Spring Security 两种资源放行策略,千万别用错了!

最新推荐文章于 2024-07-09 17:30:21 发布
最新推荐文章于 2024-07-09 17:30:21 发布
阅读量829 收藏 30
点赞数 29
分类专栏: 程序员 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82242844/article/details/138402416
版权
本文探讨了Spring Security中两种资源放行策略的区别,强调登录接口必须走过滤器链的重要性。解释了SecurityContextPersistenceFilter在请求处理中的作用,确保登录后用户信息能在后续请求中被正确获取。同时,给出了静态资源放行的配置示例。
摘要由CSDN通过智能技术生成

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

两种方式最大的区别在于,第一种方式是不走 Spring Security 过滤器链,而第二种方式走 Spring Security 过滤器链,在过滤器链中,给请求放行。

在我们使用 Spring Security 的时候,有的资源可以使用第一种方式额外放行,不需要验证,例如前端页面的静态资源,就可以按照第一种方式配置放行。

有的资源放行,则必须使用第二种方式,例如登录接口。大家知道,登录接口也是必须要暴露出来的,不需要登录就能访问到的,但是我们却不能将登录接口用第一种方式暴露出来,登录请求必须要走 Spring Security 过滤器链,因为在这个过程中,还有其他事情要做。

接下来我以登录接口为例,来和小伙伴们分析一下走 Spring Security 过滤器链有什么不同。

2.登录请求分析

首先大家知道,当我们使用 Spring Security,用户登录成功之后,有两种方式获取用户登录信息:

  1. SecurityContextHolder.getContext().getAuthentication()

  2. 在 Controller 的方法中,加入 Authentication 参数

这两种办法,都可以获取到当前登录用户信息。具体的操作办法,大家可以看看松哥之前发布的教程:Spring Security 如何动态更新已登录用户信息?

这两种方式获取到的数据都是来自 SecurityContextHolder,SecurityContextHolder 中的数据,本质上是保存在 ThreadLocal 中,ThreadLocal 的特点是存在它里边的数据,哪个线程存的,哪个线程才能访问到。

这样就带来一个问题,当

最低0.47元/天 解锁文章
2301_82242844
关注
  • 29
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
security放行 spirng_Spring Security配置
weixin_39549110的博客
12-20 1760
第一步,空Spring Boot环境。暂时不添加了Spring Security依赖。第二步,确保项目能够正常运行。启动启动项Application.javaimport org.springframework.boot.SpringApplication;import org.springframework.boot.autoconfigure.EnableAutoConfiguration;...
Spring Security实现不同接口安全策略方法详解
09-07
Spring Security中,实现不同接口的安全策略是一项关键任务,尤其在处理多种应用场景,如无状态的JSON Web Token (JWT) 和基于Session的传统后端渲染应用时。本文将深入探讨如何利用Spring Security为不同接口定制...
浅谈Spring Security 对于静态资源的拦截与放行
08-25
主要介绍了浅谈Spring Security 对于静态资源的拦截与放行,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity如何放行资源
程序三两行
08-13 2255
SpringSecurity如何放行资源不需要认证的资源
SpringSecurity-SpirngBoot-方法级授权(SpringSecurity6.3新特性)(四)
最新发布
znjy111的博客
07-09 768
本章使用SpringSecurity6.3新特性实现数据级别的鉴权,主要的目的是实现不同权限的用户查询同一个方法,限制一些内容只能拥有特定权限的用户才能看到,其他没有该权限的用户显示为空。在上一节的基础上,新建spring-security-authorization-data分支。修改SecurityConfiguration类,添加rob用户,权限为"message:read", “user:read”;新建luke用户,权限为"message:read"
Spring Security 对于静态资源放行
qq_43578141的博客
10-29 1123
Spring Security静态资源被拦截导致的前台报错
狂神spring-security静态资源.zip
10-07
Spring Security 提供了一种机制来过滤并保护这些资源。默认情况下,Spring Security 不会保护静态资源,因为它们通常需要对匿名用户开放。如果需要保护,可以通过以下方法实现: - 自定义Filter:创建一个自定义的...
spring-security静态资源
09-25
Spring Security 提供了一种机制来保护静态资源,防止未经授权的用户访问。默认情况下,它会尝试保护所有URL,包括静态资源。为了允许匿名用户访问这些资源,我们需要配置过滤器链,确保静态资源请求不会被安全拦截...
狂神Spring Security静态资源
12-30
在这个名为"狂神Spring Security静态资源"的资料中,我们可以期待学习到关于如何保护Web应用中的静态资源不被未经授权的用户访问。 首先,了解Spring Security的基本概念是必要的。它主要由四个组件构成:...
SpringSecurity自定义注解放行,以及在微服务架构中使用
qq_57587177的博客
10-15 997
SpringSecurity自定义注解放行,以及在微服务架构中使用
Spring Security 源码
12-07
Spring Security 安全权限管理源码
security放行 spirng_你可别用错了,这两种Spring Security资源放行策略
weixin_39862871的博客
12-20 689
原标题:你可别用错了,这两种Spring Security资源放行策略Spring Security 中,到底该怎么样给资源额外放行?1.两种思路在 Spring Security 中,有一个资源,如果你希望用户不用登录就能访问,那么一般来说,你有两种配置策略:第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样:@Overridepublic void ...
SpringSecurity放行Swagger
qq_42682745的博客
10-09 3101
//放行swagger .antMatchers("/swagger-ui.html","/swagger-resources/**","/webjars/**","/v2/**","/api/**").permitAll()
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403
hd_cash的博客
05-13 9936
1:静态资源和无需权限页面放行 如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类中配置放行: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //无需认证的为static下的静态资源,以及/index请求 .antMa
SpringSecurity
m0_65747563的博客
04-01 2194
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过授权认证后判断当前用户是否有权限进行某个操作。 目录 1.快速入门 ​ 2.认证 2.1获取用户信息 ​ 2.2 思路分析 2.2.1重写UserDetailServiceImpl 2.2.2替换掉加密方式 2.3登录接口 2.4认证通过过滤器 2
Spring Security 两种资源放行策略千万别用错了!(1)
2401_84010744的博客
04-18 645
接下来我以登录接口为例,来和小伙伴们分析一下走 Spring Security 过滤器链有什么不同。2.登录请求分析在 Controller 的方法中,加入 Authentication 参数这两种办法,都可以获取到当前登录用户信息。。这两种方式获取到的数据都是来自 SecurityContextHolder,SecurityContextHolder 中的数据,本质上是保存在中,的特点是存在它里边的数据,哪个线程存的,哪个线程才能访问到。
SpringBoot+SpringSecurity系列六:静态资源放行
01-07 4027
第一步:准备静态资源 在resources/static/imgs下放置一张名称为mm01.jpg的图片 在resources/static/css下创建文件demo.css .cc{ font-size: 38px; color: red; } 在resources/static/js下创建文件demo.js function fun() { alert(3+2); } 第二步:修改index.html <html lang="en" xmlns:th="http
Spring Security 两种资源放行策略
07-28
Spring Security提供了两种资源放行策略:基于URL的放行和基于表达式的放行。 1. 基于URL的放行策略:可以通过配置`WebSecurityConfigurerAdapter`类中的`configure()`方法来实现。使用`antMatchers()`方法可以指定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值