SpringSecurity中对接口进行匿名访问自定义@Anonymous注解

已于 2023-05-17 15:26:54 修改
阅读量2.5k 收藏 4
点赞数 1
文章标签: spring java
于 2023-04-22 00:56:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jhy17340226919/article/details/130299572
版权

提问:我需要自定义一个注解@Anonymous来添加到接口的方法上,对该方法进行匿名访问,怎么实现?

要自定义一个@Anonymous注解,并使用该注解来实现对接口方法的匿名访问控制,可以按照以下步骤进行实现:

  1. 创建@Anonymous注解,该注解可以定义在类、方法、字段等级别上:
import java.lang.annotation.*;

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Anonymous {
}

在上述代码中,@Target({ElementType.TYPE, ElementType.METHOD})表示该注解可以被应用到类和方法级别上;@Retention(RetentionPolicy.RUNTIME)表示该注解可以在运行时被保留;@Documented表示该注解可以被javadoc等工具文档化。

  1. 在Spring Security的配置类中,创建一个AnonymousAccessFilter过滤器,该过滤器用于匿名访问控制:
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.access.AnonymousAuthenticationFilter;
import org.springframework.stereotype.Component;

@Component
public class AnonymousFilterConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(new AnonymousAccessFilter(), AnonymousAuthenticationFilter.class);
    }
}

在上述代码中,addFilterBefore()方法用于在AnonymousAuthenticationFilter过滤器之前添加自定义的AnonymousAccessFilter过滤器。

  1. AnonymousAccessFilter过滤器中,实现匿名访问控制的逻辑:
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.List;
import java.util.stream.Collectors;

import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.AnonymousAuthenticationFilter;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

@Component
public class AnonymousAccessFilter extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 判断请求是否匹配@Anonymous注解
        if (handler instanceof HandlerMethod) {
            HandlerMethod method = (HandlerMethod) handler;
            Anonymous anonymous = AnnotationUtils.findAnnotation(method.getMethod(), Anonymous.class);
            if (anonymous != null) {
                // 对于匹配@Anonymous注解的请求,设置匿名身份
                Authentication anonymousAuth = new AnonymousAuthenticationFilter("anonymousUser",
                        SecurityContextHolder.getContext().getAuthentication().getAuthorities()).getAuthentication();
                SecurityContextHolder.getContext().setAuthentication(anonymousAuth);
                return true;
            }
        }
        return super.preHandle(request, response, handler);
    }
}

在上述代码中,preHandle()方法用于拦截请求,并判断请求是否匹配@Anonymous注解。如果匹配,则将当前用户的身份设置为匿名用户。这里通过创建一个AnonymousAuthenticationFilter对象,并将其设置为当前用户的身份,来实现匿名访问控制。

  1. 在需要进行匿名访问的接口上,添加@Anonymous注解即可:
@RestController
public class DemoController {

    @GetMapping("/")
    public String index() {
        return "Hello World";
    }

    @GetMapping("/public")
    @Anonymous
    public String publicAPI() {
        return "This is a public API";
    }

    @GetMapping("/private")
    public String privateAPI() {
        return "This is a private API";
    }
}

在上述代码中,/public接口上添加了@Anonymous注解,表示该接口可以进行匿名访问。

这样,当请求/public接口时,AnonymousAccessFilter过滤器会拦截该请求,并将当前用户的身份设置为匿名用户,从而实现对该接口的匿名访问控制。

需要注意的是,@Anonymous注解仅对Spring MVC的控制器方法生效,对于其他类型的接口,例如Spring Boot的REST端点、WebSocket端点等,需要根据具体的场景进行相应的配置。

