spring boot spring security 自定义 filter FilterSecurityInterceptor 访问资源 静态资源 和 不需要权限访问都失效了

最新推荐文章于 2024-07-08 16:53:33 发布
最新推荐文章于 2024-07-08 16:53:33 发布
阅读量1.9w 收藏 3
点赞数 4
分类专栏: 解决问题 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laokaizzz/article/details/82460319
版权
本文探讨了在Spring Boot Security中遇到的问题,即自定义FilterSecurityInterceptor后静态资源和免权限访问失效。分析了DefaultFilterInvocationSecurityMetadataSource的工作原理,以及permitAll配置的影响。解决方案是将不需要拦截的资源放入web.ignoring(),以避免过滤器链的执行。此外,提到了Spring Security的过滤器链结构,包括忽略过滤器和主要过滤链,强调将无权限需求的资源放入忽略过滤器是最佳实践。
摘要由CSDN通过智能技术生成

问题:spring boot security 中, filters="none"  对应哪个?

自定义AbstractSecurityInterceptor后  静态资源也进入拦截器,登陆页面,permitall 也失效,
还是进入了filter

参考:http://blog.51cto.com/winters1224/2052034

调试源代码发现,采用默认的 FilterSecurityInterceptor 过滤器 时,使用默认的DefaultFilterInvocationSecurityMetadataSource

里面的requestmap加载了对应的antMatchers("xxxx","xxx").permitAll()  里面的url 作为key,并且value 里面设置为permitAll

,后面默认的决策器就是因为这个permitAll,所以容许访问。

(FilterSecurityInterceptor 里的

AbstractSecurityInterceptor 里的beforeInvocation 会调用  DefaultFilterInvocationSecurityMetadataSource 的getAttributes
然后 里面会访问
private final Map<RequestMatcher, Collection<ConfigAttribute>> requestMap;
刚好是permitall。所以ok.

antMatchers permitall 这种是 对应这个ExpressionUrlAuthorizationConfigurer,而这个是对应的过滤器 FilterSecurityInterceptor,所以自己定义的里面没有?是

