认证配置详解

最新推荐文章于 2024-07-27 17:56:15 发布
最新推荐文章于 2024-07-27 17:56:15 发布
阅读量578 收藏 5
点赞数 21
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78895231/article/details/139603845
版权

public修饰的configure和protected修饰的configure方法

共同点:都可以配置后台权限可以忽略的请求

区别:

1、public修饰的configure:

经常用来处理静态资源的忽略,因为此方法中配置的请求不会经过spring security的框架及自定义添加的过滤器链。容易被攻击。

2、protected修饰的configure:

用于处理动态资源的忽略,因为此方法中配置的请求将经过spring security的框架及自定义添加的过滤器链,只是不经过登录验证。可以保证动态资源的请求不容易被他人攻击,更加安全。

HttpSecurity 类的主要方法及说明:

authorizeRequests():开启基于HtpSereleRequest请求访问的限制

formLogin():开启基于表单的用户登录

httpBasic():开启基于HTTP请求的Basic认证登录

logout():开启退出登录的支持

sessionManagement():开启Session管理配置

rememberMe():开启记住我功能

csrf():配置CSRF跨站请求伪造防护功能

此处重点讲解用户访问控制,这里先对authorizeRequests()方法的返回值做进一步查看,其中涉及用户访问控制的主要方法及说明如下所示。

antMatchers(java.lang.String .. antPatterns):开启Ant风格的路径匹配

mvcMatchers(java.lang. String ... patterns):开启MVC风格的路径匹配(与Ant风格类似)

regexMatchers(java.lang String... regexPatterns):开启正则表达式的路径匹配

and():功能连接符

anyRequest():匹配任何请求

rememberMe():开启记住我功能

access(String attribute):匹配给定的SpEL表达式计算结果是否为true

hasAnyRole(String .. roles):匹配用户是否有参数中的任意角色

hasRole(String role):匹配用户是否有某一个角色

hasAnyAuthority(String .. authorities):匹配用户是否有参数中的任意权限

hasAuthority(String authority):匹配用户是否有某一个权限

authenticated():匹配已经登录认证的用户

fullyAuthenticated():匹配完整登录认证的用户(非rememberMe登录用户)

haslpAddress(String ipaddressExpression):匹配某IP地址的访问请求

permitAll():无条件对请求进行放行

@Override

public void configure(WebSecurity security) {

security.ignoring()

.antMatchers("/**/*.html")

.antMatchers("/**/*.htm")

.antMatchers("/**/*.js")

.antMatchers("/**/*.png")

.antMatchers("/**/*.jpg")

.antMatchers("/favicon.ico")

.antMatchers("/**/*.css")

.antMatchers("/images/**");

}

@Override

protected void configure(HttpSecurity http) throws Exception {

// 跨域攻击防护

http.cors().and().csrf();

// 同源打开iframe

http.headers().frameOptions().sameOrigin();

//配置登录

http.addFilterBefore(customAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)

.formLogin().loginPage("/authentication/require")

.loginProcessingUrl("/authentication/login")

.successHandler(authenticationSuccessHandler)

.failureHandler(authenticationFailureHandler)

.and()

.logout().logoutUrl("/quit").logoutSuccessUrl("/").invalidateHttpSession(true)

.and()

.authorizeRequests()

.antMatchers("/test/**").permitAll() //配置需要忽略的请求

.antMatchers("/me").permitAll()

.antMatchers("/authentication/require").permitAll()

.anyRequest().authenticated();

//xss防护过滤器

http.addFilterBefore(xssFilter, UsernamePasswordAuthenticationFilter.class);

//可信任站点过滤器

http.addFilterBefore(refererFilter, UsernamePasswordAuthenticationFilter.class);

//crsf防护过滤器

http.addFilterBefore(roleFilter, UsernamePasswordAuthenticationFilter.class);

