security antMatchers(HttpMethod method, String... antPatterns)实现特定注解无需登录认证功能

最新推荐文章于 2024-05-26 14:42:28 发布
最新推荐文章于 2024-05-26 14:42:28 发布
阅读量913 收藏 9
点赞数 8
文章标签: java security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cominglately/article/details/135146663
版权

文章目录

场景

项目中某些接口不需要认证, 通过注解实现相对于其他的security配置会更灵活。

解决方案

  1. 按照HTTP方法的维度 获取到uri集合
  2. 使用antMatchers(HttpMethod method, String… antPatterns) 完成搜集的uri配置

antMatchers(HttpMethod method, String… antPatterns) 是 Spring Security 中用于配置 特定 HTTP 方法和 URL 模式的安全规则。

HttpMethod method 表示要匹配的 HTTP 方法(例如 GET、POST、PUT 等)。
String… antPatterns 表示要匹配的 URL 模式,可以指定多个模式。 可以设置成ur数组

下面是个例子

http
            .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/public/**").permitAll()  // 允许GET请求访问/public/**路径
                .antMatchers(HttpMethod.POST, "/admin/**").hasRole("ADMIN")  // 需要ADMIN角色才能POST访问/admin/**路径
                .anyRequest().authenticated()  // 其他请求需要进行身份验证

代码实现

  1. 获取PermitAll注解修饰的uri
    /**
     * 获取被PermitAll注解修饰的url地址
     * */
    private Multimap<RequestMethod, String> getUrlsFormPermitAllAnnotation() {
        Multimap<RequestMethod, String> methodMap = HashMultimap.create();

        RequestMappingHandlerMapping requestMappingHandlerMapping = (RequestMappingHandlerMapping) applicationContext.getBean("requestMappingHandlerMapping");
        for (Map.Entry<RequestMappingInfo, HandlerMethod> entry : requestMappingHandlerMapping.getHandlerMethods().entrySet()) {
            HandlerMethod method = entry.getValue();
            if (!method.hasMethodAnnotation(PermitAll.class)) {
                continue;
            }
            if (entry.getKey().getPatternsCondition() == null) {
                continue;
            }

            Set<String> url = entry.getKey().getPatternsCondition().getPatterns();

            for (RequestMethod requestMethod : entry.getKey().getMethodsCondition().getMethods()) {
                methodMap.putAll(requestMethod, url);
            }
        }
        log.info("PermitAll注解修饰的urls {}", methodMap);

