Spring Security(五) 访问控制 url 匹配及 内置访问控制方法介绍

已于 2023-07-19 16:43:54 修改
阅读量6.8k 收藏 20
点赞数 4
分类专栏: 安全管理框架(Spring Security、Shiro) 文章标签: spring java 后端
于 2020-09-28 19:16:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donglinjob/article/details/108855546
版权

一、 访问控制 url  匹配制

在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为:

url  匹配规则. 权限控制方法

通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。

在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。

1 anyRequest()

在之前认证过程中我们就已经使用过 anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。

代码示例:

anyRequest().authenticated();

2 antMatcher()

方法定义如下:

public  antMatchers(String... antPatterns)

参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则。

规则如下:

? 匹配一个字符

* 匹配 0 个或多个字符

** 匹配 0 个或多个目录

在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。

.antMatchers( "/js/**").permitAll()

还有一种配置方式是只要是.js 文件都放行

antMatchers( "/**/*.js").permitAll()

3 regexMatchers()

   3.1 介绍

使用正则表达式进行匹配。和 antMatchers()主要的区别就是参数,antMatchers()参数是 ant 表达式,regexMatchers()参数是正则表达式。

演示所有以.js 结尾的文件都被放行。

.regexMatchers( ".+[.]js").permitAll()

   3.2 两个参数时使用方式

无论是 antMatchers()还是 regexMatchers()都具有两个参数的方法,其中第一个参数都是 HttpMethod,表示请求方式,当设置了HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置。

枚举类型 HttpMethod 内置属性如下:

4 mvcMatchers()

mvcMatchers()适用于配置了 servletPath 的情况。

servletPath 就是所有的 URL 的统一前缀。在 SpringBoot 整合SpringMVC 的项目中可以在 application.properties 中添加下面内容设置 ServletPath

spring.mvc.servlet.path=  /bjsxt

在 Spring Security 的配置类中配置.servletPath()是 mvcMatchers()返回值特有的方法,antMatchers()和 regexMatchers()没有这个方法。在 servletPath()中配置了 servletPath 后,mvcMatchers()直接写 SpringMVC 中@RequestMapping()中设置的路径即可。

.mvcMatchers( "demo").servletPath( "/bjsxt").permitAll()

如果不习惯使用 mvcMatchers()也可以使用 antMatchers(),下面代码和上面代码是等效的

antMatchers( "/bjsxt/demo").permitAll()

二、 内置访问控制方法介绍

Spring Security 匹配了 URL 后调用了 permitAll()表示不需要认证,随意访问。在 Spring Security 中提供了多种内置控制。

1 permitAll()

permitAll()表示所匹配的 URL 任何人都允许访问。

2 authenticated()

authenticated()表示所匹配的 URL 都需要被认证才能访问。

3 anonymous()

anonymous()表示可以匿名访问匹配的 URL。和 permitAll()效果类似,只是设置为 anonymous()的 url 会执行 filter 链中
官方源码定义如下:

4 denyAll()

denyAll()表示所匹配的 URL 都不允许被访问。

5 rememberMe()

被“remember me”的用户允许访问

6 fullyAuthenticated()

