略,因为此方法中配置的请求不会经过spring security的框架及自定义添加的过滤器链。容易被攻击。
2、protected修饰的configure:
用于处理动态资源的忽略,因为此方法中配置的请求将经过spring security的框架及自定义添加的过滤器链,只是不经过登录验证。可以保证动态资源的请求不容易被他人攻击,更加安全。
HttpSecurity 类的主要方法及说明:
authorizeRequests():开启基于HtpSereleRequest请求访问的限制
formLogin():开启基于表单的用户登录
httpBasic():开启基于HTTP请求的Basic认证登录
logout():开启退出登录的支持
sessionManagement():开启Session管理配置
rememberMe():开启记住我功能
csrf():配置CSRF跨站请求伪造防护功能
此处重点讲解用户访问控制,这里先对authorizeRequests()方法的返回值做进一步查看,其中涉及用户访问控制的主要方法及说明如下所示。
antMatchers(java.lang.String .. antPatterns):开启Ant风格的路径匹配
mvcMatchers(java.lang. String ... patterns):开启MVC风格的路径匹配(与Ant风格类似)
regexMatchers(java.lang String... regexPatterns):开启正则表达式的路径匹配
and():功能连接符
anyRequest():匹配任何请求
rememberMe():开启记住我功能
access(String attribute):匹配给定的SpEL表达式计算结果是否为true
hasAnyRole(String .. roles):匹配用户是否有参数中的任意角色
hasRole(String role):匹配用户是否有某一个角色
hasAnyAuthority(String .. authorities):匹配用户是否有参数中的任意权限
hasAuthority(String authority):匹配用户是否有某一个权限
authenticated():匹配已经登录认证的用户
fullyAuthenticated():匹配完整登录认证的用户(非rememberMe登录用户)
haslpAddress(String ipaddressExpression):匹配某IP地址的访问请求
permitAll():无条件对请求进行放行
@Override
public void configure(WebSecurity security) {
security.ignoring()
.antMatchers("/**/*.html")
.antMatchers("/**/*.htm")
.antMatchers("/**/*.js")
.antMatchers("/**/*.png")
.antMatchers("/**/*.jpg")
.antMatchers("/favicon.ico")
.antMatchers("/**/*.css")
.antMatchers("/images/**");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// 跨域攻击防护
http.cors().and().csrf();
// 同源打开iframe
http.headers().frameOptions().sameOrigin();
//配置登录
http.addFilterBefore(customAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
.formLogin().loginPage("/authentication/require")
.loginProcessingUrl("/authentication/login")
.successHandler(authenticationSuccessHandler)
.failureHandler(authenticationFailureHandler)
.and()
.logout().logoutUrl("/quit").logoutSuccessUrl("/").invalidateHttpSession(true)
.and()
.authorizeRequests()
.antMatchers("/test/**").permitAll() //配置需要忽略的请求
.antMatchers("/me").permitAll()
.antMatchers("/authentication/require").permitAll()
.anyRequest().authenticated();
//xss防护过滤器
http.addFilterBefore(xssFilter, UsernamePasswordAuthenticationFilter.class);
//可信任站点过滤器
http.addFilterBefore(refererFilter, UsernamePasswordAuthenticationFilter.class);
//crsf防护过滤器
http.addFilterBefore(roleFilter, UsernamePasswordAuthenticationFilter.class);
}