springSecurity学习之springSecurity过滤web请求

已于 2024-07-20 09:37:33 修改
阅读量465 收藏 6
点赞数 3
分类专栏: springSecurity 文章标签: java
于 2024-07-20 09:36:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lxn2zh/article/details/140566015
版权

过滤web请求

在spring中存在一个DelegatingFilterProxy,是一种特殊的Filter,主要任务就是将工作委托给Filter实现类

使用@EnableWebSecurity注解时引入FilterChainProxy

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)
public Filter springSecurityFilterChain() throws Exception {
   boolean hasConfigurers = webSecurityConfigurers != null
         && !webSecurityConfigurers.isEmpty();
   if (!hasConfigurers) {
      WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor
            .postProcess(new WebSecurityConfigurerAdapter() {
            });
      webSecurity.apply(adapter);
   }
   return webSecurity.build();
}

可以使用WebApplicationInitializer的方式来配置DelegatingFilterProxy,其会自动为每个url注册springSecurityFilterChain过滤器(也就是DelegatingFilterProxy),添加一个ContextLoaderListener来载入WebSecurityConfig

// AbstractSecurityWebApplicationInitializer类实现了WebApplicationInitializer接口,spring会发现,并在web容器中注册DelegatingFilterProxy
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {

}

DelegatingFilterProxy会拦截发往应用中的请求,并将请求委托给springSecurityFilterChain,springSecurityFilterChain本身是另一种特殊的Filter,可以连接任意一个或多个其他的Filter

private void insertSpringSecurityFilterChain(ServletContext servletContext) {
  // DEFAULT_FILTER_NAME就是springSecurityFilterChain
   String filterName = DEFAULT_FILTER_NAME;
   DelegatingFilterProxy springSecurityFilterChain = new DelegatingFilterProxy(
         filterName);
   String contextAttribute = getWebApplicationContextAttribute();
   if (contextAttribute != null) {
      springSecurityFilterChain.setContextAttribute(contextAttribute);
   }
   registerFilter(servletContext, true, filterName, springSecurityFilterChain);
}

配置Spring Security

使用@EnableWebSecurity注解来启用web安全功能,需要配置在实现了WebSecurityConfigurer或者继承WebSecurityConfigurerAdapter类的bean上

@Configuration
@EnableWebSecurity // 引入了WebSecurityConfiguration和AuthenticationConfiguration配置
// 继承WebSecurityConfigurerAdapter来自定义配置,只会覆盖修改的配置,不会覆盖不相关的配置
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
  // 通过重载,配置userDetail服务,认证相关的配置
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		
	}
  // 通过重载,配置Filter链
  public void configure(WebSecurity web) throws Exception {
	}
  
  // 通过重载,配置如何通过拦截器保护请求
  protected void configure(HttpSecurity http) throws Exception {

		http
			.authorizeRequests()
				.anyRequest().authenticated()
				.and()
			.formLogin().and()
			.httpBasic();
	}
}
用户信息获取

首先来将第一个configure方法,来进行用户信息的获取

// 通过重载,配置userDetail服务
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService);
	}

使用自定义的用户服务

public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private AdminDao adminDao;

    @Transactional(readOnly = true)
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
      // 查找用户
        Admin user = adminDao.findByName(username);
        if (user == null) {
            throw new UsernameNotFoundException("Username not found");
        }
      // 创建权限
      List<GrantedAuthority> authorities = new ArrayList<>();
      authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        return new org.springframework.security.core.userdetails.User(user.getUser_name(), user.getPassword(),authorities);
    }
}
详细样例
 // 通过重载,配置如何通过拦截器保护请求
  protected void configure(HttpSecurity http) throws Exception {
		// 对不同的请求进行不同程度的认证
        http
            .formLogin() // 配置登录页
            .loginPage("/login.html")  // 自定义编写登录页面
            .loginProcessingUrl("/user/login") // 登录访问路径
            .defaultSuccessUrl("/index") // 登陆成功之后跳转路径
        .and()
            .logout().logoutUrl("/logout") // 退出登录的路径
            .logoutSuccessUrl("/index") // 退出登录成功的页面
       .and()
            .authorizeRequests() // // 配置请求级别的认证
            .antMatchers("/","/test/").permitAll() // permitAll表示可以直接访问,不需要认证
            .antMatchers("/user").authenticated() //authenticated表示必须已经登录了系统 
            .antMatchers("/admin/").hasAuthority("admin") // hasAuthority用户具备该权限可以访问
            .antMatchers("/teacher/").hasAnyAuthority("admin","teacher")  // hasAnyAuthority用户具备其中一个权限就可以访问
            .antMatchers("/super/").hasRole("admin")  //hasRole用户具备该角色可以访问,会拼接一个ROLE_前缀,使用的是角色是 ROLE_admin
            .antMatchers("/student/").hasAnyRole("admin","teacher","student") // hasAnyRole如果用户具备其中一个角色就可以访问
          	.antMatchers("/school/").access("hasRole('admin')") //access使用给定的spel表达式来计算结果 
            .antMatchers("/ss/").anonymous()  // anonymous允许匿名用户访问
          	.antMatchers("/supper/").denyAll() // denyAll拒绝所有访问
            .antMatchers("/full/").fullyAuthenticated() //fullyAuthenticated 用户需要是完整认证(不是通过remeber-me功能认证的)允许访问
            .antMatchers("/ip/").hasIpAddress("127.0.0.1") // hasIpAddress 请求来自指定ip可以访问
            .antMatchers("/reme/").rememberMe() // 用户通过remember-me功能认证的允许访问
            .anyRequest().authenticated() // 其他需要认证
       .and()
            .requiresChannel().anyRequest().requiresSecure() //requiresSecure配置需要https来进行访问  requiresInsecure配置需要http来进行访问
       .and()
            .rememberMe().tokenValiditySeconds(3600).key("zhang") // rememberMe功能,保存时间3600s,rememberMe是将token存储在cookie中的,token包括用户名、密码、过期时间和私钥(key)
       .and()
            .csrf().disable() // 关闭csrf跨站请求伪造防护
            .exceptionHandling().accessDeniedPage("/unauth.html"); // 配置没有权限访问的自定义页面
	}