如果用户不是被 remember me 的,才可以访问。

plenilune-望月
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍Spring Security如何使用URL地址进行权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security学习之路
02-06
3. **配置Spring Security**:在Spring Security的配置类中,我们需要定义访问控制规则,例如哪些URL需要保护,哪些URL对所有人开放。此外,还需要配置认证管理器(AuthenticationManager)和过滤器链(Filter ...
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9516
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列()-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 591
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
http.authorizeRequests()详解
lyy的博客
04-05 2793
表示可以匿名访问匹配URL访问控制方法都很简单, 只要匹配url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问。下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。如果有参数,参数表示角色,则其中任何一个角色可以访问。如果有参数,参数表示权限,则其中任何一个权限可以访问。如果有参数,参数表示角色,则其角色可以访问。如果有参数,参数表示权限,则其权限可以访问。表示所匹配URL都不允许被访问。
springsecurity过滤指定url【.antMatchers(***).permitAll()】失效分析
yangfeng20的博客
07-24 1万+
springsercurity过滤指定url【antMatchers().permitAll】失效分析
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2676
Spring Security --- authorizeRequests配置
SpringSecurity - 授权、权限
记录点滴
08-21 4961
授权(权限) 常用方法 - 以下方法都需要组合起来才能使用。 (1)anyRequest() 任何请求,注意需要把它放到最后边 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 自定义登录页面 .
Java开发之spring security实现基于MongoDB的认证功能
08-28
在传统的JDBC环境中,Spring Security提供了内置的支持来处理基于数据库的用户认证。然而,随着NoSQL数据库的广泛应用,例如MongoDB,我们可能需要在非JDBC环境下自定义认证服务。本文将详细介绍如何在Spring ...
springSecurity 案例
04-26
在案例中,你可以看到如何配置SpringSecurity来处理用户的登录、注销,以及对不同URL路径的访问控制。它通过定义安全配置,如`httpSecurity`,来设定哪些请求需要用户认证,哪些请求需要特定的角色权限。 1. **用户...
Shiro+Spring Security学习文档
07-23
2. **授权**:Shiro的权限管理功能允许开发者精细控制用户访问资源的权限,如URL方法或者特定的数据对象。 3. **会话管理**:Shiro可以轻松管理用户的会话,包括会话超时、分布式会话支持等,这对于构建多服务器...
SpringSecurity(四)【自定义认证流程详解】
Vinjcent
10-25 1223
– 在项目中,如果要覆盖默认权限、授权自动配置,需要让 DefaultWebSecurityCondition 这个类失效– 添加如下配置可以实现自定义对资源权限规则设置 4.2 自定义登录界面 根据前面分析可知,校验用户名密码是根据 UsernamePasswordAuthenticationFilter 这个过滤器执行的,要求 定义一个跳转到login.html页面的controller 在 templates 中定义登陆界面 【注意】当前login.html页面的文本输入框name参数以
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2853
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
# spring-security(一)
m0_74795259的博客
12-09 3205
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
Spring Security 表单认证
快乐的小三菊的博客
12-14 3384
spring security 的表单认证
server.servlet.contextPath 和 spring.mvc.servlet.path 对比
qq_46050989的博客
10-09 3741
另一方面,servlet路径表示主DispatcherServlet的路径。默认值类似于上下文路径,即(“/”),可以通过配置不同的spring.mvc.servlet.path属性进行更改。假设servlet属于servlet上下文,更改上下文路径也会影响servlet路径。它是应用程序的根,默认情况下,Spring Boot提供根上下文路径(“/”)上的内容。然后应用程序servlet路径将变为http://localhost:8080/context-path/servlet-path。
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
SpringSecurity安全框架常见参数
weixin_48948094的博客
08-12 1240
anyRequest() 在之前认证过程中我们就已经使用过 anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。 .anyRequest().authenticated(); antMatcher() 方法定义如下 public C antMatchers(String... antPatterns) 参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则。 规则如下: ? : 匹配一个字符 :匹配 0 个或多个字符 ** :匹配 0 个
Spring security访问控制
05-09
Spring SecuritySpring框架中用于安全认证和授权的模块。它可以帮助我们实现访问控制,保护应用程序的资源,确保只有授权的用户才能访问受限资源。 在Spring Security中,访问控制的实现主要有两种方式: 1. 基于URL访问控制:这种方式是通过配置URL的访问规则来实现访问控制。我们可以使用Spring Security提供的HttpSecurity对象配置URL的访问规则,例如限制某些URL只能被特定的角色或用户访问。 2. 基于方法访问控制:这种方式是通过在方法上添加注解来实现访问控制。我们可以使用Spring Security提供的注解,例如@PreAuthorize和@PostAuthorize,在方法上添加访问规则,限制只有满足访问规则的用户才能调用该方法。 在实现访问控制时,我们还需要定义用户角色和权限。Spring Security提供了UserDetailsService接口和UserDetails实现类,用于定义用户角色和权限,同时可以使用数据库、LDAP等外部认证机制进行认证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

plenilune-望月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值