最低0.47元/天 解锁文章
laokaizzz
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring-security(十八)核心Filter-FilterSecurityInterceptor
高枫的博客
02-25 2751
前言: 当用spring security时,我们会用到各种各样的filter,在接下来的章节中我们我们将着重讨论几个核心的Filter,本节将讨论FilterSecurityInterceptor这个filter。 和这个类相关的对象如下图所示 [img]http://dl2.iteye.com/upload/attachment/0128/9716/26917b9a-17ba-320...
Spring security用户URL权限FilterSecurityInterceptor使用解析
08-25
Spring Security框架中,`FilterSecurityInterceptor`是一个关键组件,用于控制用户对应用程序不同URL的访问权限。这个拦截器在用户发起HTTP请求时介入,基于预定义的安全策略判断用户是否被授权访问请求的资源。...
SpringSecurity 6 自定义Filter无效解决方案
m0_66728699的博客
10-07 674
【代码】SpringSecurity 6 自定义Filter无效解决方案。
Spring SecurityFilter
最新发布
weixin_44263023的博客
07-08 748
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring SecurityFilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
Spring Security3边学边写(N)会话管理和并行控制
sb33060418的专栏
10-09 359
在开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢? Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。 本次实...
Spring Security自定义Filter后设置permitAll()不生效
mynameiswhite的博客
08-10 2069
1.之所以设置http.authorizeRequests().antMatchers().permitAll后,请求仍会走自定义过滤器,是因为这设置的是请求不走框架的权限校验,如token啥的,而不是不走过滤器链。
springSecurity自定义过滤器不生效问题排查
毅香雪海的博客
08-01 2412
springSecurity自定义过滤器不生效问题
spring mvc 和spring security自定义登录
05-14
综上所述,结合Spring MVC和Spring Security实现自定义登录,需要理解两者的基本原理,配置合适的过滤器、认证提供者和授权规则。通过这种方式,我们可以创建一个既安全又易于维护的Web应用程序,为用户提供安全的...
Spring Security如何使用URL地址进行权限控制
08-25
其中,权限控制是Spring Security的一个重要组件,它允许开发者根据用户角色和权限来控制访问不同的资源。在本文中,我们将探讨如何使用Spring Security来实现URL地址的权限控制。 权限控制是指根据用户的角色和...
SpringSecurity 狂神资源文件.zip
12-16
此外,SpringSecurity与其他Spring组件如Spring MVC、Spring Boot集成紧密,提供了丰富的配置选项和开箱即用的功能。学习SpringSecurity资源文件可能包括教程、代码示例、配置文档等,帮助开发者快速理解和应用这...
第 5-1 课:使⽤ Spring Boot Security 进⾏安全控制1
08-03
- **角色与权限**:Spring Security 支持角色和权限的概念,通过 `hasRole()` 和 `hasAuthority()` 方法来定义访问规则,如 `@PreAuthorize("hasRole('ADMIN')"` 可以限制只有管理员角色的用户才能访问特定资源。...
史上最简单的Spring Security教程(十五):资源权限动态控制(FilterSecurityInterceptor
银河架构师的博客
07-27 3566
在前面的讲解中,我们分别对动态用户、动态权限的实现做了相关介绍。可能大家在看的过程中,会发现一个问题:目前都是通过注解控制权限的,并且角色是事先定义好的,且需要数据库、Java程序保持一致。 这是非常不友好的,不能自由的定义角色及其所能控制的资源。角色比较少且固定的业务场景还好,如OA,只有管理员和普通用户两种角色。但是遇到大型业务系统,角色细且繁多,需要自定义,且需要频繁变更其所拥有的资源,那么,目前的形式就显得非常笨拙。 接下来,就如何进行资源权限动态控制进行讲解,要实现的目标为:Java程序...
SpringsecurityFilterSecurityInterceptor
weixin_34244102的博客
09-05 1340
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity过滤器链中FilterSecurityInterceptor
江黎
01-07 732
// 添加JWT filter httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Autowired private TokenS...
Spring Security API: FilterSecurityInterceptor
dengdeying的博客
12-27 228
FilterSecurityInterceptor Declare package org.springframework.security.web.access.intercept; public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter Class Jdoc ...
史上最简单的Spring Security教程(十八):FilterSecurityInterceptor实现每个请求只处理一次
银河架构师的博客
08-05 2082
在前面的资源权限动态控制中,我们说了如何通过自定义 FilterSecurityInterceptor 来实现资源权限的动态控制。不知道大家发现没有,在 FilterSecurityInterceptor 实例的定义过程中,我们设置了其 observeOncePerRequest 属性为 false。 这是出于什么目的呢?其实,很简单。比如用户发起某个访问请求,首先经过默认的 FilterSecurityInterceptor,经过权限检查,需要身份认证权限,此时已经登录,权限认证通过;再交给自定义...
Spring Security默认过滤器链之FilterSecurityInterceptor(十四)
欢谷悠扬
07-15 888
1.作用 这个主要是针对http请求进行权限校验 权限校验需要注意的几点: 1.用户需要先认证 2.获取资源所需授权 3.获取用户被授权信息 4.授权校验 5.授权成功处理 6.授权失败处理 2.直接开撸 2.1 参数封装 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 先构建了一
SpringSecurity自定义Filter的ignoring()失效问题源码分析
大张
07-22 2100
忽略SpringBoot启动流程中服务器是如何将SpringFilter加载进来和过滤的流程。下图简要概括了Secutiry的FilterSpringFilter的Bean的关系源码太多,流程太复杂繁琐,过了一些主要的代码和主干。遇到了问题发现没有人在源码上分析原因,花了一天时间简要的概括了一下。httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.............................................
SpringSecurity中由于自定义过滤器导致无法使用remember-me的问题解决
qq_26147675的博客
09-01 1203
        今天给web项目的登录页面增加自动登录功能,选择使用SpringSecurity自带的remmeber-me功能键,但是前端页面传值remember-me:on始终无法起作用,在SpringSecurity源码中进行断点,发现可能是由于没有使用SpringSecurity自带的过滤器设置,使用了自定义过滤器(为了实现json传值登录)的原因。在此做个记录。     &nb
Spring Security权限开发实战与自定义教程
此外,还涉及到自定义访问拒绝页面、动态管理资源自定义登录页面的结合,以及如何利用FilterSecurityInterceptor进行更精细的访问控制。 通过这份手册,开发者可以学习到Spring Security的深入应用技巧,以及在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值