requestMatchers()方法与authorizeRequests()区别,ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapt

最新推荐文章于 2024-08-12 11:50:04 发布
最新推荐文章于 2024-08-12 11:50:04 发布
阅读量6.5k 收藏 15
点赞数 2
分类专栏: springbootcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/join_null/article/details/119390280
版权

一、requestMatchers()方法与authorizeRequests()区别

        1.理解这两个方法的区别首先要知道springsecurity中,每声明一个adapter实例,就会产生一条过滤器链,一个请求过来要走哪个过滤器链就是由requestMatchers()方法配置的url决定的。请求匹配上requestMatchers()配置的过滤器链后,在进一步的详细控制则是authorizeRequests()决定的。

        一句话概括就是requestMatchers()配置的是哪些url进行安全控制,authorizeRequests()配置的是如何进行控制

例如:

        下面这个adapter只对/api1/order/**和/api1/address/**两个url生效。(即当请求匹配这两个url其中之一时,才会进行安全控制,其他url可直接访问。)当一个请求的url匹配其中之一后,才会进入这个过滤器链。进入过滤器链后,匹配 /api1/order/**的请求全部需要认证后才能访问,而匹配/api1/address/bejing/**的请求可以直接访问

@Configuration
@EnableWebSecurity
public class MySecurityConfiguration extends WebSecurityConfigurerAdapter {




    @Override
    protected void configure(HttpSecurity http) throws Exception {

                http.requestMatchers()
                    .antMatchers("/api1/order/**","/api1/address/**")
                .and().authorizeRequests()
                    .antMatchers("/api1/order/**").authenticated()
                    .antMatchers("/api1/address/beijing/**").permitAll()
                .and()
                    .csrf().disable();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }
}

  二、ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapt

        1.ResourceServerConfigurerAdapter是用于当使用spring的oath2时, 配置哪些url要进行oauth2认证

        2.WebSecurityConfigurerAdapter是用于当前这个项目本身的访问控制。

        3.ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter都有一个相同的方法,配置url的访问安全控制策略:    

 public void configure(HttpSecurity http) throws Exception {}

        如果在这个方法中配置了相同的url访问控制,会发现ResourceServerConfigurerAdapter配置控制策略生效,而WebSecurityConfigurerAdapter配置的策略不起作用。是因为ResourceServerConfigurerAdapter的order值小,优先级高。所以ResourceServerConfigurerAdapter起作用。

