Spring Security规则配置及端点(EndPoint)保护详解

最新推荐文章于 2024-04-17 11:40:15 发布
最新推荐文章于 2024-04-17 11:40:15 发布
阅读量5.4k 收藏 7
点赞数 3
分类专栏: SpringSecurity学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RobertoHuang/article/details/89512243
版权

匹配规则

  • HttpSecurity.antMatcher(...)表示该安全规则只针对参数指定的路径进行过滤
  • HttpSecurity.requestMatchers同上,唯一区别是可以接受多个参数【两者不能同时使用】
  • HttpSecurity.authorizeRequests()该方法用于配置权限,如hasAnyRoleaccess(...)
  • .authorizeRequests().anyRequest()除去已经配置了的路径之外的其他路径,即包含在(1)/(2)中不包含在HttpSecurity.authorizeRequests().antMatchers(…)中的其他路径

端点保护配置

了解到这部分的知识是因为在做OAuth2认证的时候,我发现项目中的安全配置已经开放所有请求(即/**请求不进行拦截),但是当我访问/oauth/token的时候竟然提示401,百思不得其解。最后发现原来在Spring Security中预制了一些默认断点保护策略。具体配置是在AuthorizationServerSecurityConfiguration

过滤规则踩到的坑

.requestMatchers().antMatchers("/test/**").and()
.authorizeRequests().antMatchers("/test/authenticated").authenticated()
.anyRequest().permitAll().and()

通过匹配规则我们可以知道这部分配置的意思是针对/test/**的请求将使用安全配置,/test/authenticated是需要认证的,匹配/test/**且不是/test/authenticated的请求是不需要认证的。但是在实际项目中却遇到了一个坑,就是我访问/test/**的任何请求都是需要认证的,跟了源码发现是使用错误,具体原因是因为我在继承WebSecurityConfigurerAdapter重写configure(HttpSecurity http)方法的最后多写了一行代码

super.configure(http);

我在最后又去调用了WebSecurityConfigurerAdapterconfigure(HttpSecurity http)方法

protected void configure(HttpSecurity http) throws Exception {
   logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
   http
      .authorizeRequests().anyRequest().authenticated().and()
      .formLogin().and()
      .httpBasic();
}

这个是WebSecurityConfigurerAdapter.configure方法的源码,它默认会对所有请求进行过滤。有兴趣的同学可以跟踪源码会发现Spring SecurityURL拦截规则最后是存放在Map中,即在super的配置会覆盖掉自定义配置导致自定义配置失效,写的比较简洁可能不是很好理解。

