什么? 就只是加了一个 Spring Security 依赖, 所有接口都无法访问了?

最新推荐文章于 2024-04-22 18:46:17 发布
最新推荐文章于 2024-04-22 18:46:17 发布
阅读量3.7k 收藏 6
点赞数 3
分类专栏: springsecurity 文章标签: Spring security spring springsecurity dpringboot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnm10050/article/details/116862536
版权

开篇

前面我们写了 4 篇 Spring Security 的实战教程, 全部基于 Springboot 搭建的.

虽然我们学会了怎么用, 但是里面的原理还没搞清楚.

因此, 从本文开始, 我们会基于 Spring SecuritySpringboot 的整合, 去逐步去学习 Spring Security 的工作原理.

正文

通过前面的 4 篇实战教程, 我们暂时得到了如下结论:

  1. 当我们在项目中添加了 Spring Security 依赖后, 即使不做任何配置, 它也默认会帮我们拦截掉所有请求.
  2. 为了修改 Spring Security 的默认行为, 我们需要做一些配置, 也就是通过重写 WebSecurityConfigurerAdapterconfigure(HttpSecurity http) 方法.

那么问题来了, 为什么仅仅加了一个 Spring Security 依赖, 就可以拦截请求了?

答案自然跟 Springboot 的自动装配有关系.

SecurityAutoConfiguration 装配类

通过 @Import 注解, 可以找到 SpringBootWebSecurityConfiguration

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
		SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {

	@Bean
	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
	public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
		return new DefaultAuthenticationEventPublisher(publisher);
	}

}

SpringBootWebSecurityConfiguration 类

  1. @ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class) 可以看出,
    当项目中没有配置 WebSecurityConfigurerAdapter 时, 这个配置类才会生效.

  2. 当这个配置类生效后, 会帮我们配置一个默认的 WebSecurityConfigurerAdapter

  3. 由前面可知, 通过配置 WebSecurityConfigurerAdapter 可以实现定义拦截方式.

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = Type.SERVLET)
public class SpringBootWebSecurityConfiguration {

	@Configuration(proxyBeanMethods = false)
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

	}

}

WebSecurityConfigurerAdapter 的默认行为

从下面的默认配置可以得知, 默认的配置是所有的请求都需要登录认证.

protected void configure(HttpSecurity http) throws Exception {
	
    http
       .authorizeRequests()
       // 重点
       .anyRequest().authenticated()
       .and()
       .formLogin().and()
	.httpBasic();
    }

总结

当我们的 Springboot 工程引入 Spring Security 依赖后, 项目中的 “安全机制” 就已经开启了.

因为根据 Spring boot 的自动装配原理, 在加载 SecurityAutoConfiguration 配置类时, 会再加载 SpringBootWebSecurityConfiguration 配置类.

而在 SpringBootWebSecurityConfiguration 类中, 默认帮我们初始化了一个WebSecurityConfigurerAdapter 类.

WebSecurityConfigurerAdapter 的有一个作用就是 配置访问请求需要的权限.

如果不覆盖此类的 configure(HttpSecurity http) 方法, 它的默认行为就是 要求对所有的请求进行登录认证.