感觉很靠谱,感兴趣的小伙伴可以试一试~~

请叫我小姜
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springsecurityanonymous_Spring Security---安全管理框架(三)
weixin_39605706的博客
11-26 880
成功的法则极为简单,但简单并不代表容易【Spring Security:安全管理框架】主要内容访问控制url匹配内置访问控制方法介绍角色权限判断自定义403处理方案基于表达式的访问控制基于注解访问控制RememberMe功能实现ThymeleafSpring Security使用退出登录Spring Security CSRF一、 访问控制url匹配在前面讲解了认证所有常用配置,主要是对h...
java 使用匿名类直接new接口详解及实例代码
08-31
Java 使用匿名类直接 new 接口详解及实例代码 Java 使用匿名类直接 new 接口是一种强大的技术,允许开发者在不提供接口实现的情况下,直接创建一个接口实例。这项技术可以简化代码,提高开发效率。在本文,...
注解@Anonymous的用法
zznn0306的博客
10-23 2010
通常情况下,Spring Security框架会使用此注解来配置安全性规则,允许一些特定的请求或接口在不需要认证的情况下进行访问。通过使用@Anonymous注解,我们可以轻松地控制哪些接口需要身份验证,哪些接口可以匿名访问,从而实现更细粒度的权限控制。请注意,具体的注解实现可能会因使用的框架或库而有所不同,上述示例仅为演示目的。方法没有被@Anonymous注解标记,表示它需要经过身份验证才能访问,只有已登录的用户才能创建新用户。
若依框架 设置匿名访问
qq_39927127的博客
01-05 1058
/admin-api/iit/device-push/** # 设备推送接口,不需要登录。1、在YudaoWebSecurityConfigurerAdapter通过配置。2、在application.yaml文件配置即可。// 1.7 数据推送 允许匿名访问
(新)Spring Security其它权限校验方法&自定义权限校验方法
最新发布
weixin_55772633的博客
06-23 498
我们也可以定义自己的权限校验方法,在@PreAuthorize注解使用我们的方法。//获取当前用户的权限//判断用户权限集合是否存在authority在SPEL表达式使用 @ex相当于获取容器bean的名字未ex的对象。然后再调用这个对象的hasAuthority方法。
若依框架解读(前后端分离版)—— 1.Spring Security相关配置(@Anonymous注解
hwp_ing的博客
11-26 8005
可以看到这里实现了InitializingBean()接口,然后重写当的afterPropertiesSet()方法,同时该类加上了@Configuration注解。我们可以了解到在项目启动后,会把所有加上@Anonymous注解的路径放入了urls集合,并且在配置类当进行了配置。首先查看Security配置类SecurityConfig,如果我们想要放行自己写的接口是可以在此配置,也可以加上@Anonymous注解。因此我们才能在SecurityUtils工具了方便的在需要的地方获取用户信息。
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2610
场景描述 可能在开发过程设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security默认对匿名访问设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
JAVA——springSecurity——自定义配置的一些补充:Anonymous匿名用户、重写loadUserByUsername()方法、自定义WebSecurityConfig配置等
weixin_56039103的博客
07-16 908
publicstaticResponseResultSUCCESS=newResponseResult(200,"成功");publicstaticResponseResultINTEVER_ERROR=newResponseResult(500,"服务器错误");主要有三项1.SpringSecurity自带HttpBasic基础认证模式2.默认formLogin表单模式。
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6668
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurity和jwt整合到SpringBoot项目,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
Spring Security 文教程.pdf
12-06
5.5. Spring Security访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
Spring Security 表单登录功能的实现方法
08-25
例如,我们可以允许匿名访问 `/login*`,以便用户可以进行身份验证,同时也是保护其他请求。 ```java @Override protected void configure(final HttpSecurity http) throws Exception { http.authorizeRequests() ...
Spring Security 控制授权的方法
08-27
Spring Security 控制授权的方法是指在 Spring Security 框架访问控制的实现方法,该方法通过使用授权表达式来控制访问权限。下面将详细介绍 Spring Security 控制授权的方法。 使用授权方法进行授权配置 在 ...
注解方式实现放行SpringSecurity匿名端口和遇到的坑
weixin_46630782的博客
04-26 729
利用下班时间搞了几天,总算把搞的差不多了(虽然原来还不是很熟,但能跑了)。整合到倒是挺简单的,就是对一些接口放行的时候总是有问题。网上的教程大多是版本之前的,而我为了尝鲜,技术基本都是用的最新的。这就导致走了很多坑 Σ(  ̄д ̄;!!因为博客就我一个人使用,就一个用户就够了,也不需要什么权限控制,就一切随简了。
SpringSecurity整合springBoot、redis token动态url权限校验
mofsfely2的博客
02-18 3483
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问接口进行接口级别权限认证。 springSecurity提供的注解权限校验适合的场景是系统仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
匿名用户访问接口或者无登录态场景下接口防刷的解决方案
翎野君的博客
12-28 391
背景 经常会遇到抽奖活动根据登记的手机号发短信验证抽奖,或者公开的投票系统,又或者面向马路上的消费者展开调查问卷。这些场景下都有可能会有不法分子借此谋利或者恶意破坏。 防刷不能靠一门单一的技术,而是要综合分析可能的破解手段,评估攻击者愿意做到什么地步,以和黑产打一场全面战争的角度思考问题。即:如何以最小的消耗,来最大限度的浪费黑产的时间和金钱。 而这种问题必然是没有银弹的。所有只提出一种单一手段...
5.Spring Security安全注解
相互学习 共同进步
04-24 1224
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面
接口实现匿名访问
dreamZhanglx的博客
08-30 180
然后使用这个注解@AnonymousAccess 即可。
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
springsecurityanonymous
08-26
Spring Security anonymous匿名)是一种身份验证机制,在用户未进行身份验证时允许其保持匿名状态。当用户没有提供有效的身份验证凭证时,Spring Security 会将其标记为 anonymous。 在 Spring Security 的配置,可以通过以下方式启用 anonymous: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .anonymous(); // 启用 anonymous } } ``` 在上面的示例,`http.anonymous()` 方法用于启用匿名访问。这意味着经过身份验证的用户将以其真实身份进行操作,而未经身份验证的用户将被视为匿名用户。 你可以根据自己的需求配置匿名用户的访问权限。在示例,`/public/**` 路径下的资源允许所有用户访问,其他路径需要进行身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

请叫我小姜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值