Spring Security HttpSecurity.authorizeRequests

最新推荐文章于 2024-10-15 16:51:16 发布
最新推荐文章于 2024-10-15 16:51:16 发布
阅读量6.2k 收藏 10
点赞数 3
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/claroja/article/details/114605946
版权 
        http.authorizeRequests()

                .antMatchers("/login.html").permitAll()//放行/login.html,不需要认证
                // .antMatchers("/css/**","/js/**","/images/**").permitAll()//放行静态资源
                // .antMatchers("/**/*.png").permitAll()//放行后缀.png
                
                // .regexMatchers(".+[.]png").permitAll()//放行后缀.png,正则表达式
                // .regexMatchers(HttpMethod.POST,"/demo").permitAll()//指定请求方法
                
                // .antMatchers("/main1.html").hasAuthority("admiN")//基于权限
                // .antMatchers("/main1.html").hasAnyAuthority("admin","admiN")
                
                // .antMatchers("/main1.html").hasRole("abC")//基于角色
                // .antMatchers("/main1.html").hasAnyRole("abC","abc")
                
                // .antMatchers("/main1.html").hasIpAddress("127.0.0.1")//基于IP地址

                .anyRequest().authenticated();//所有请求都必须认证才能访问,必须登录

1.先匹配url
.anyRequest()
.antMatchers
.regexMatchers
.mvcMatchers 比较较少用

2.再权限管理
denyAll
permitAll

hasAuthority
hasAnyAuthority
hasRole
hasAnyRole

fullAuthority(remember me)
authenticated //登录
hasIpAddress

项目tips

实际中一般先
1)处理放行页面 permitAll
2)处理特殊权限页面 hasAuth
3)剩余全部需登录

参考:
https://stackoverflow.com/questions/19525380/difference-between-role-and-grantedauthority-in-spring-security