https://zhhll.icu/2021/框架/springSecurity/2.过滤web请求/

拾光师
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security插件--获取 登录前被拦截的URL
berty_love的专栏
07-09 4256
web项目中,登录某些页面 需要登录权限,有些是由插件拦截,有的是自己手动写的判断代码 在spring securrity中,会有映射的权限访问URL,如果在没有登录情况下 访问这些URL会被插件拦截器自动拦截,那么怎样获取当前被拦截的URL,用来实现跳转? 1.一般实现  登录前的跳转---将登录前访问的URL(不需要登录权限)放入session,登录成功后
SpringBoot整合springSecurity实现统一登录拦截
xiaoxiaosu2的博客
07-19 1735
以上,是定义的security的模块,可以作为一个maven项目的一个模块,当其它模块需要用到权限校验时,可以引入此依赖,然后实现SecurityConfig接口即可。springBoot整合security,实现统一登录拦截,首先,security是一个安全框架,主要用来鉴权、拦截、权限的一些校验,话不多说,直接上代码。源代码在百度网盘,点击。...
spring Security配置拦截规则
weixin_43575792的博客
03-18 6582
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
SpringBoot security 安全认证(二)——登录拦截
最新发布
朗朗的博客
02-01 1812
本节内容:实现登录拦截器,除了登录接口之外所有接口访问都要携带Token,并且对Token合法性进行验证,实现登录状态的保持。核心内容:1、要实现登录拦截器,从Request请求中获取token,从缓存中获取Token并验证登录是否过期,若验证通过则放行;2、实现对拦截器配置,SpringBoot 安全模块使用HttpSecurity 来完成请求安全管理。
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,过滤器链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求过滤器链(Filter)以及最终的具体 Servlet 控制器...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的...Web集成:Spring Security能够无缝集成到Spring框架和Spring MVC中,提供了过滤器、标签库等工具,简化了权限控制和
深入浅析 Spring Security 缓存请求问题
08-26
RequestCacheAwareFilter 是 Spring Security 中的一个核心过滤器,它可以拦截用户的请求,并将其缓存在 Session 中。这个过滤器可以检测用户的请求是否已经缓存在 Session 中,如果是,那么它将从 Session 中取出...
详解springSecurityjava配置篇
08-18
Spring SecurityJava 配置篇 Spring Security 是一个功能强大且灵活的安全框架...我们可以使用 Spring SecurityJava 配置篇来保护基于 JavaWeb 应用程序,包括自定义登陆页面、使用多用户、过滤器顺序等。
Spring Security常用过滤器实例解析
08-24
Spring Security 常用过滤器实例解析 Spring Security 是一个功能强大且灵活的安全框架,提供了许多实用的过滤器来帮助我们实现身份验证、授权和保护我们的应用程序。下面我们将介绍 15 个常用的 Spring Security ...
Spring Security(二)拦截请求
逝去的往事的博客
06-20 2万+
拦截请求 在第一篇中,我们看到一个特别简单的Spring Security配置,在这个默认的配置中,会 要求所有请求都要经过认证。
Springboot 拦截器,拦截所有请求,判断是否登录,验证权限
weixin_58696998的博客
05-09 1万+
Java的三大器 拦截器的作用 Java里的拦截器是动态拦截Action调用的对象,它提供了一种机制可以使开发者在一个Action执行的前后执行一段代码,也可以在一个Action执行前阻止其执行,同时也提供了一种可以提取Action中可重用部分代码的方式。 功能:可以进行权限验证,审计日志等。 代码实现 拦截器配置类 package com.thk.Interceptor; import org.springframework.context.annotation.Bean; i..
SpringBoot集成SpringSecurity完成权限拦截操作
志豪的博客
01-15 1万+
SpringBoot集成 SpringSecurity和JWT 实现认证和授权(一) SpringSecurity(SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准) JWT(JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。...
五、Spring Security拦截规则
panchang199266的博客
05-26 6021
案例1: http .authorizeRequests() //请求路径“/”容许访问 .antMatchers("/").permitAll() //其它请求都需要校验才能访问 .anyRequest().authent...
Spring Security 3入门指南:权限管理与Web过滤器详解
通过学习和实践这部分内容,开发者将能够熟练配置Spring Security,实现细粒度的访问控制、身份验证和会话管理,确保Web应用的安全性。同时,手册还提供了相关的论坛、邮件地址和QQ群支持,方便读者在开发过程中寻求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拾光师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值