nimo10050
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot集成SpringSecurity过程中遇到的问题
徒手千行代码无bug
02-20 1085
一、配置的免登录访问接口不生效。 @Component @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { //免登录的接口 @Override public void configure(WebSecurity web) throws ...
Spring Boot使用Spring Security遇到的问题
x805111268的博客
11-17 749
Spring Boot使用Spring Security遇到的问题 定制首页,从数据库中直接取数据校验遇到的一些坑。 首先引入依赖Spring Security依赖。 1. ajax请求被拦截 ajax请求发送成功,返回错误代码403。 解决方案1: 在html头添: <meta name="_csrf" th:content="${_csrf.token}"/> <meta name="_csrf_header" th:content="${_csrf.headerName}"
springboot3.2.4 集成springSecurity无法发送post请求
qq_27039987的博客
03-27 258
集成spring security接口无法发送post请求
SpringSecurity实现认证
最新发布
qq_32954567的博客
04-22 893
SpringSecurity认证
解决Spring Boot 整合Security后,所有接口提示Unauthorized、返回401
SuperstarSteven的博客
12-13 3275
解决办法 在启动类前的@SpringBootApplication注解中入exclude属性SecurityAutoConfiguration和ManagementWebSecurityAutoConfiguration,以排除安全认证 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class,ManagementWebSecurityAutoConfiguration.class}) @MapperScan(basePacka
springboot+springsecurity,post方法访问login接口总是登陆失败,get方法传params不管对错都返回302,返回值是一个页面
zjy9951的博客
11-02 1527
问题描述 出错原因 默认配置下 login接口是以表单的形式处理数据的 head头应该设置为application/x-www-form-urlencoded 前端代码 this.$axios({ method: 'post', url: '/login', headers: { 'content-type': 'application/x-www-form-urlencoded' }, params: { user
Spring集成SpringSecurity依赖
05-29
Spring集成SpringSecurity依赖包.也有springMVC的依赖包,直接下载引入就可用
为什么Spring Security导致 Spring Boot 跨域失效呢?
ITMuch的专栏
10-04 871
点击上方IT牧场,选择置顶或者星标技术干货每日送达作者:欧阳我去链接:https://segmentfault.com/a/1190000019485883作为一个后端开发,我们经...
Spring Security无法访问登录接口
Prongs_的博客
07-18 2378
在postman测试登录接口时,使用json格式传入账号、密码、类型,出现以下错误 security原配置 将此处改为 成功登录
Spring Security无法调用接口错误解决
小姑仔的博客
08-30 391
经过排查之后发现,这里的SecurityConfig上面没有上@Configuration这个注解,导致SecurityConcig没有被注入到Spring的容器之中,因此报错。并且返回的一直是forbidden401,应该是没有权限,但是奇怪的是,我在SecurityConfig之中权限已经打开了。之前在写程序的时候,发现有个接口使用postmapping发送请求一直无法进行调用。
解决Spring Boot 整合Security后,所有接口提示Unauthorized、返回401、 跳转到登陆页面
看山不是山
02-02 7632
SpringBoot只要依赖Spring Security包后(pom.xml中多了spring-boot-starter-security的jar包),默认就已经开启了权限验证,如果当前工程是不需要纳入权限管理的话,就可以直接禁用掉Security的认证。下面是方法: Spring Boot 2.x和Spring Security 5.x前禁用认证 在application.yml或...
spring security 参考手册中文版
02-01
设置一个自定义的AuthenticationEntryPoint 64 6.4方法安全 64 6.4.1 <global-method-security>元素 65 使用protect-pointcut添安全性切入点 66 6.5默认AccessDecisionManager 67 6.5.1自定义...
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip
12-20
这是一款基于SpringBoot+SpringSecurity的RBAC权限管理系统。原本只想着做成基于SpringSecurity的权限管理系统,但随着功能的增感觉有些刹不住车了,之后可能会往后台管理系统方向发展。无任何重度依赖,非常适合...
spring_security_jwt.rar
05-13
对于前后端分离的项目,后端对于接口访问的权限控制是必须要做的,也就是需要根据用户的权限进行控制,这样才能对我们的接口资源进行一定程度的保护,在一个web项目中,我们的通常做法是,允许登录后的用户进行接口...
leafage-gateway:基于spring cloud网关和spring boot安全性,提供安全性,路由分配,wescoket
03-22
叶子网关 leafage-gateway是leafage的网关服务,所有后台服务接口都只能通过网关进行访问,它包含两部分:查看当前依赖最新版本了解更多过关于更多信息;路由网关:基于spring cloud gateway,进行api请求的转发,...
SpringBoot 整合 Spring Security 登录成功 访问其他接口报 403
qq_37892558的博客
02-24 954
【代码】SpringBoot 整合 Spring Security 登录成功 访问其他接口报 403。
springsecurity 登录后依然无法访问页面
jsy19961112的博客
09-26 2632
springsecurity 登录后依然无法访问页面 登录成功 点击左侧功能列表报错 org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.AffirmativeBased.decide(Affirmativ...
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6597
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
Spring Security Oauth2 无法访问到资源服务接口问题分析
oPeiJie1的博客
04-12 1459
在搭建认证服务器,完成Spring Security Oauth2的四种模式的获取token的测试后,预示着我们已经将认证服务器搭建成功,紧接着我们搭建了一个用于测试的资源服务。相关的配置和测试接口如下。
我怎么创建一个集合springsecurity、jwt、mybatisplus、接口测试的springboot项目
05-05
你可以按照以下步骤创建一个集成了Spring Security、JWT、MyBatis-Plus和接口测试的Spring Boot项目: 1. 使用Spring Initializr创建一个新的Spring Boot项目,并添以下依赖项: - Spring Web - Spring Security - JWT - MyBatis-Plus - Spring Boot Test 2. 配置Spring SecuritySpring Security配置类中,添以下配置: - 配置Spring Security的基本安全选项,例如允许的URL和登录页面 - 配置JWT的认证过滤器,以确保只有经过身份验证的用户才能访问受保护的资源 3. 配置JWT 在JWT配置类中,添以下配置: - 配置JWT的密钥和算法 - 配置JWT的过期时间和刷新时间 4. 配置MyBatis-Plus 在MyBatis-Plus配置类中,添以下配置: - 配置MyBatis-Plus的数据源和事务管理器 - 配置MyBatis-Plus的分页插件和逻辑删除插件 5. 编写接口测试 使用Spring Boot Test编写集成测试,测试接口的正确性和安全性。 以上是创建一个集成了Spring Security、JWT、MyBatis-Plus和接口测试的Spring Boot项目的基本步骤。你可以根据自己的需求进行扩展和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值