请求授权(Authorize Requests)

最新推荐文章于 2024-05-26 14:42:28 发布
最新推荐文章于 2024-05-26 14:42:28 发布
阅读量3w 收藏 24
点赞数 10
分类专栏: Spring Security

我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。

 
 
  1. protected void configure(HttpSecurity http ) throws Exception {
  2.              http
  3.                   .authorizeRequests()            1                                                   
  4.                         .antMatchers( "/resources/**", "/signup" , "/about").permitAll()  2
  5.                         .antMatchers( "/admin/**").hasRole("ADMIN" )                    3    
  6.                         .antMatchers( "/db/**").access("hasRole('ADMIN') and hasRole('DBA')")  4
  7.                         .anyRequest().authenticated()        5
  8.                                          
  9.                         .and()
  10.                    // ...
  11.                   .formLogin();
  12.       }

1、http.authorizeRequests()方法有很多子方法,每个子匹配器将会按照声明的顺序起作用。

2、指定用户可以访问的多个url模式。特别的,任何用户可以访问以"/resources"开头的url资源,或者等于"/signup"或about

3、任何以"/admin"开头的请求限制用户具有 "ROLE_ADMIN"角色。你可能已经注意的,尽管我们调用的hasRole方法,但是不用传入"ROLE_"前缀

4、任何以"/db"开头的请求同时要求用户具有"ROLE_ADMIN"和"ROLE_DBA"角色。

5、任何没有匹配上的其他的url请求,只需要用户被验证。


源码解读

在这个案例中我们调用了antMatchers方法来定义什么样的请求可以放过,什么样的请求需要验证。antMatchers使用的是Ant风格的路径匹配模式(在下一节我们会详细讲解)。这个方法中定以在AbstractRequestMatcherRegistry中,我们查看一下这个方法的源码:

 
 
  1. public C antMatchers(String... antPatterns) {
  2.    return chainRequestMatchers(RequestMatchers.antMatchers(antPatterns));
  3. }

这个方法内部又调用了RequestMatchers对象的静态方法antMatchers方法,源码如下

 
 
  1. public static List<RequestMatcher> antMatchers(HttpMethod httpMethod,
  2.       String... antPatterns) {
  3.    String method = httpMethod == null ? null : httpMethod.toString();
  4.    List<RequestMatcher> matchers = new ArrayList<RequestMatcher>();
  5.    for (String pattern : antPatterns) {
  6.       matchers.add(new AntPathRequestMatcher(pattern, method));
  7.    }
  8.    return matchers;
  9. }

可见最终返回的是一个RequestMatcher列表,事实上,SpringSecurity在工作过程中,就可以利用RequestMatcher对象来进行路径匹配了。