        return methodMap;
    }
  1. 将uri设置成无需认证
        Multimap<RequestMethod, String> permitAllUrlMap = getUrlsFormPermitAllAnnotation();
        // 设置具体请求的权限
        httpSecurity.authorizeRequests()
                .antMatchers(HttpMethod.GET, "/*.html", "/**/*.html", "/**/*.css", "/**/*.js").permitAll() // 静态资源无需认证
                .antMatchers("/websocket/message").permitAll() // websocket无需认证
                .antMatchers(HttpMethod.GET, permitAllUrlMap.get(RequestMethod.GET).toArray(new String[0])).permitAll()
                .antMatchers(HttpMethod.POST, permitAllUrlMap.get(RequestMethod.POST).toArray(new String[0])).permitAll()
                .antMatchers(HttpMethod.PUT, permitAllUrlMap.get(RequestMethod.PUT).toArray(new String[0])).permitAll()
                .antMatchers(HttpMethod.DELETE, permitAllUrlMap.get(RequestMethod.DELETE).toArray(new String[0])).permitAll()
                .and().authorizeRequests().anyRequest().authenticated(); // 其他请求必须认证
cominglately
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
serverhttpsecurity 缺少_在类resourceserverconfiguration.configure中使用httpsecurity.requestmatchers在Spring ...
weixin_32308039的博客
01-30 747
如果需要配置多个HttpSecurity在您的应用程序中,HttpSecurity.requestMatchers()或其他(但类似)配置选项之一:HttpSecurity.requestMatcher(RequestMatcher)HttpSecurity.antMatcher(String)HttpSecurity.mvcMatcher(String)HttpSecurity.regexMat...
Spring Security 实现 antMatchers 配置路径的动态获取
weixin_33824363的博客
12-14 1万+
为什么80%的码农都做不了架构师?>>> ...
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 604
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
SpringBoot-搭建SpringSecurity(保姆级别)
2301_79098879的博客
05-04 798
分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》《Java高级架构知识》《算法知识》《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!g?成功实现需求!7.自定义登录界面=========(1)主界面index中指定login请求登录(2)配置login.html登录的信息发送到哪里分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》
《spring设计思想》24-ResourcePatternResolver-解析Ant pattern路径的资源
David_lou的专栏
07-23 537
上一节讲完了资源加载器,在demo中可以看到单个资源加载的简单用例。本节讲一下ant格式路径的资源加载, 在spring中我们经常看到引入资源的时候会用到 @Value("classpath*:/META-INF/*.properties") public Resource[] resources; 这种模式的路径,在spring中会解析这条路径,然后查找符合的资源,上面的path就是指向:classpath路径下/META-INF/文件下所有的properties文件 在图片中的三个文件中,
SpringSecurity动态配置权限
小夢書亭的博客
09-14 806
SpringSecurity动态配置权限 自定义 UserDetailsService UserDetailsService 的主要作用是,获取数据库里面的信息,然后封装成对象,我们既然需要从数据库中读取用户,那么我们就需要实现自己的 UserDetailsService ,按照我们的逻辑完成从数据库中获取信息; /** * 主要是封装从数据库获取的用户信息 * * @author yiaz * @date 2019年3月19日10:50:58 */ @Component public c
HttpSecurity常用方法详解
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
Spring Security静态资源过滤(11)
weixin_43831002的博客
08-11 1126
重写configure(WebSecurity)方法,并配置需要忽略的请求,这些需要忽略的地址,最终都会被添加到ignoredRequests集合中,并最终以过滤器链的形式呈现出来。在一个实际项目中,并非所有的请求都需要经过Spring Security过滤器,有一些特殊的请求,例如静态资源等,一般来说并不需要经过Spring Security过滤器链,用户如果访问这些静态资源,直接返回对应的资源即可。配置完成后,再次启动项目,此时不需要认证就可以访问/login.html页面。...
Spring Security 配置多个标签与HttpSecurity对应关系
11-20 2080
在把以前的xml配置改到java配置,找了半天没找到…于是试出来以后才在官方文档搜索到 引用一句话: &nbsp; &nbsp; &nbsp; &nbsp; http拥有一个匹配URL的pattern(对应.antMatcher()),未指定时表示匹配所有的请求,其下的子元素intercept-url也有一个匹配URL的pattern(对应.antMatchers...
spring securityhttpSecurity的方法
秦城诗雨的博客
11-30 4022
spring securityhttpSecurity的方法 authorizeRequests() 开启配置: 一、匹配路径的方法 .antMatchers():表达支持ant风格的路径通配符 .regexMatchers():接受正则表达式来定义请求的路径 二、保护路径的配置方法 .authenticated():表示需要认证,在执行请求时,必须要登录 .permitAll():允许没有任何限制 .access(String springEl):给定的spEl计算为true的话.
详解使用Spring3 实现用户登录以及权限认证
08-31
使用 Spring3 实现用户登录以及权限认证 在本文中,我们将详细介绍如何使用 Spring3 实现用户登录以及权限认证。...通过使用 Spring3 的控制器和 Spring Security,可以轻松实现用户登录和权限认证功能