}

_殊途
关注
  • 21
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ospf接口认证配置详解
qq_43210022的博客
05-26 2152
实验目的:1.掌握ospf接口认证及区域认证配置方法 实验拓扑: 步骤1:基本配置(接口配置+ospf配置)见http://t.csdn.cn/mugochttp://t.csdn.cn/mugoc步骤2:在R1上启用ospf明文认证 R1(config)#interface f0/0 R1(config-if)#ip ospf authentication R1(config-if)#ip ospf authentication-key 123 ......
锐捷服务器无线认证配置,锐捷AC CMCC-WEB认证配置详解
weixin_36397447的博客
08-03 6197
正常上下线的报文交互过程简图锐捷ACCMCC-WEB认证配置思路:1.开启三个打开关,创建一个portal界面aaa new-modelaaa accounting updateweb-auth third-party cmcc/锐捷web认证已经有两代,cmcc属于运营商三方认认证方式,需全局开启web-auth cmcc portal cmcc-portal ip192.168.29.41 ...
keepalived 配置详解
lyj1101066558的博客
01-14 3629
keepalived是什么 keepalived是集群管理中保证集群高可用的一个服务软件,其功能类似于heartbeat,用来防止单点故障。 keepalived工作原理 keepalived是以VRRP协议为实现基础的,VRRP全称Virtual Router Redundancy Protocol,即虚拟路由冗余协议。 虚拟路由冗余协议,可以认为是实现路由器高可用的协议
Keepalived 配置详解
挣扎技术
03-21 1万+
一、Keepalived概述 keepalived是一个类似于layer3,4,5交换机制的软件,也就是我们平时说的第3层、第4层和第5层交换。Keepalived的作用是检测web服务器的状态,如果有一台web服务器死机,或工作出现故障,Keepalived将检测到,并将有故障的web服务器从系统中剔除,当web服务器工作正常后Keepalived自动将web服务器加入到服务器群中,这些工作全部自动完成,不需要人工干涉,需要人工做的只是修复故障的web服务器。 Layer3,4&5工作在IP/TC
PPP认证协议详解
虎哥LoveDroid
06-07 4458
本文旨在深入介绍PPP认证协议,探讨其工作原理、常见的认证协议以及配置和应用方法。我们将重点讨论PAP、CHAP和EAP等常见的PPP认证协议,并分析它们的特点和安全性。此外,我们还将探讨PPP认证协议的配置参数和在互联网接入中的实际应用案例。本文还将讨论PPP认证协议的安全性和加密技术,以及防范弱口令攻击等安全方面的措施。我们还将展望PPP认证协议在未来的发展趋势,特别是在物联网和5G时代的应用前景。
vsftp配置详解
weixin_40254430的博客
08-16 2396
配置安装vsftpd过程中,我遇到了很多坑?查了上百篇博客,才把这些坑一一填满。这里记录是为了方便后来者查阅,我也是个小白。有问题请不要客气,直接喷就是了! vsftpd 就是very secure FTP 的意思 快速版我会再写一篇博客。这里我们还是来讨论到底怎么才能弄清如何配置ftp? 首先配置ftp服务器中会遇到几个坑? 其实我们只需要清楚几个核心,就可以快速的配置出自己的ftp服务器了 第一个是ftp服务器本身 第二个是用户 第三个是linux主机 第四个是防火墙 第五个是se.
tomcat配置详解
qq_39020347的博客
09-01 1697
tomcat配置详解
Spring security配置详解
qq_22162093的博客
12-21 7213
一直对项目里的安全配置比较陌生,这次总结一下项目里的那些关于security配置 1、 核心组件 这一节主要介绍一些在 Spring Security 中常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security
rsync配置详解
梦想当上海贼王
12-22 2644
跨主机传递文件 rz、sz ftp scp rsync nfs samba drdb rsync的作用 实现文件的备份 备份位置可以是当前主机,也可以是远程主机 备份过程可以是完全备份,也可以是增量备份 rsync的功能 1)类似于cp的复制功能 将本地主机的一个文件复制到另一个位置下 2)将本地主机的文件推送到远程主机;也可以从远程主机拉取文件到本地 rsync的模式 1.本地复制功能 2.远程shell模式: 可以利用ssh来是实现数据的加密传输到远程主机 3.服务器模式:rsync工作在守护进
ApiSix配置详解
热门推荐
yanshanlangren的博客
09-17 1万+
ApiSix配置详解背景介绍配置详情 背景介绍 ApiSix官方介绍 ApiSix安装 配置详情 在centos上使用yum命令安装apisix之后, /usr/local 下面会创建出apisix的文件夹 apisix使用Nginx转发请求, 因而apisix配置导向nginx配置 apisix的配置文件在/usr/local/apisix/conf/config.yaml 以下是一个标准的apisix yaml配置, 笔者将相关配置详解写在注释后 # Licensed to the Apache Sof
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
https双向认证证书配置详解
11-02
有的用pem,有的用key所以容易被绕晕所以自己整理了一下 希望对刚接触证书以及需要配置双向认证的人有帮助,内含的ssl双向证书认证,如何为tomcat配置https单、双向请求认证,以及有关证书配置详解!整理的可能不是...
思科的AAA认证配置超详细
06-05
**思科AAA认证配置详解** 在IT网络领域,特别是企业级网络环境中,安全访问控制是至关重要的。Cisco(思科)设备广泛采用的AAA(Authentication、Authorization、Accounting)认证系统,为网络管理员提供了强大的...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web Token(JWT)认证。JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
MongoDB安全配置详解
09-10
然而,随着数据安全的重要性日益凸显,正确配置MongoDB的安全设置变得至关重要。本文将深入探讨MongoDB的安全配置,主要包括权限介绍、用户角色说明以及最佳实践。 首先,MongoDB的安全配置始于权限验证。默认情况...
golang 接口
m0_70982551的博客
07-24 844
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 375
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
Java算法专场】二分查找(下)
最新发布
zhyhgx的博客
07-27 470
本道题是要在一个从0~n-1的数组中找缺失的数,我们可以采用哈希表来解决,但此时时空复杂度达到了O(n),这是一个有序的数组,我们可以采用二分查找来解决,使时间复杂度达到O(logn).我们可以发现,每个数组的下标和其元素是相同的,那么我们可以通过判断下标和元素的大小,来确定缺失值的位置。3.mid=4+(5-4)/2=4,nums[mid]=5
集客科技旁路认证配置详解
"旁路认证教程,通过设置交换机的镜像和配置网关,详细讲解了旁路认证配置过程,适用于三层交换机。该文档由武汉集客科技有限公司提供,包括名词解释、旁路认证概述、配置举例和测试等章节。" 旁路认证是一种网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值