RobertoHuang
关注
专栏目录
架构师:搭建Spring Security、OAuth2和JWT 的安全认证框架
木头
05-06 296
搭建Spring Security、OAuth2和JWT 的安全认证框架
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3603
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Cloud整合SpringSecurity OAuth2(全网最强)
web15185420056的博客
06-12 1万+
本文是梳理整合SpringCloud和SpringSecurity OAuth2的搭建流程!好久没撸SpringSecurity OAuth2这系列代码了,都快忘了,特写此文章梳理脉络!开干!!!微服务版本 SpringSecurity OAuth2版本 通过微服务版本限定后spring-security-oauth2-autoconfigure的最终版本自动适配为2.1.2刚开始我这里就不一次性把一大堆配置放上来,需要什么就写什么,不然到时候都搞不清那个配置是干嘛,有什么用的!这也是我写这个文章的缘由!授
McAfee Endpoint Security for Mac(防病毒软件)
macxingchendahai的博客
12-22 2830
McAfee Endpoint Security是一款防病毒软件,当您在互联设备之间畅享数字生活时,通过最简单最高效的方式保护您的数据和身份安全,为您的 PC、Mac、智能手机和平板电脑获取身份、隐私和防病毒保护。 McAfee Endpoint Security软件介绍 McAfee Endpoint Security是一款病毒查杀软件,可以有效地帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全
使用Spring Boot 2.0的Spring Security保护端点
最佳 Java 编程
06-10 384
到目前为止,在以前的文章中,我们已经使用默认的spring安全配置端点和控制器进行了安全保护。 当Spring Security在类路径上时,默认情况下自动配置保护所有端点。 当涉及到复杂的应用程序时,我们需要每个端点使用不同的安全策略。 我们需要配置哪些端点应受到保护,哪些类型的用户应能够访问该端点以及应公开的端点。 一个很好的例子是端点,它将向用户显示欢迎消息。 pac...
聊聊spring security oauth2的几个endpoint的认证
weixin_34233856的博客
12-12 1681
序 本文就来讲一下spring security oauth2的几个endpoint的认证 endpoint spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEnd...
Endpoint Security
TopMVP
12-02 602
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出版、作者信息和本声明。否则将追究法律责任。http://blog.csdn.net/topmvp - topmvpA Comprehensive, Proven Approach to Securing All Your Network Endpoints! Despite massive investments in s
Spring-Security的页面端控制介绍
Hpeacheng的博客
11-29 541
【1】直接步入使用步骤 1.在pol.xml上引入jar包 2.在需要页面控制的jsp上写入taglib语句 3.authentication:用处是,可以获取我们当前登录的用户 authorize:用处是,控制页面上的标签是否可以使用(显示) 【2】jsp页面加入taglib <%@ page language="java" contentType="text/html; charset=U...
Spring Security Oauth2 之 核心架构配置
热门推荐
vincent
04-04 1万+
gitHub 链接:https://github.com/vincent9309/seurity-oauth2 1ResourceServerConfigurerAdapter (资源服务器配置) 内部关联了ResourceServerSecurityConfigurer和HttpSecurity。前者与资源安全配置相关,后者与http安全配置相关 @Override pub...
SpringSecurity
weixin_38380811的博客
12-12 1556
SpringSecurity
SpringSecurity OAuth2授权端点AuthorizationEndpoint、授权码AuthorizationCodeServices 详解
向心行者
01-09 7688
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时了解"/oauth/authorize"授权接口在AuthorizationEndpoint类中定义。这一节,我们将详细分析AuthorizationEndpoint类的实现。 2、AbstractEndpoint抽象类   AuthorizationEndpoint授权端点继承自AbstractEndpoint抽象类,这里我们先分析一下AbstractEndpoint抽象类的实现逻辑。   AbstractEnd
Spring Security 自定义用户信息端点与多种登录方式共存_oauth2 自定义端点(1)
最新发布
2301_77054033的博客
04-17 320
创建一个注解的类,用来生成SecurityFilterChain Bean@Bean//自定义用户信息获取实现测试一下,当我们点击Customize,正常跳转,并显示了Hello,阿提说说,说明成功了。💡当再使用Gitee、GitHub登录的时候,不能登录了,这是怎么回事?。原因是上面这种配置方式,把其他的OAuth2登录都给覆盖了,所有获取用户信息的逻辑都会使用,但这几个第三方登录的接口返回格式又不一样了,因此这种配置方式违背了我们的初衷。
Spring Security之Java Configuration方式
海恩的博客
04-29 2028
java configuration方式 上面是以xml文件的方式配置,接下来介绍以自定义java类的方式来配置spring security 可先在719行:自定义过滤器一节了解认证流程。 1. 注册DelegatingFilterProxy package com.study.config; import org.springframework.security.web.c...
spring security oauth2 中两个endpoint的注入来源
a469517790的博客
07-06 4708
公司项目使用xml配置的方式整合oauth2,在阅读源码,跟踪整个授权跟获取令牌的过程中,对比xml的配置文件,并没有找到有配置配了两个endpoint的注入:TokenEndpoint 和AuthorizationEndpoint。这两个类分别对应我们oauth2中两个重要的请求:/oauth/token 和/oauth/authorize。我们oauth的功能都围绕着这个给url展开,这里...
SpringCloud微服务实战——搭建企业级开发框架(四十):使用Spring Security OAuth2实现单点登录(SSO)系统
全栈程序猿的专栏
05-11 4628
一、单点登录SSO介绍   目前每家企业或者平台都存在不止一套系统,由于历史原因每套系统采购于不同厂商,所以系统间都是相互独立的,都有自己的用户鉴权认证体系,当用户进行登录系统时,不得不记住每套系统的用户名密码,同时,管理员也需要为同一个用户设置多套系统登录账号,这对系统的使用者来说显然是不方便的。我们期望的是如果存在多个系统,只需要登录一次就可以访问多个系统,只需要在其中一个系统执行注销登录操作,则所有的系统都注销登录,无需重复操作,这就是单点登录(Single Sign On 简称SSO)系统实现的功能
spring security中文文档_Spring Boot中文参考指南(2.1.6)53、端点
weixin_39777497的博客
11-21 232
上一篇[52、启用生产就绪功能]下一篇[53.4、配置端点]英文原文:https://docs.spring.io/spring-boot/docs/2.1.6.RELEASE/reference/html/production-ready-endpoints.htmlGitHub:https://github.com/jijicai/Spring/tree/master/spring-boot5...
自定义endpoints地址
yrsg666的博客
07-03 335
https://segmentfault.com/a/1190000022578849
Spring Security展示如何配置及其在方法内部调用的方法的作用
qq_60458298的博客
03-22 121
在 configureGlobal(AuthenticationManagerBuilder auth) 方法中,通过 userDetailsService() 方法指定了自定义的 UserDetailsService 实现类,并通过 passwordEncoder() 方法指定了密码的加密方式。在上述代码中,首先通过 authorizeRequests() 方法开始配置请求的授权方式,通过 antMatchers() 方法指定不需要认证的路径,通过 anyRequest() 方法指定其他请求需要认证。
spring-boot:使用spring security实现用户登录注册(二)configuration配置
zhibin的程序日记
03-19 1528
项目地址:https://github.com/lizhibin205/simple_web_v2 如果不适用spring boot security的默认配置,必须创建一个配置类继承org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; 在开发中,我们可以重载...
springsecurity oauth2.0 更改端点路径
09-02
要更改Spring Security OAuth 2.0的端点路径,您可以使用以下方法之一: 1. 更改默认的端点路径:您可以通过配置属性来更改默认的端点路径。例如,如果您想更改授权服务器的端点路径,可以使用以下配置: ```properties spring.security.oauth2.authorization-server.path=/your-custom-path ``` 2. 自定义端点路径:您可以通过自定义配置类来创建自定义端点,并将其映射到所需的路径。例如,假设您想更改令牌端点的路径,您可以创建一个自定义配置类,如下所示: ```java import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.configurers.oauth2.server.authorization.OAuth2AuthorizationServerConfigurer; import org.springframework.security.oauth2.core.endpoint.OAuth2AuthorizationEndpointFilter; @Configuration @EnableAuthorizationServer public class CustomAuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(OAuth2AuthorizationServerConfigurer oauth2) throws Exception { oauth2.tokenEndpoint() .path("/your-custom-path"); } } ``` 请注意,这只是一个示例,并且您需要根据特定的需求进行相应的配置。根据您想要更改的端点类型(例如:授权服务器、令牌端点等),您可能需要使用不同的配置方法。 这些方法都可以用来更改Spring Security OAuth 2.0的端点路径。根据您的需求选择最合适的方法,并相应地进行配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值