3个注解,优雅的实现微服务鉴权.doc
07-12
在传统的实现方式中,通常会在网关层面上集成Spring Security实现统一的认证和鉴权。然而,这种做法并不适用于所有场景,特别是当需要在每个微服务内部实现更细粒度的权限控制时。 1. **干掉鉴权管理器** 在网关...
Spring security登录过程逻辑详解
08-19
Spring Security 登录过程逻辑详解 Spring Security 是一个广泛使用的 Java 安全框架,提供了完善的身份验证和授权机制。本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解...
springMVC配置连接数据库实现登录功能的一个小demo
11-12
在这个"springMVC配置连接数据库实现登录功能的小demo"中,我们将探讨如何使用Spring MVC与Hibernate集成来处理用户登录功能。Hibernate是一个流行的ORM(对象关系映射)框架,它简化了与数据库的交互。 首先,我们...
SpringMVC实现注解式权限验证的实例
08-31
在Spring MVC框架中,权限验证是确保系统安全性的重要一环,它可以防止未经授权的用户访问特定资源。本篇文章将深入探讨如何使用...同时,结合Spring Security等更强大的安全框架,可以实现更复杂的授权和认证逻辑。
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
spring securityhttpSecurity使用示例
06-03 1149
httpSecurity 类似于spring security的xml配置文件命名空间配置中的<http>元素。它允许对特定http请求基于安全考虑进行配置。默认情况下,适用于所有的请求,但可以使用requestMatcher(RequestMatcher)或者其它相似的方法进行限制。 使用示例: 最基本的基于表单的配置如下。该配置将所有的url访问权限设定为角...
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8215
Spring Security 学习之配置 HttpSecurity
使用注解装配实现登录注册功能
05-26
好的,我来给你讲一下使用注解装配实现登录注册功能的步骤。 1. 首先,在你的项目中添加 Spring Security 和 Spring MVC 的依赖。 2. 在 Spring Security 的配置类中使用注解开启安全验证,并配置登录页面、认证成功后跳转的页面等。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 忽略静态资源的验证 @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/js/**", "/css/**", "/images/**"); } // 配置登录页面、认证成功后跳转的页面等 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login", "/register").anonymous() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/login") .invalidateHttpSession(true) .deleteCookies("JSESSIONID"); } // 配置用户认证方式 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("123456").roles("USER") .and() .withUser("admin").password("admin").roles("ADMIN"); } } ``` 3. 在 Spring MVC 的配置类中使用注解开启组件扫描,并配置视图解析器、拦截器等。 ```java @Configuration @EnableWebMvc @ComponentScan(basePackages = "com.example.demo") public class MvcConfig implements WebMvcConfigurer { // 配置视图解析器 @Override public void configureViewResolvers(ViewResolverRegistry registry) { registry.jsp("/WEB-INF/views/", ".jsp"); } // 配置拦截器 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LoginInterceptor()) .addPathPatterns("/**") .excludePathPatterns("/login", "/register", "/logout"); } } ``` 4. 在控制器中使用注解处理登录、注册请求。 ```java @Controller public class UserController { @GetMapping("/login") public String login() { return "login"; } @PostMapping("/login") public String doLogin(String username, String password) { // 处理登录请求 return "redirect:/home"; } @GetMapping("/register") public String register() { return "register"; } @PostMapping("/register") public String doRegister(String username, String password) { // 处理注册请求 return "redirect:/login"; } @GetMapping("/home") public String home() { return "home"; } } ``` 5. 最后,在登录页面和注册页面中使用 Thymeleaf 模板引擎的表单绑定和注解校验。 ```html <form th:action="@{/login}" method="post"> <div> <label>用户名:</label> <input type="text" name="username" th:field="*{username}" required /> </div> <div> <label>密码:</label> <input type="password" name="password" th:field="*{password}" required /> </div> <button type="submit">登录</button> </form> <form th:action="@{/register}" method="post"> <div> <label>用户名:</label> <input type="text" name="username" th:field="*{username}" required /> </div> <div> <label>密码:</label> <input type="password" name="password" th:field="*{password}" required /> </div> <button type="submit">注册</button> </form> ``` 这样就可以使用注解装配实现登录注册功能了。当用户访问需要登录才能访问的页面时,会跳转到登录页面进行认证认证成功后会跳转回原来的页面。如果用户没有登录或者没有权限访问某个页面,会跳转到错误页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值