参考自己的文章:https://blog.csdn.net/join_null/article/details/119390298

join_null
关注
专栏目录
authorizeRequests 迁移到 authorizeHttpRequests:升级Spring Security授权配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 796
在Spring Security中,授权配置是确保应用程序安全性的关键部分。随着Spring Security的演进,新的 authorizeHttpRequests 提供更灵活的授权规则。本文指导迁移从传统的 authorizeRequestsauthorizeHttpRequests,以满足较新版本Spring Security和复杂的授权需求。探讨迁移、表达式语言、最佳实践,确保应用程序安全可维护。
Spring Cloud与微服务学习总结(5)——认证鉴权与API权限控制在微服务架构中的设计与实现(三)
科技D人生
10-28 6163
本文转载自( http://blueskykong.com/2017/10/24/security3/)1. 前文回顾在开始讲解这一篇文章之前,先对之前两篇文章进行回忆下。在第一篇 认证鉴权与API权限控制在微服务架构中的设计与实现(一)介绍了该项目的背景以及技术调研与最后选型。第二篇认证鉴权与API权限控制在微服务架构中的设计与实现(二)画出了简要的登录和校验的流程图,并重点讲解了用户身份的认证
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 9833
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
spring SecurityrequestMatchers方法
小汤圆
08-12 8462
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由;如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”);如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要进行权限认证
Spring Security 登录 、登出、动态刷新JWT
最新发布
2302_80389811的博客
08-12 435
如果过了有效时间(设置的是十分钟),但没到refresh token过期的时间(设置的是一小时),可以通过refresh token请求新的access token。JwtRequestFilter作为过滤链中的一环,从请求头中提取jwt进行解析并验证访问时间是否有效或者是否存在于黑名单。JWT工具类主要用来生成和验证token,登出后的token失效会被放入黑名单中,黑名单用redis存放。通过上图accessToken访问PageController中的接口,可以看到访问成功。
requestMatchers()适用的业务场景
硕硕的博客
01-08 895
authorizeRequests适用的业务场景
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3461
SpringSecurity 中的请求路径匹配接口 RequestMatcher
RequestMatcher(配置忽略url和认证的url)
java牛牛的博客
02-16 7405
一句话简介 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是true表示提供的请求与提供的匹配规则匹配,如果返回的是false则不匹配。 RequestMatcher其实现类: AntPathRequestMatcher:重点 MvcRequestMatcher:重点 RegexRequestMatcher: 根据正则模...
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1162
SpringSecurity6 自定义认证过滤器无效
第六章 Auth2微服务权限校验笔记
hankin的博客
06-07 4981
一、oauth2.0相关概念介绍 采用token认证的方式校验是否有接口调用权限,然后在下游系统设置访问白名单只允许zuul服务器访问。理论上zuul服务器是不需要进行权限校验的,因为zuul服务器没有接口,不需要从zuul调用业务接口,zuul只做简单的路由工作。下游系统在获取到token后,通过过滤器把token发到认证服务器校验该token是否有效,如果认证服务器校验通过就会携带这个token相关的验证信息传回给下游系统,下游系统根据这个返回结果就知道该token具有的权限是什么了。所以校验toke
serverhttpsecurity 缺少_在类resourceserverconfiguration.configure中使用httpsecurity.requestmatchers在Spring ...
weixin_32308039的博客
01-30 786
如果需要配置多个HttpSecurity在您的应用程序中,HttpSecurity.requestMatchers()或其他(但类似)配置选项之一:HttpSecurity.requestMatcher(RequestMatcher)HttpSecurity.antMatcher(String)HttpSecurity.mvcMatcher(String)HttpSecurity.regexMat...
springSecurtiy跨域问题和webfire问题解决
qq_42761053的博客
05-12 215
springSecurity配置 protected void configure(HttpSecurity http) throws Exception { http.cors().and() .authorizeRequests().requestMatchers(CorsUtils::isPreFlightRequest).permitAll() //放行PreFlightRequest
Spring Security Web : 概念模型接口 RequestMatcher
Details Inside Spring
05-10 7571
RequestMatcher是Spring Security的一个概念模型接口,用于抽象建模对HttpServletRequest请求的匹配器这一概念。 RequestMatcher接口只定义了一个方法boolean matches(HttpServletRequest request),如果参数request和当前RequestMatcher实例匹配则返回true,从而达到判断是否某个请求是否匹...
spring笔记RequestMatcherConfigurer类
04-24 359
AbstractRequestMatcherRegistry<C>中包含RequestMatcher,里面包含创建各种RequestMatcher方法
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
spring secuity拦截匹配URL权限(RequestMatcher接口详解)
HD243608836的博客
08-06 1万+
原文格式清晰,转载自:https://www.jianshu.com/p/4f9ee6007213 我们知道spring secuity是控制URL的访问权限的,那么spring secuity是怎样拦截匹配URL,我们先看一个接口RequestMatcher 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是tru...
http.authorizeRequests()详解
lyy的博客
04-05 3385
表示可以匿名访问匹配的URL。访问控制方法都很简单, 只要匹配到url后直接在后面追加调用这个方法就行了,链式调用特别简单,不演示了。如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问。下面分别讲一下url匹配规则都有哪些,权限控制方法都有哪些。如果有参数,参数表示角色,则其中任何一个角色可以访问。如果有参数,参数表示权限,则其中任何一个权限可以访问。如果有参数,参数表示角色,则其角色可以访问。如果有参数,参数表示权限,则其权限可以访问。表示所匹配的URL都不允许被访问。
Security详解
myli92的博客
05-12 1123
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
spring security 中httpSecurity方法
秦城诗雨的博客
11-30 4103
spring security 中httpSecurity方法 authorizeRequests() 开启配置: 一、匹配路径的方法 .antMatchers():表达支持ant风格的路径通配符 .regexMatchers():接受正则表达式来定义请求的路径 二、保护路径的配置方法 .authenticated():表示需要认证,在执行请求时,必须要登录 .permitAll():允许没有任何限制 .access(String springEl):给定的spEl计算为true的话.
springboot requestMatchers 匹配 /**/** 的路由
05-23
`requestMatchers()` 方法用于添加 `RequestMatcher` 对象,以控制哪些请求应该由 `WebSecurityConfigurerAdapter` 处理。在 Spring Security 中,`/**/` 表示匹配任何路径,包括多级子路径。因此,如果您想让所有请求都被 `WebSecurityConfigurerAdapter` 处理,可以使用以下方式: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll() .antMatchers("/**/").permitAll() // 匹配任何路径 .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在上面的代码中,`antMatchers("/**/")` 用于匹配任何路径,而 `anyRequest().authenticated()` 用于保护所有其他请求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值