Claroja
关注
authorizeRequests 迁移到 authorizeHttpRequests:升级Spring Security授权配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 824
Spring Security中,授权配置是确保应用程序安全性的关键部分。随着Spring Security的演进,新的 authorizeHttpRequests 提供更灵活的授权规则。本文指导迁移从传统的 authorizeRequestsauthorizeHttpRequests,以满足较新版本Spring Security和复杂的授权需求。探讨迁移、表达式语言、最佳实践,确保应用程序安全可维护。
SpringSecurity
weixin_38380811的博客
12-12 1562
SpringSecurity
因为一句代码,老大差点拿我祭旗!Spring Security authorizeRequests 顺序问题不容忽视
银河架构师的博客
06-25 6253
​今天,老大给我布置了一个非常简单的任务,真的非常简单:开发一个个人基本信息展示页面,展示个人的一些基本信息,并且权限配置要配置为无需登录即可访问。 感谢大哥照顾我,给我这么简单的任务,那就开干吧。 一顿操作猛如虎,页面写完后,到Spring Security的配置方面,不就是无权限认证嘛,还不是手到擒来。 http..authorizeRequests().antMatchers("/user/profile/**").permitAll() 这么简单的东西,没有必要再走各种测试流程...
SecurityFilterChain相关的配置和示例说明
闫小甲的专栏
09-11 646
最近在做技术升级工作,Spring Boot 2.x升级Spring Boot 3.x自然也就涉及到SecuritySecurity5.x升级Security6.x)`SecurityFilterChain`相关的配置和示例说明。
SpringSecurity中文文档(Servlet Authorize HttpServletRequests
znjy111的博客
07-08 1131
SpringSecurity 允许您在请求级别对授权进行建模。例如,对于 Spring Security,可以说/admin 下的所有页面都需要一个权限,而其他所有页面只需要身份验证。默认情况下,SpringSecurity 要求对每个请求进行身份验证。也就是说,任何时候使用 HttpSecurity 实例,都需要声明授权规则。无论何时有 HttpSecurity 实例,您至少应该这样做:这告诉 Spring Security,应用程序中的任何端点都需要至少对安全上下文进行身份验证才能允许它。
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9721
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
Spring Security --- authorizeRequests配置
汤键的博客
04-13 3132
Spring Security --- authorizeRequests配置
Spring Security之基于HttpRequest配置权限
Evan_L的博客
03-24 2165
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
SpringSecurity_day03.pdf
05-09
http.authorizeRequests() .antMatchers("/").permitAll() .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll(); } } ``` 通过以上步骤,我们可以实现Spring Security与...
10-SpringSecurity 数据库DB验证.zip
09-10
protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/").permitAll() // 允许访问根路径 .antMatchers("/admin/**").hasRole("ADMIN") // 只有管理员角色...
SpringSecurity使用和分析.docx
09-27
在`configure(HttpSecurity http)`方法中,可以通过调用`http.authorizeRequests()`来设置访问控制,`http.formLogin()`来定制登录表单的行为,`http.httpBasic()`来启用HTTP基本认证,以及`http.csrf().disable()`...
http.authorizeRequests()详解
lyy的博客
04-05 3476
表示可以匿名访问匹配的URL。访问控制方法都很简单, 只要匹配到url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问。下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。如果有参数,参数表示角色,则其中任何一个角色可以访问。如果有参数,参数表示权限,则其中任何一个权限可以访问。如果有参数,参数表示角色,则其角色可以访问。如果有参数,参数表示权限,则其权限可以访问。表示所匹配的URL都不允许被访问。
authorizeHttpRequests
最新发布
yyzz7579的博客
10-15 631
Spring Security 中用于配置 HTTP 请求授权的一个关键方法,它允许你根据特定的 URL 模式或请求属性来定义授权规则。还可以结合 Spring Security 的其他功能,如自定义 403 异常返回处理等,来提供更友好的用户体验和安全保障。支持链式写法,使得配置更加简洁和易读。连接多个匹配规则和授权策略,形成一条完整的授权链。:要求用户具有列表中的任何一个角色或权限。:要求用户具有指定的角色或权限。:要求用户已认证(即已登录)其他所有请求都需要用户已认证。
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)
qq_51553982的博客
07-22 1484
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。...
spring security oauth2
qq_22555107的博客
06-22 315
spring security oauth
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2444
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
You are asking Spring Security to ignore Ant(xx) This is not recommended, please use permitAll... 处理
Z_Li_Vic的博客
04-07 1万+
Spring Security之ignore not recommended 警告的处理 启动springboot项目时,出现一个warning: You are asking Spring Security to ignore Ant(xxx) This is not recommended – please use permitAll via HttpSecurity#authorizeHttpRequests instead. 经查,是在Spring Security configuration类中
Spring Security 6 httpSecurity.antMatcher
08-25
Spring Security 6 中,`httpSecurity.antMatcher` 是一个用于配置路径匹配规则的方法。它可以用来指定特定的 URL 路径模式,以便对这些路径进行安全控制。 `antMatcher` 方法接受一个 Ant 风格的路径模式作为参数。这个模式可以包含 `?` 和 `*` 等通配符,用于匹配路径中的不确定部分。例如,`/admin/**` 可以匹配以 `/admin/` 开头的任意路径。 下面是一个示例,展示如何在 Spring Security 6 的配置中使用 `httpSecurity.antMatcher` 方法: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() // 其他配置... } } ``` 在上面的示例中,我们使用了 `antMatchers` 方法配合 `antMatcher` 方法来定义了两个路径规则:`/admin/**` 和 `/user/**`。路径 `/admin/**` 需要具备 "ADMIN" 角色才能访问,而路径 `/user/**` 则需要具备 "USER" 角色才能访问。对于其他未匹配到的路径,我们使用了 `anyRequest().authenticated()` 来要求用户在访问这些路径时进行身份验证。 这就是使用 `httpSecurity.antMatcher` 方法配置路径匹配规则的一种方式。希望能对你有所帮助!如果你有更多问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值