除了ANT风格的路径匹配模式,我们还可以使用基于正则表达式的路径匹配模式,对应的方法是regexMatchers(..)。

苏美尔人的天空
关注
  • 10
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
authorizeRequests 迁移到 authorizeHttpRequests:升级Spring Security授权配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 558
在Spring Security中,授权配置是确保应用程序安全性的关键部分。随着Spring Security的演进,新的 authorizeHttpRequests 提供更灵活的授权规则。本文指导迁移从传统的 authorizeRequestsauthorizeHttpRequests,以满足较新版本Spring Security和复杂的授权需求。探讨迁移、表达式语言、最佳实践,确保应用程序安全可维护。
Requests.zip
01-19
本篇将详细介绍Requests库的基本使用,包括如何发送带参数的接口请求、处理JSON格式的数据以及如何进行权限验证,特别是OAuth2认证。 首先,让我们安装Requests库。在命令行或终端中输入以下命令: ```bash pip ...
Spring Security(五):权限配置
Shair911的博客
02-09 1754
TODO
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 489
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9452
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
http.authorizeRequests()详解
lyy的博客
04-05 2719
表示可以匿名访问匹配的URL。访问控制方法都很简单, 只要匹配到url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问。下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。如果有参数,参数表示角色,则其中任何一个角色可以访问。如果有参数,参数表示权限,则其中任何一个权限可以访问。如果有参数,参数表示角色,则其角色可以访问。如果有参数,参数表示权限,则其权限可以访问。表示所匹配的URL都不允许被访问。
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2628
Spring Security --- authorizeRequests配置
Spring Security HttpSecurity.authorizeRequests
Claroja
03-19 6038
http.authorizeRequests() .antMatchers("/login.html").permitAll()//放行/login.html,不需要认证 // .antMatchers("/css/**","/js/**","/images/**").permitAll()//放行静态资源 // .antMatchers("/**/*.png").permitAll()//放行...
requests_auth:与请求一起使用的身份验证类
02-01
请求验证 提供与 一起使用的身份验证类。 一些受支持的身份验证可用身份验证API密钥OAuth 2 支持大多数流。 如果您所寻找的对象尚未得到支持,请随时。授权码流程授权代码授予在之后。 使用requests_auth.OAuth2...
Spring Security 控制授权的方法
08-27
使用授权表达式给多权限要求的请求授权 在一些复杂的安全应用场景中,权限要求往往是多样化的,因此需要使用授权表达式来解决这种情况。例如: ``` @Override protected void configure(HttpSecurity http) throws ...
Laravel开发-requests
08-28
`FormRequest`类还提供了`authorize`方法,你可以在这里实现授权逻辑,判断当前用户是否有权限执行该操作。如果`authorize`返回`false`,请求会被立即终止。 ### 小结 `Requests`是Laravel框架中处理和验证HTTP...
http请求requests详解
07-26
很详细的一个http请求的思维导图。你值得拥有。。。。
Python Authorize Trans Details Example-开源
07-01
本示例主要关注的是"Python Authorize Trans Details Example",即如何使用Python来处理授权交易的详细信息。这个开源项目提供了一个具体的实现,可以帮助开发者理解如何在实际应用中进行此类操作。 ...
SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)
qq_51553982的博客
07-22 1394
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。...
web-security第六期:畅谈 Spring Security Authorization(授权
Swing
06-13 4811
前几期我们了解了Spring Security Authentication (认证)在确认是本站点的用户后,我们又面临了一个问题:该用户可以访问那些资源,不能访问哪些资源,这都得好好研究研究,今天我们来说道说道Spring Security Authorization(授权) 首先我们来回顾一下 认证的结果: 也就是AUthentication中的内容,我们来逐一分析一下: Principal:这是登录用户的信息,一般是指 UserDetails (它的实现类,在前几期我们有定义) Cr...
requestMatchers()方法与authorizeRequests()区别,ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapt
join_null的博客
08-09 6165
一、requestMatchers()方法与authorizeRequests()区别 1.理解这两个方法的区别首先要知道springsecurity中,每声明一个adapter实例,就会产生一条过滤器链,一个请求过来要走哪个过滤器链就是由requestMatchers()方法配置的url决定的。请求匹配上requestMatchers()配置的过滤器链后,在进一步的详细控制则是authorizeRequests()决定的。例如: 下面这个adapter只对/api1...
因为一句代码,老大差点拿我祭旗!Spring Security authorizeRequests 顺序问题不容忽视
银河架构师的博客
06-25 6136
​今天,老大给我布置了一个非常简单的任务,真的非常简单:开发一个个人基本信息展示页面,展示个人的一些基本信息,并且权限配置要配置为无需登录即可访问。 感谢大哥照顾我,给我这么简单的任务,那就开干吧。 一顿操作猛如虎,页面写完后,到Spring Security的配置方面,不就是无权限认证嘛,还不是手到擒来。 http..authorizeRequests().antMatchers("/user/profile/**").permitAll() 这么简单的东西,没有必要再走各种测试流程...
Spring Security之基于HttpRequest配置权限
Evan_L的博客
03-24 1678
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
Spring Security(十四):5.4 Authorize Requests
weixin_30767835的博客
12-17 4527
Our examples have only required users to be authenticated and have done so for every URL in our application. We can specify custom requirements for our URLs by adding multiple children to ourhttp.aut...
HttpSecurity。authorizeRequests
07-07
以上代码中,`.authorizeRequests()` 方法用于开始定义请求的权限控制规则。`.antMatchers()` 方法用于匹配指定的路径,并设置相应的权限要求。`.permitAll()` 表示允许所有人访问,`.hasRole()` 表示需要特定的角色...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值